Saltar al contenido principal
El Bujías
Prueba gratis

Encargo de Tratamiento de Datos

Data Processing Agreement (DPA) — Artículo 28 RGPD

Última actualización: 10 de marzo de 2026

1. Partes

  • Responsable del Tratamiento: El taller mecánico que contrata el servicio (en adelante, "el Responsable" o "el Taller").
  • Encargado del Tratamiento: El Bujías (en adelante, "el Encargado"), operador de la plataforma elbujias.es.

2. Objeto y alcance

El presente acuerdo regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable en el marco de la prestación del servicio SaaS de gestión de talleres mecánicos.

Los datos tratados incluyen:

  • Datos de clientes del taller: nombre, teléfono, email, dirección.
  • Datos de vehículos: matrícula, marca, modelo, año, VIN, datos de ITV.
  • Datos de órdenes de trabajo: descripciones, presupuestos, fotos, vídeos, documentos.
  • Datos de facturación: facturas, importes, datos fiscales.
  • Datos de empleados del taller: nombre, email, rol, fichajes horarios.

Los interesados son: clientes del taller, empleados del taller y el propio titular del taller.

3. Instrucciones del Responsable

El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, que son:

  1. Almacenar y procesar los datos necesarios para la prestación del servicio contratado.
  2. Enviar comunicaciones a los clientes del taller (presupuestos, notificaciones, recordatorios) cuando el Responsable lo solicite a través de la plataforma.
  3. Generar facturas y documentos fiscales según los datos proporcionados.
  4. Mantener copias de seguridad para garantizar la continuidad del servicio.

El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD o cualquier otra disposición de protección de datos.

4. Medidas de seguridad

El Encargado implementará las siguientes medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

  • Cifrado en tránsito: Todas las comunicaciones se realizan mediante HTTPS/TLS.
  • Cifrado en reposo: Las contraseñas se almacenan con hash bcrypt. Los certificados VeriFactu se cifran con Fernet.
  • Control de acceso: Autenticación JWT con tokens de corta duración, aislamiento multi-tenant por taller.
  • Copias de seguridad: Backups diarios de base de datos con retención de 30 días.
  • Infraestructura: Servidores ubicados en la UE (Hetzner, Alemania), conformes con el RGPD.
  • Minimización: Solo se recogen y procesan los datos estrictamente necesarios para el servicio.

5. Sub-encargados

El Responsable autoriza de forma general al Encargado a recurrir a los siguientes sub-encargados del tratamiento:

Sub-encargadoServicioUbicación
Hetzner Online GmbHHosting de infraestructura (VPS, almacenamiento)Alemania (UE)
Resend, Inc.Envío de emails transaccionalesEE.UU. (con DPF)
Google LLCAutenticación OAuth (Google Sign-In)EE.UU. (con DPF)

El Encargado informará al Responsable de cualquier cambio en la lista de sub-encargados con al menos 30 días de antelación, permitiendo al Responsable oponerse.

6. Notificación de brechas de seguridad

El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 72 horas desde que tenga conocimiento de una brecha de seguridad que afecte a datos personales tratados por cuenta del Responsable.

La notificación incluirá, como mínimo:

  • Descripción de la naturaleza de la brecha.
  • Categorías y número aproximado de interesados afectados.
  • Posibles consecuencias de la brecha.
  • Medidas adoptadas o propuestas para remediar la brecha.

7. Derechos de los interesados

El Encargado asistirá al Responsable en el cumplimiento de su obligación de atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación y oposición).

La plataforma ofrece las siguientes funcionalidades para facilitar estos derechos:

  • Exportación de datos: El Responsable puede exportar todos los datos de su taller en formato JSON (Art. 20 RGPD).
  • Eliminación: El Responsable puede eliminar clientes, vehículos y órdenes de trabajo.
  • Acceso: Todos los datos están accesibles a través de la interfaz de la plataforma.

8. Devolución y supresión de datos

  • A la finalización del servicio, el Responsable podrá exportar todos sus datos antes de la cancelación.
  • Tras la cancelación, el Encargado mantendrá los datos durante 30 días (periodo de gracia para reactivación).
  • Transcurridos los 30 días, se procederá a la eliminación definitiva, excepto para los datos sujetos a obligación legal de conservación.
  • Facturas emitidas: Se conservarán durante 5 años conforme a la normativa fiscal española, tras lo cual serán eliminadas.

9. Auditoría

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este acuerdo y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado por este.

10. Confidencialidad

El Encargado garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.

Esta obligación de confidencialidad se mantiene incluso después de la finalización del presente acuerdo.

Contacto

Para cualquier consulta relacionada con este Encargo de Tratamiento:

  • Email: info@elbujias.es
  • Web: https://elbujias.es