Saltar al contenido
Pintevo
Empieza gratis
Legal

Acuerdo de Encargado del Tratamiento (DPA)

Última actualización: 15 de mayo de 2026 · v1.1 · Conforme al art. 28 RGPD

El presente Acuerdo de Encargado del Tratamiento (en adelante, "DPA") forma parte integral de los Términos y Condiciones del servicio Pintevo y regula el tratamiento de datos personales realizado por Pintevo por cuenta del Taller cliente, en cumplimiento del art. 28 del Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD.

1. Las partes

  • Encargado del tratamiento: Sirvent Productes, S.L., CIF B60730256, con domicilio en Carrer Camí Antic de Vic, 17 — 08520 Corró d'Avall (Barcelona), operando bajo la marca Pintevo.
  • Responsable del tratamiento: el Taller cliente, identificado por el NIF/CIF consignado en su cuenta Pintevo y por la persona autorizada que aceptó los Términos al contratar el Servicio.

2. Objeto del acuerdo

Pintevo tratará datos personales por cuenta del Responsable con la única finalidad de prestar los servicios contratados (gestión integral del taller, CRM, facturación, fichaje, web pública, integraciones, etc.) conforme a las instrucciones documentadas del Responsable. El propio uso del Servicio conforme a sus funcionalidades estándar tiene la consideración de instrucción documentada.

3. Duración

Este DPA se mantendrá en vigor mientras dure el contrato de prestación del Servicio. Las obligaciones que por su naturaleza deban subsistir tras la finalización (confidencialidad, devolución/supresión de datos) seguirán vigentes hasta su completo cumplimiento.

4. Naturaleza, finalidad y categorías de datos

4.1 Naturaleza y finalidad

Prestación del Servicio Pintevo SaaS: alta y mantenimiento de clientes finales del Taller, gestión de vehículos, presupuestos, órdenes de reparación, albaranes, facturas, cobros, comunicaciones con el cliente final, web pública del Taller y módulos contratados.

4.2 Categorías de interesados

  • Clientes finales del Taller (particulares y empresas).
  • Aseguradoras y peritos cuando intervengan.
  • Empleados y operarios del Taller (datos relacionados con su actividad operativa y fichaje).

4.3 Categorías de datos

  • Identificación: nombre, DNI/NIF, dirección, teléfono, email.
  • Vehículo: matrícula, marca, modelo, número de bastidor, kilometraje.
  • Económicos: presupuestos, facturas, formas de pago (sin números de tarjeta).
  • Operativos: fotografías del vehículo, daños, partes de aseguradora.
  • Firmas digitales (trazo PNG con marca temporal e IP, sin tratamiento biométrico).
  • Datos laborales del personal del Taller relativos al fichaje y la actividad.

No se tratan categorías especiales del art. 9 RGPD salvo que el Responsable las incluya por su propia decisión, en cuyo caso será su responsabilidad asegurar la base de tratamiento adecuada.

5. Obligaciones del Encargado

Pintevo, como Encargado, se obliga a:

  • Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad de las personas autorizadas a tratar los datos (compromiso de confidencialidad firmado o equivalente estatutario).
  • Adoptar las medidas técnicas y organizativas apropiadas conforme al art. 32 RGPD (apartado 7).
  • Asistir al Responsable en la atención de los derechos de los interesados.
  • Asistir al Responsable en el cumplimiento de los arts. 32-36 RGPD (seguridad, brechas, evaluaciones de impacto).
  • Notificar sin demora indebida las brechas de seguridad (apartado 8).
  • No subcontratar el tratamiento a sub-encargados sin cumplir el procedimiento del apartado 6.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento.
  • Permitir y contribuir a auditorías razonables (apartado 10).
  • Devolver o suprimir los datos al finalizar el contrato (apartado 11).

6. Sub-encargados

El Responsable autoriza con carácter general la subcontratación de los sub-encargados listados y actualizados en /subprocessors.

Procedimiento para nuevas incorporaciones o sustituciones:

  • Pintevo notificará al Responsable con un mínimo de 15 días de antelación cualquier alta o sustitución de sub-encargado, mediante email a la dirección de contacto del Taller y/o aviso en el panel.
  • El Responsable podrá oponerse por escrito durante ese plazo razonando la oposición.
  • Si la objeción es fundada y no puede resolverse mediante medidas alternativas, el Responsable podrá rescindir el contrato sin penalización con derecho al reembolso prorrateado del periodo no consumido.
  • Pintevo garantiza que los sub-encargados firman obligaciones equivalentes a las de este DPA.

