Política de Privacidad
Fecha de entrada en vigor: 2026-05-14 Última actualización: 2026-05-14 Versión: 3.1
Responsable del tratamiento: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Países Bajos (KvK 92122167). Contacto de privacidad: privacy@carsu.com
1. A quién se aplica
Carsu B.V. («Carsu», «nosotros») opera una plataforma SaaS para el mercado de posventa del automóvil. Esta política explica cómo tratamos los datos personales, de conformidad con el RGPD, el UK GDPR, la Directiva ePrivacy y la normativa nacional de protección de datos aplicable. Se aplica a:
- Usuarios de la plataforma (propietarios de talleres y su personal);
- Clientes finales de dichos talleres cuyos datos se tratan a través de nuestra plataforma;
- Visitantes del sitio web de www.carsu.com y app.carsu.com.
Cualquier filial, sociedad vinculada o empresa del grupo Carsu B.V. que trate datos personales en relación con nuestros servicios se adhiere a esta política.
2. Nuestro rol
| Actividad | Rol de Carsu | Base jurídica |
|---|---|---|
| Cuenta de plataforma, facturación, pagos | Responsable | Contrato (Art. 6(1)(b)) |
| Datos de clientes finales tratados a través de la plataforma | Encargado (el taller es el Responsable) | Base del taller |
| Mensajes enviados a clientes finales (WhatsApp, SMS, Viber) | Encargado | Base del taller |
| Datos de Google Calendar sincronizados mediante OAuth a iniciativa del usuario | Responsable | Consentimiento (Art. 6(1)(a)) y contrato (Art. 6(1)(b)) |
| Analítica del sitio web y cookies | Responsable | Consentimiento / interés legítimo |
Cuando Carsu actúa como Encargado, el taller sigue siendo responsable de la licitud de su tratamiento, incluida la obtención de los consentimientos necesarios.
3. Datos que tratamos
De usted o del taller: nombre, correo electrónico, teléfono, razón social, NIF/IVA, dirección de facturación, matrícula, datos del vehículo, historial de servicios, citas, mensajes, identificadores de pago (los datos de tarjeta van directamente a Stripe; nosotros no los almacenamos).
De las API de Google, con su consentimiento OAuth (sincronización opcional de calendario): eventos de calendario que usted elija importar desde su Google Calendar, incluidos título del evento, hora de inicio y fin, ubicación, descripción, direcciones de correo electrónico de los asistentes y patrones de recurrencia. Accedemos a estos datos únicamente a través de la API de Google con el ámbito calendar.events.readonly. Nunca recibimos su contraseña de Google y nunca escribimos eventos en su Google Calendar. Puede desconectar la integración en cualquier momento (véase §8 y §11).
Recopilados automáticamente: dirección IP, datos del dispositivo y del navegador, páginas visitadas, uso de funciones, duración de la sesión, cookies (véase §10).
4. Bases jurídicas
Nos basamos en el contrato (Art. 6(1)(b)) para prestar el servicio, el interés legítimo (Art. 6(1)(f)) para la seguridad, la prevención del fraude, la mejora del producto y las comunicaciones de servicio, el consentimiento (Art. 6(1)(a)) para el marketing, las cookies no esenciales e integraciones opcionales con terceros como la sincronización con Google Calendar, y la obligación legal (Art. 6(1)(c)) para requerimientos fiscales, contables y de las autoridades.
5. Cómo utilizamos los datos
Para operar y mejorar la plataforma; procesar pagos; enviar mensajes en nombre de los talleres; sincronizar y mostrar sus eventos de Google Calendar en la página de calendario de Carsu (cuando usted lo haya autorizado); prestar soporte (incluida la traducción asistida por IA mediante Intercom; Intercom no utiliza sus datos para entrenar sus modelos); generar información agregada y anonimizada (§7.4); garantizar la seguridad y prevenir el fraude; cumplir obligaciones legales; y —únicamente con su consentimiento— para fines de marketing.
