Contrato de Encargado del Tratamiento de Datos (DPA)
Ultima actualizacion: Mayo 2026
Conforme al Articulo 28 del Reglamento (UE) 2016/679 (RGPD)
1. Partes
Responsable del tratamiento (en adelante, el "Responsable"): El taller mecanico que contrata los servicios de FIXA.
Encargado del tratamiento (en adelante, el "Encargado"): FIXA, producto de Ibanez Clima, con domicilio en Espana.
2. Objeto del contrato
El presente contrato regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable a traves de la plataforma FIXA de gestion de taller mecanico.
3. Finalidad del tratamiento
El Encargado tratara los datos personales unicamente para las siguientes finalidades:
- Gestion de clientes del taller (alta, consulta, modificacion)
- Gestion de vehiculos y su historial de reparaciones
- Creacion y gestion de ordenes de trabajo
- Elaboracion y envio de presupuestos
- Gestion de citas y avisos de mantenimiento
- Almacenamiento de fotografias de vehiculos
- Generacion de informes y estadisticas para el taller
4. Categorias de datos tratados
| Categoria | Datos | Interesados |
|---|---|---|
| Datos identificativos | Nombre, NIF, direccion, telefono, email | Clientes del taller |
| Datos de vehiculos | Matricula, marca, modelo, VIN, kilometraje | Clientes del taller |
| Datos de reparaciones | Diagnosticos, presupuestos, ordenes de trabajo | Clientes del taller |
| Imagenes | Fotografias de vehiculos (entrada, proceso, salida) | Clientes del taller |
| Datos del taller | Nombre, CIF, direccion, telefono, email | Personal del taller |
5. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos unicamente segun las instrucciones documentadas del Responsable, salvo que este obligado a ello en virtud del Derecho de la Union o de los Estados miembros.
- Garantizar la confidencialidad de las personas autorizadas para tratar los datos personales.
- Implementar medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD).
- No subcontratar sin autorizacion previa por escrito del Responsable, salvo los subencargados listados en la seccion 8.
- Asistir al Responsable en el cumplimiento de su obligacion de atender los derechos de los interesados (acceso, rectificacion, supresion, portabilidad, limitacion, oposicion).
- Notificar las violaciones de seguridad sin dilacion indebida y, a mas tardar, en 48 horas desde su conocimiento.
- Suprimir o devolver los datos personales al finalizar la prestacion del servicio, salvo que exista obligacion legal de conservacion.
- Poner a disposicion del Responsable toda la informacion necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD.
6. Medidas de seguridad
El Encargado implementa las siguientes medidas:
- Cifrado en transito: Todas las comunicaciones utilizan TLS 1.2+ (HTTPS)
- Cifrado en reposo: Base de datos cifrada con AES-256
- Control de acceso: Autenticacion multifactor via Clerk, aislamiento por taller (multi-tenant)
- Copias de seguridad: Backups automaticos diarios con retencion de 7 dias
- Monitorizacion: Logs de acceso y auditorias de seguridad
- Aislamiento de datos: Cada taller solo puede acceder a sus propios datos (tenant isolation)
- Principio de minimo privilegio: Sistema de roles (admin, mecanico, recepcion)
7. Derechos de los interesados
FIXA proporciona herramientas al Responsable para facilitar el ejercicio de los derechos RGPD:
- Derecho de acceso (Art. 15): Generacion automatica de informes con todos los datos del cliente
- Derecho de rectificacion (Art. 16): Edicion de datos del cliente desde el panel
- Derecho de supresion (Art. 17): Anonimizacion de datos personales preservando la integridad fiscal
- Derecho a la portabilidad (Art. 20): Exportacion de datos en formato JSON estructurado
8. Subencargados del tratamiento
El Responsable autoriza al Encargado a subcontratar los siguientes servicios:
| Subencargado | Servicio | Ubicacion | Garantias |
|---|---|---|---|
| Neon Inc. | Base de datos PostgreSQL | EE.UU. | Clausulas contractuales tipo (SCCs) |
| Vercel Inc. | Hosting, Blob Storage | EE.UU. / UE | Clausulas contractuales tipo (SCCs) |
| Clerk Inc. | Autenticacion de usuarios | EE.UU. | Clausulas contractuales tipo (SCCs) |
9. Transferencias internacionales
Algunos subencargados tienen servidores fuera del Espacio Economico Europeo (EEE). Estas transferencias se realizan al amparo de:
- Clausulas contractuales tipo aprobadas por la Comision Europea (Decision 2021/914)
- Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), cuando aplique
10. Periodo de conservacion
- Datos de clientes activos: Mientras dure la relacion comercial con el taller
- Datos tras baja del taller: 30 dias para recuperacion, despues supresion
- Datos con obligacion fiscal: 4 anios tras la ultima factura (Ley General Tributaria)
- Copias de seguridad: 7 dias
11. Obligaciones del Responsable
El Responsable se compromete a:
- Haber obtenido el consentimiento o disponer de base juridica para el tratamiento de los datos que introduce en FIXA.
- Informar a sus clientes sobre el tratamiento de datos conforme a los Arts. 13 y 14 RGPD.
- Atender los derechos de los interesados utilizando las herramientas proporcionadas por FIXA.
- No introducir datos de categorias especiales (Art. 9 RGPD) en la plataforma.
12. Duracion y resolucion
Este contrato tiene la misma duracion que la suscripcion del Responsable a FIXA. A la finalizacion:
- El Encargado pondra a disposicion del Responsable una exportacion completa de sus datos.
- Transcurridos 30 dias, los datos seran eliminados de forma segura, salvo obligacion legal de conservacion.
13. Legislacion aplicable
Este contrato se rige por la legislacion espanola y, en particular, por:
- Reglamento (UE) 2016/679 (RGPD)
- Ley Organica 3/2018, de 5 de diciembre (LOPDGDD)
Al aceptar este contrato durante el registro en FIXA, el Responsable confirma haber leido, entendido y aceptado las condiciones aqui establecidas.
FIXA - Gestion de Taller | Producto de Ibanez Clima
Contacto DPO: hola@fixataller.es