7. Medidas de seguridad

Pintevo aplica medidas técnicas y organizativas conforme al art. 32 RGPD, que incluyen:

  • Cifrado en tránsito (TLS 1.2+) y en reposo de credenciales y datos sensibles.
  • Control de acceso multi-tenant: cada Taller accede únicamente a sus propios datos.
  • Autenticación con contraseñas hash bcrypt/argon2 y soporte de roles de usuario.
  • Registros de auditoría de acciones críticas.
  • Backups diarios cifrados con retención mínima de 7 días.
  • Hosting en servidores ubicados en España (EEE).
  • Política de actualización de dependencias y revisión periódica de vulnerabilidades.
  • Procedimientos internos de gestión de incidentes y continuidad de negocio.
  • Formación interna en protección de datos a las personas con acceso.

El listado detallado de medidas técnicas y organizativas (TOMs) está disponible bajo NDA a solicitud del Responsable.

8. Notificación de brechas

Pintevo notificará al Responsable cualquier brecha de seguridad que afecte a datos personales tratados por cuenta del Responsable dentro de las 48 horas desde el momento en que tenga conocimiento de la misma, mediante email al contacto principal del Taller. La notificación incluirá, en la medida disponible:

  • Naturaleza de la brecha.
  • Categorías y número aproximado de interesados afectados.
  • Categorías y número aproximado de registros afectados.
  • Consecuencias probables.
  • Medidas adoptadas o propuestas para mitigarla.
  • Datos de contacto del DPO de Pintevo (dpo@pintevo.com).

La notificación a la AEPD (art. 33 RGPD) y a los interesados (art. 34 RGPD) corresponde al Responsable. Pintevo asistirá razonablemente al Responsable en estas comunicaciones.

9. Asistencia al Responsable

Pintevo asistirá al Responsable, en la medida razonablemente posible y proporcional:

  • En la atención de solicitudes de ejercicio de derechos por parte de los interesados.
  • En la realización de evaluaciones de impacto (DPIA) cuando sea exigible.
  • En consultas previas a la autoridad de control si fueran necesarias.
  • En la realización de auditorías y verificaciones de cumplimiento.

La asistencia ordinaria está incluida en la cuota. Asistencia extraordinaria que requiera dedicación significativa podrá facturarse a coste razonable previamente comunicado.

10. Auditoría

El Responsable podrá auditar el cumplimiento de este DPA mediante:

  • Revisión documental: informes anuales de seguridad, certificaciones disponibles, política de continuidad.
  • Auditoría in situ, previo aviso de 30 días, asumiendo el coste y respetando la continuidad operativa de Pintevo.

Salvo causa justificada (incidente grave, requerimiento de autoridad), las auditorías in situ no podrán exceder de una al año. Pintevo podrá oponer fundadamente la confidencialidad de información de terceros o de su know-how técnico.

11. Devolución y supresión

Al finalizar el contrato, a elección del Responsable, Pintevo devolverá o suprimirá los datos personales tratados por su cuenta en un plazo máximo de 30 días desde la solicitud.

Excepciones legales: Pintevo conservará bloqueados:

  • Registros Verifactu (6 años — Reglamento AEAT de Sistemas Informáticos de Facturación).
  • Facturación entre Pintevo y el Taller (6 años — LGT/Cco).
  • Logs de seguridad (12 meses) para defensa frente a incidentes.

Transcurridos dichos plazos, eliminación definitiva.

12. Transferencias internacionales

La infraestructura principal está alojada en España (EEE). Cuando algún sub-encargado realice tratamiento desde fuera del EEE, Pintevo garantiza la existencia de mecanismos legales válidos de transferencia: Cláusulas Contractuales Tipo aprobadas por la Comisión, adhesión al EU-US Data Privacy Framework u otras garantías equivalentes. Detalle en /subprocessors.

13. Responsabilidad

La responsabilidad del Encargado por incumplimientos de este DPA se regirá por el régimen general del art. 82 RGPD y por los límites de responsabilidad acordados en los Términos y Condiciones, sin perjuicio de las acciones directas que los interesados puedan ejercer frente a Encargado o Responsable conforme al RGPD.

Otros documentos legales: Política de Privacidad Términos y Condiciones Sub-encargados Contacto