Uso de IA. Nuestras funciones de IA (traducción de Intercom; Anthropic para uso operativo con datos desidentificados) no producen efectos jurídicos ni significativos similares sobre usted, ni constituyen una decisión automatizada con arreglo al Art. 22 del RGPD. Clasificamos nuestro uso de IA como de riesgo mínimo conforme al Reglamento de IA de la UE. Puede oponerse a la traducción asistida por IA escribiendo a support@carsu.com. Los datos obtenidos de las API de Google quedan excluidos de cualquier tratamiento de IA y aprendizaje automático (véase §5a).
5a. Google API Services User Data Policy — Limited Use
El uso y la transferencia por parte de Carsu a cualquier otra aplicación de la información recibida de las API de Google se ajustan a la Google API Services User Data Policy, incluidos los requisitos de Limited Use. En particular, utilizamos los datos de Google Calendar únicamente para prestar y mejorar la función de sincronización de calendario visible para usted en la plataforma Carsu. No:
- Transferimos datos de usuarios de Google a terceros salvo en la medida necesaria para prestar o mejorar funciones orientadas al usuario, para cumplir con la ley aplicable, o en el marco de una fusión, adquisición o venta de activos con aviso previo a usted;
- Utilizamos datos de usuarios de Google para mostrar publicidad, incluida publicidad de retargeting, personalizada o basada en intereses;
- Vendemos datos de usuarios de Google a terceros, intermediarios de datos o revendedores de información;
- Utilizamos datos de usuarios de Google para desarrollar, mejorar o entrenar modelos generalizados o no personalizados de inteligencia artificial o aprendizaje automático.
El acceso humano a los datos de usuarios de Google se limita a (a) los casos en que hayamos obtenido su consentimiento específico para visualizar mensajes, archivos o eventos concretos; (b) cuando sea necesario para investigaciones de seguridad, prevención de abusos o para cumplir con la ley aplicable; (c) cuando los datos hayan sido agregados y anonimizados para operaciones internas conforme a esta Política; o (d) cuando sea necesario para prestar atención al cliente a petición expresa suya.
6. Comunicaciones
Los mensajes de servicio (alertas de seguridad, facturación, cambios en las condiciones) se envían sobre la base del contrato o del interés legítimo y no pueden rechazarse. Las comunicaciones de marketing se envían únicamente con su consentimiento y pueden retirarse en cualquier momento mediante el enlace para darse de baja o escribiendo a privacy@carsu.com.
7. Comunicación de datos
7.1 Subencargados
Utilizamos los siguientes subencargados en virtud de Contratos de Tratamiento de Datos conforme al Art. 28 del RGPD:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Microsoft Azure | Infraestructura en la nube | UE (Europa Occidental) |
| Stripe | Pagos | UE / EE. UU. (SCC) |
| WhatsApp Business API (Meta) | Mensajería | UE / EE. UU. (SCC) |
| Viber (Rakuten) | Mensajería | UE / Internacional (SCC) |
| Twilio | Pasarela SMS | UE / EE. UU. (SCC) |
| Intercom | Soporte y traducción con IA | EE. UU. (SCC) |
| Anthropic | Servicios de IA (datos desidentificados) | EE. UU. (SCC) |
| Mixpanel | Analítica de producto in-app | EE. UU. (SCC) |
| Cloudflare | CDN, mitigación de bots | UE / Edge global (SCC) |
| Google Ireland Ltd. | Analítica del sitio web (GA4, GTM) | UE / EE. UU. (SCC) |
| Microsoft Ireland Operations Ltd. | Analítica de UX del sitio web (Clarity) | UE / EE. UU. (SCC) |
| Meta Platforms Ireland Ltd. | Medición publicitaria (Meta Pixel) | UE / EE. UU. (SCC) |
| LinkedIn Ireland Unlimited Company | Medición publicitaria (LinkedIn Insight Tag) | UE / EE. UU. (SCC) |
Google LLC también es una fuente de datos upstream (no un subencargado) cuando usted autoriza la integración opcional con Google Calendar. Los datos fluyen desde Google hacia Carsu en virtud de su consentimiento OAuth y se rigen por los §3, §5 y §5a de esta Política. Los datos del calendario no se transfieren a ninguno de los subencargados enumerados anteriormente.
7.2 Cambios de subencargados
Notificamos a los usuarios de la plataforma con al menos 30 días de antelación antes de contratar o sustituir un subencargado. Los derechos de oposición figuran en el DPA de nuestras Condiciones Generales (Anexo A, §A5).
7.3 Otros destinatarios
Podemos compartir datos personales con asesores profesionales sujetos a deberes de confidencialidad, con las autoridades cuando sea legalmente exigible, y en el marco de una fusión o adquisición (con aviso previo).
7.4 Información anonimizada
Podemos compartir información agregada e irreversiblemente anonimizada con socios del sector. Los destinatarios tienen contractualmente prohibido intentar la reidentificación. Dado que dichos datos quedan fuera del ámbito del RGPD (Considerando 26), no constituyen una transferencia de datos personales. Los datos obtenidos de las API de Google quedan excluidos de la información anonimizada en virtud de nuestro compromiso de Limited Use (§5a).
No vendemos datos personales.
8. Sus derechos
Usted tiene derecho a acceder, rectificar, suprimir, limitar, portar, oponerse y retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo. Escriba a privacy@carsu.com para ejercerlos. Verificaremos su identidad y responderemos en un plazo de 30 días (prorrogable dos meses para solicitudes complejas).
Si un taller trata sus datos a través de nuestra plataforma, su contacto principal es el taller (como Responsable). Le prestaremos asistencia para atender su solicitud.
Integración con Google Calendar — revocación y supresión. Usted puede revocar en cualquier momento el acceso de Carsu a su cuenta de Google (a) desconectando la integración desde la configuración de su cuenta Carsu, o (b) eliminando la app Carsu de su cuenta de Google en myaccount.google.com/permissions. La revocación detiene inmediatamente cualquier sincronización ulterior. Los datos de eventos de calendario ya almacenados en caché en nuestros servidores se eliminarán en un plazo de 30 días desde la desconexión (véase §11). Para solicitar la supresión inmediata, escriba a privacy@carsu.com.
9. Transferencias internacionales
Nuestra infraestructura principal se encuentra en el EEE. Cuando los datos se transfieren fuera del EEE o del Reino Unido, nos basamos en las Standard Contractual Clauses (Decisión 2021/914) o en el UK IDTA/Addendum, complementadas con cifrado (TLS 1.2+ en tránsito, AES-256 en reposo) y evaluaciones de impacto de la transferencia. Las transferencias UE–RU se apoyan en la decisión de adecuación del Reino Unido (renovada en julio de 2025). Puede solicitar una copia de las SCC aplicables en privacy@carsu.com.
10. Cookies
Sitio web. Las cookies de www.carsu.com se describen en nuestra Política de Cookies.
En la aplicación. Cuando inicia sesión en la plataforma Carsu utilizamos una cookie de sesión, una cookie de protección CSRF y una de preferencia de idioma (todas estrictamente necesarias). Utilizamos Mixpanel para analítica de producto sobre la base del interés legítimo (Art. 6(1)(f)); puede oponerse escribiendo a privacy@carsu.com, y detendremos la recogida de eventos y eliminaremos los registros asociados en un plazo de 30 días. Está previsto en el roadmap un selector de exclusión dentro de la aplicación.
