Política de Privacidad
Fecha de entrada en vigor: 2026-04-20
Última actualización: 2026-04-20
Versión: 3.0
Responsable del tratamiento: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands (KvK 92122167).
Contacto de privacidad: [email protected]
1. A quién se aplica
Carsu B.V. («Carsu», «nosotros») opera una plataforma SaaS para el mercado de posventa del automóvil. Esta política explica cómo tratamos los datos personales, de conformidad con el RGPD, el UK GDPR, la Directiva ePrivacy y la normativa nacional de protección de datos aplicable. Se aplica a:
- Usuarios de la plataforma (propietarios de talleres y su personal);
- Clientes finales de dichos talleres cuyos datos se tratan a través de nuestra plataforma;
- Visitantes del sitio web de www.carsu.com y app.carsu.com.
Cualquier filial, sociedad vinculada o empresa del grupo Carsu B.V. que trate datos personales en relación con nuestros servicios se adhiere a esta política.
2. Nuestro rol
| Actividad | Rol de Carsu | Base jurídica |
|---|---|---|
| Cuenta de plataforma, facturación, pagos | Responsable | Contrato (Art. 6(1)(b)) |
| Datos de clientes finales tratados a través de la plataforma | Encargado (el taller es el Responsable) | Base del taller |
| Mensajes enviados a clientes finales (WhatsApp, SMS, Viber) | Encargado | Base del taller |
| Analítica del sitio web y cookies | Responsable | Consentimiento / interés legítimo |
Cuando Carsu actúa como Encargado, el taller sigue siendo responsable de la licitud de su tratamiento, incluida la obtención de los consentimientos necesarios.
3. Datos que tratamos
De usted o del taller: nombre, correo electrónico, teléfono, razón social, NIF/IVA, dirección de facturación, matrícula, datos del vehículo, historial de servicios, citas, mensajes, identificadores de pago (los datos de tarjeta van directamente a Stripe; nosotros no los almacenamos).
Recopilados automáticamente: dirección IP, datos del dispositivo y del navegador, páginas visitadas, uso de funciones, duración de la sesión, cookies (véase §10).
4. Bases jurídicas
Nos basamos en el contrato (Art. 6(1)(b)) para prestar el servicio, el interés legítimo (Art. 6(1)(f)) para la seguridad, la prevención del fraude, la mejora del producto y las comunicaciones de servicio, el consentimiento (Art. 6(1)(a)) para el marketing y las cookies no esenciales, y la obligación legal (Art. 6(1)(c)) para requerimientos fiscales, contables y de las autoridades.
5. Cómo utilizamos los datos
Para operar y mejorar la plataforma; procesar pagos; enviar mensajes en nombre de los talleres; prestar soporte (incluida la traducción asistida por IA mediante Intercom; Intercom no utiliza sus datos para entrenar sus modelos); generar información agregada y anonimizada (§7.4); garantizar la seguridad y prevenir el fraude; cumplir obligaciones legales; y —únicamente con su consentimiento— para fines de marketing.
Uso de IA. Nuestras funciones de IA (traducción de Intercom; Anthropic para uso operativo con datos desidentificados) no producen efectos jurídicos ni significativos similares sobre usted, ni constituyen una decisión automatizada con arreglo al Art. 22 del RGPD. Clasificamos nuestro uso de IA como de riesgo mínimo conforme al Reglamento de IA de la UE. Puede oponerse a la traducción asistida por IA escribiendo a [email protected].
6. Comunicaciones
Los mensajes de servicio (alertas de seguridad, facturación, cambios en las condiciones) se envían sobre la base del contrato o del interés legítimo y no pueden rechazarse. Las comunicaciones de marketing se envían únicamente con su consentimiento y pueden retirarse en cualquier momento mediante el enlace para darse de baja o escribiendo a [email protected].
7. Comunicación de datos
7.1 Subencargados
Utilizamos los siguientes subencargados en virtud de Contratos de Tratamiento de Datos conforme al Art. 28 del RGPD:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Microsoft Azure | Infraestructura en la nube | UE (Europa Occidental) |
| Stripe | Pagos | UE / EE. UU. (SCC) |
| WhatsApp Business API (Meta) | Mensajería | UE / EE. UU. (SCC) |
| Viber (Rakuten) | Mensajería | UE / Internacional (SCC) |
| Twilio | Pasarela SMS | UE / EE. UU. (SCC) |
| Intercom | Soporte y traducción con IA | EE. UU. (SCC) |
| Anthropic | Servicios de IA (datos desidentificados) | EE. UU. (SCC) |
| Mailchimp (Intuit) | Marketing por correo electrónico | EE. UU. (SCC) |
| Mixpanel | Analítica de producto in-app | EE. UU. (SCC) |
| Cloudflare | CDN, mitigación de bots | UE / Edge global (SCC) |
| Google Ireland Ltd. | Analítica del sitio web (GA4, GTM) | UE / EE. UU. (SCC) |
| Microsoft Ireland Operations Ltd. | Analítica de UX del sitio web (Clarity) | UE / EE. UU. (SCC) |
| Meta Platforms Ireland Ltd. | Medición publicitaria (Meta Pixel) | UE / EE. UU. (SCC) |
| LinkedIn Ireland Unlimited Company | Medición publicitaria (LinkedIn Insight Tag) | UE / EE. UU. (SCC) |
7.2 Cambios de subencargados
Notificamos a los usuarios de la plataforma con al menos 30 días de antelación antes de contratar o sustituir un subencargado. Los derechos de oposición figuran en el DPA de nuestras Condiciones Generales (Anexo A, §A5).
