Contrato de Encargo de Tratamiento de Datos (DPA)
Versión 1.0 — Vigente desde 25 de abril de 2026
Este contrato cumple el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y el artículo 33 de la LOPDGDD. Se entiende aceptado por el RESPONSABLE al registrarse en Synxro y aceptar los Términos y Condiciones.
1. Partes
- RESPONSABLE DEL TRATAMIENTO: el taller, autónomo o sociedad mercantil que contrata el servicio Synxro (en adelante, «el Cliente»). Sus datos identificativos son los aportados al darse de alta y conservados en la sección «Configuración → Empresa» de la aplicación.
- ENCARGADO DEL TRATAMIENTO: Synxro (en adelante, «Synxro»), con datos identificativos publicados en el Aviso Legal. Email RGPD: privacidad@synxro.com.
2. Objeto
Synxro tratará por cuenta del Cliente los datos personales necesarios para prestar el servicio de gestión integral de taller mecánico contratado, en los términos del artículo 28 del RGPD.
3. Naturaleza, finalidad y duración
| Naturaleza | Almacenamiento, organización, consulta, modificación, comunicación interna y supresión de datos personales en una plataforma SaaS multi-tenant. |
| Finalidad | Gestión de clientes, vehículos, presupuestos, órdenes de reparación, facturación, inventario, agenda, comunicaciones (email/SMS) y análisis interno del taller. |
| Duración | Mientras el Cliente mantenga contratado el servicio. Tras la baja, se aplica el plazo de conservación previsto en la cláusula 9. |
4. Tipo de datos personales tratados
- Identificativos: nombre, apellidos, DNI/NIE, CIF.
- Contacto: dirección postal, teléfono, email.
- Vehículo: matrícula, marca, modelo, bastidor (VIN), kilometraje.
- Económicos: presupuestos, facturas, formas de pago (sin datos bancarios).
- Históricos: reparaciones anteriores, comunicaciones, firmas digitales de presupuestos.
- Datos de trabajadores del taller (si el Cliente los introduce): nombre, rol, horarios.
No se tratan categorías especiales del art. 9 RGPD (salud, religión, ideología, biometría con fines de identificación, etc.).
5. Categorías de interesados
- Clientes finales del taller (personas físicas y representantes de personas jurídicas).
- Trabajadores del taller dados de alta en la plataforma.
- Proveedores del taller cuyos albaranes se digitalizan.
6. Obligaciones de Synxro como Encargado
- Tratar los datos siguiendo exclusivamente las instrucciones documentadas del Cliente, incluidas las que constan en estos Términos y en la configuración de la cuenta.
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
- Adoptar todas las medidas técnicas y organizativas exigidas por el art. 32 RGPD: cifrado en tránsito (TLS 1.3) y reposo, control de acceso por roles (RLS PostgreSQL), copias de seguridad automáticas diarias, registros de auditoría inmutables, y revisiones periódicas de seguridad.
- Asistir al Cliente en la atención de los derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición).
- Asistir al Cliente en el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto, consultas previas).
- Notificar al Cliente cualquier brecha de seguridad sin dilación indebida y, en todo caso, en menos de 48 horas desde su conocimiento, aportando la información del art. 33.3 RGPD.
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del art. 28 y permitir auditorías razonables previo aviso de 30 días.
- Devolver o suprimir los datos al finalizar el contrato según lo previsto en la cláusula 9.
- No tratar los datos para fines distintos de los contratados ni cederlos a terceros salvo subencargados autorizados (cláusula 7).
7. Subencargados autorizados
El Cliente autoriza expresamente a Synxro a recurrir a los siguientes subencargados, todos vinculados por DPA equivalente:
| Subencargado | Servicio | Localización | Garantía transferencia |
|---|---|---|---|
| Supabase Inc. | BD + Auth | UE (Irlanda) | Datos en EEE |
| Vercel Inc. | Hosting/CDN | EEUU + edge | SCCs UE + DPF |
| Resend | Email transaccional | EEUU | SCCs UE + DPF |
| Anthropic PBC | IA (Vision/Haiku) | EEUU | SCCs UE + Zero Data Retention |
| Stripe Payments Europe | Pagos suscripción Synxro | UE + EEUU | SCCs UE + DPF |
| Sentry | Monitorización técnica | EEUU | SCCs UE + DPF |
Synxro informará al Cliente con 30 días de antelación de cualquier cambio o adición de subencargados. El Cliente podrá oponerse motivadamente; en ese caso, las partes negociarán una solución y, si no la hubiera, el Cliente podrá rescindir el contrato sin penalización.
8. Transferencias internacionales
Las transferencias a EEUU se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando los proveedores están certificados, en el EU-US Data Privacy Framework (Decisión de adecuación 2023/1795).
9. Devolución y supresión
Al finalizar el contrato, el Cliente podrá:
- Exportar todos sus datos en formatos estándar (CSV, JSON) durante un periodo de gracia de 30 días.
- Solicitar la supresión inmediata. Synxro suprimirá los datos en un plazo máximo de 30 días, salvo aquellos que deban conservarse por obligación legal (facturas: 6 años conforme art. 66 LGT).
10. Responsabilidad
Cada parte responderá de los daños causados por incumplimiento del RGPD conforme al art. 82. Synxro responderá por daños derivados del incumplimiento de obligaciones específicas de los Encargados o por actuar al margen de las instrucciones del Cliente.
11. Ley aplicable y jurisdicción
Este contrato se rige por la legislación española y de la Unión Europea. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales del domicilio del Cliente cuando este sea consumidor; en caso contrario, a los Juzgados y Tribunales correspondientes al domicilio social de Synxro, con renuncia expresa a cualquier otro fuero.
— — —
Aceptación: este DPA se entiende firmado electrónicamente por el Cliente al registrarse en Synxro y aceptar los Términos y Condiciones, conforme a la Ley 59/2003 de Firma Electrónica. Quedan registrados en el sistema la fecha, hora y dirección IP de aceptación.