11. Conservación
| Datos | Conservación | Motivo |
|---|---|---|
| Datos de cuenta y perfil | Suscripción + 12 meses | Prestación del servicio y ventana de exportación |
| Facturación y facturas | 7 años | Legislación fiscal neerlandesa / italiana |
| Datos de vehículo y servicio | Suscripción + 12 meses | Prestación del servicio |
| Registros de comunicaciones | 24 meses | Prestación del servicio, controversias |
| Tickets de soporte | 36 meses | Aseguramiento de la calidad |
| Eventos de Google Calendar sincronizados | Duración de la sincronización activa + 30 días tras la desconexión o supresión de la cuenta | Prestación del servicio; cumplimiento de Limited Use |
| Tokens OAuth de Google | Hasta que desconecte la integración o revoque el acceso en myaccount.google.com | Necesarios para mantener la sincronización autorizada |
| Cookies de analítica | Hasta 13 meses | Mejora del sitio web |
| Cookies de marketing | Hasta 12 meses | Medición publicitaria |
| Registros de consentimiento de marketing | Consentimiento + 3 años | Prueba del consentimiento |
Finalizado el plazo de conservación, eliminamos o anonimizamos de forma irreversible los datos. Los datos obtenidos de las API de Google se eliminan, no se anonimizan, conforme a nuestro compromiso de Limited Use.
12. Seguridad
Aplicamos medidas técnicas y organizativas conforme al Art. 32 del RGPD, incluidos cifrado en tránsito y en reposo, control de acceso basado en roles con el principio de mínimo privilegio, MFA para todo acceso administrativo y de plataforma, evaluaciones periódicas de vulnerabilidades, registro de accesos y respuesta documentada ante incidentes. Estamos trabajando para obtener SOC 2 Type II e ISO 27001. Divulgación responsable de vulnerabilidades: security.txt o security@carsu.com.
Los tokens OAuth para el acceso a las API de Google se almacenan cifrados en reposo y solo son accesibles para los componentes de la plataforma que realizan la sincronización del calendario.
13. Violaciones de la seguridad de los datos
Cuando una violación pueda entrañar un riesgo para sus derechos, lo notificamos a la autoridad de control en un plazo de 72 horas (Art. 33) y, cuando el riesgo sea alto, se lo comunicamos directamente a usted sin demora indebida (Art. 34). Cuando Carsu actúa como Encargado, notificamos al Responsable (taller) sin demora indebida.
14. Residentes en el Reino Unido
Los residentes en el Reino Unido tienen los mismos derechos descritos en §8. Las transferencias entre la UE y el Reino Unido se basan en la decisión de adecuación de la UE para el Reino Unido (renovada en julio de 2025, válida hasta 2031). Cuando la normativa de protección de datos del Reino Unido entre en conflicto con esta política respecto de residentes británicos, prevalecerá la legislación del Reino Unido.
15. Menores
Nuestros servicios son B2B y no están dirigidos a menores. No recopilamos conscientemente datos de personas menores de 16 años (o menores de 14 años en Italia, conforme al D.Lgs. 101/2018). Si detectamos dichos datos, los eliminamos sin dilación.
16. Cambios
Actualizamos esta política cuando cambian nuestras prácticas, nuestra tecnología o nuestras obligaciones legales. Los cambios sustanciales se notifican por correo electrónico o en la plataforma con al menos 30 días de antelación.
17. Reclamaciones
Puede presentar una reclamación ante la autoridad neerlandesa Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) —nuestra autoridad de control principal en el marco de la ventanilla única del RGPD— o ante la autoridad de protección de datos de su país de residencia en la UE (en España, la Agencia Española de Protección de Datos — AEPD, www.aepd.es). Preferimos que se ponga en contacto con nosotros primero en privacy@carsu.com para intentar resolver su inquietud directamente.
18. Documentos relacionados
Esta política debe leerse junto con nuestras Condiciones Generales (incluido el Contrato de Tratamiento de Datos del Anexo A) y nuestra Política de Cookies.
19. Contacto
Privacidad: privacy@carsu.com Legal: legal@carsu.com Seguridad: security@carsu.com General: hello@carsu.com Correo postal: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Países Bajos