7.3 Otros destinatarios
Podemos compartir datos personales con asesores profesionales sujetos a deberes de confidencialidad, con las autoridades cuando sea legalmente exigible, y en el marco de una fusión o adquisición (con aviso previo).
7.4 Información anonimizada
Podemos compartir información agregada e irreversiblemente anonimizada con socios del sector. Los destinatarios tienen contractualmente prohibido intentar la reidentificación. Dado que dichos datos quedan fuera del ámbito del RGPD (Considerando 26), no constituyen una transferencia de datos personales.
No vendemos datos personales.
8. Sus derechos
Usted tiene derecho a acceder, rectificar, suprimir, limitar, portar, oponerse y retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo. Escriba a [email protected] para ejercerlos. Verificaremos su identidad y responderemos en un plazo de 30 días (prorrogable dos meses para solicitudes complejas).
Si un taller trata sus datos a través de nuestra plataforma, su contacto principal es el taller (como Responsable). Le prestaremos asistencia para atender su solicitud.
9. Transferencias internacionales
Nuestra infraestructura principal se encuentra en el EEE. Cuando los datos se transfieren fuera del EEE o del Reino Unido, nos basamos en las Standard Contractual Clauses (Decisión 2021/914) o en el UK IDTA/Addendum, complementadas con cifrado (TLS 1.2+ en tránsito, AES-256 en reposo) y evaluaciones de impacto de la transferencia. Las transferencias UE–RU se apoyan en la decisión de adecuación del Reino Unido (renovada en julio de 2025). Puede solicitar una copia de las SCC aplicables en [email protected].
10. Cookies
Sitio web. Las cookies de www.carsu.com se describen en nuestra Política de Cookies.
En la aplicación. Cuando inicia sesión en la plataforma Carsu utilizamos una cookie de sesión, una cookie de protección CSRF y una de preferencia de idioma (todas estrictamente necesarias). Utilizamos Mixpanel para analítica de producto sobre la base del interés legítimo (Art. 6(1)(f)); puede oponerse escribiendo a [email protected], y detendremos la recogida de eventos y eliminaremos los registros asociados en un plazo de 30 días. Está previsto en el roadmap un selector de exclusión dentro de la aplicación.
11. Conservación
| Datos | Conservación | Motivo |
|---|---|---|
| Datos de cuenta y perfil | Suscripción + 12 meses | Prestación del servicio y ventana de exportación |
| Facturación y facturas | 7 años | Legislación fiscal neerlandesa / italiana |
| Datos de vehículo y servicio | Suscripción + 12 meses | Prestación del servicio |
| Registros de comunicaciones | 24 meses | Prestación del servicio, controversias |
| Tickets de soporte | 36 meses | Aseguramiento de la calidad |
| Cookies de analítica | Hasta 13 meses | Mejora del sitio web |
| Cookies de marketing | Hasta 12 meses | Medición publicitaria |
| Registros de consentimiento de marketing | Consentimiento + 3 años | Prueba del consentimiento |
Finalizado el plazo de conservación, eliminamos o anonimizamos de forma irreversible los datos.
12. Seguridad
Aplicamos medidas técnicas y organizativas conforme al Art. 32 del RGPD, incluidos cifrado en tránsito y en reposo, control de acceso basado en roles con el principio de mínimo privilegio, MFA para todo acceso administrativo y de plataforma, evaluaciones periódicas de vulnerabilidades, registro de accesos y respuesta documentada ante incidentes. Estamos trabajando para obtener SOC 2 Type II e ISO 27001. Divulgación responsable de vulnerabilidades: security.txt o [email protected].
13. Violaciones de la seguridad de los datos
Cuando una violación pueda entrañar un riesgo para sus derechos, lo notificamos a la autoridad de control en un plazo de 72 horas (Art. 33) y, cuando el riesgo sea alto, se lo comunicamos directamente a usted sin demora indebida (Art. 34). Cuando Carsu actúa como Encargado, notificamos al Responsable (taller) sin demora indebida.
14. Residentes en el Reino Unido
Los residentes en el Reino Unido tienen los mismos derechos descritos en §8. Las transferencias entre la UE y el Reino Unido se basan en la decisión de adecuación de la UE para el Reino Unido (renovada en julio de 2025, válida hasta 2031). Cuando la normativa de protección de datos del Reino Unido entre en conflicto con esta política respecto de residentes británicos, prevalecerá la legislación del Reino Unido.
15. Menores
Nuestros servicios son B2B y no están dirigidos a menores. No recopilamos conscientemente datos de personas menores de 16 años (o menores de 14 años en Italia, conforme al D.Lgs. 101/2018). Si detectamos dichos datos, los eliminamos sin dilación.
16. Cambios
Actualizamos esta política cuando cambian nuestras prácticas, nuestra tecnología o nuestras obligaciones legales. Los cambios sustanciales se notifican por correo electrónico o en la plataforma con al menos 30 días de antelación.
17. Reclamaciones
Puede presentar una reclamación ante la autoridad neerlandesa Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) —nuestra autoridad de control principal en el marco de la ventanilla única del RGPD— o ante la autoridad de protección de datos de su país de residencia en la UE (en España, la Agencia Española de Protección de Datos — AEPD, www.aepd.es). Preferimos que se ponga en contacto con nosotros primero en [email protected] para intentar resolver su inquietud directamente.
18. Documentos relacionados
Esta política debe leerse junto con nuestras Condiciones Generales (incluido el Contrato de Tratamiento de Datos del Anexo A) y nuestra Política de Cookies.
19. Contacto
Privacidad: [email protected]
Legal: [email protected]
Seguridad: [email protected]
General: [email protected]
Correo postal: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands