Skip to content
Logo de Carsu – Software de gestión de talleres y mecánicos en España y Latinoamérica

Términos y Condiciones

Effective Date: 3/10/2026
Last Updated: 3/10/2026

Empresa: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Países Bajos

Registro Mercantil (KvK): 92122167

Sitio Web: www.carsu.com

Última actualización: 10 de marzo de 2026

1. Introducción

Estas Condiciones Generales ("Términos") regulan tu acceso y uso de la plataforma de software como servicio ("SaaS") operada por Carsu B.V. ("Carsu", "Empresa", "nosotros", "nuestro", o "nos"), disponible en https://www.carsu.com y a través de nuestras aplicaciones móviles ("Plataforma").

Al registrarte para una cuenta o utilizar nuestra Plataforma, aceptas estar vinculado por estos Términos, nuestra Política de Privacidad y Cookies (disponible en https://www.carsu.com/privacy), y cualquier formulario de pedido o acuerdo de suscripción aplicable. Si no aceptas, no utilices nuestros servicios.

Estos Términos se aplican a cualquier filial, afiliado, o empresa del grupo de Carsu B.V. que proporcione servicios bajo la marca Carsu.

2. Definiciones

Cuenta — Significado: Tu cuenta única para acceder a la Plataforma.

Controlador — Significado: La entidad que determina los fines y medios del tratamiento de datos personales (tal como se define en RGPD Art. 4(7)).

Créditos — Significado: Unidades prepagadas compradas para utilizar servicios de mensajería y comunicación en la Plataforma.

Cliente Final — Significado: Un cliente del Usuario (p. ej., un propietario de vehículo) cuyos datos se procesan a través de la Plataforma.

Fecha Efectiva — Significado: La fecha en que comienza tu suscripción, tal como se especifica en tu pedido o registro de cuenta.

Plataforma — Significado: El sitio web de Carsu, aplicación web, aplicaciones móviles, APIs, y todos los servicios relacionados.

Responsable del Tratamiento — Significado: La entidad que trata datos personales en nombre de un Controlador (tal como se define en RGPD Art. 4(8)).

Servicios — Significado: Todos los servicios proporcionados por Carsu a través de la Plataforma, incluidos SaaS, comunicaciones, y soporte.

Suscripción — Significado: Tu nivel de servicio elegido (p. ej., Gratuito, Básico, u otros planes de pago).

Usuario / Tú — Significado: Cualquier individuo o entidad comercial que se registre y utilice la Plataforma.

3. Servicios Proporcionados

Carsu proporciona una plataforma SaaS completa diseñada para el aftermarket automotriz, incluidos:

  • Gestión del Taller: Gestión de relaciones con clientes (CRM), programación, facturación, y seguimiento del historial de servicios.
  • Servicios de Comunicación: Mensajería integrada a través de WhatsApp Business y SMS, permitiendo a los Usuarios comunicarse con sus Clientes Finales.
  • Información de Vehículos y Piezas: Acceso a datos de vehículos, catálogos de piezas, e información de procedimientos de reparación.
  • Procesamiento de Pagos: Procesamiento de pagos integrado a través de Stripe.
  • Servicio al Cliente: Servicios de soporte incluidas funciones asistidas por IA como traducción automática de mensajes.

4. Registro de Cuenta y Seguridad

4.1 Registro

Para acceder a la Plataforma, debes registrarte para una Cuenta. Aceptas proporcionar información precisa, actual y completa durante el registro y mantener esta información actualizada.

4.2 Seguridad de la Cuenta

Eres responsable de mantener la confidencialidad de tus credenciales de acceso y de todas las actividades que ocurran en tu Cuenta. Debes notificarnos inmediatamente en [email protected] si tienes conocimiento de cualquier uso no autorizado de tu Cuenta.

4.3 Elegibilidad de la Cuenta

La Plataforma está destinada al uso comercial (B2B). Al registrarte, confirmas que estás autorizado a actuar en nombre de la entidad comercial que registras, y que tienes capacidad legal para celebrar estos Términos.

5. Uso de la Plataforma y Servicios de Comunicación

5.1 Integración de Mensajería

Nuestra Plataforma se integra con WhatsApp Business y pasarelas SMS. Los Usuarios deben cumplir con los términos y políticas respectivos de terceros para cada canal de comunicación utilizado. Carsu no es responsable de cambios en las políticas de plataformas de terceros o disponibilidad.

5.2 Tarifas de Mensajería

Las tarifas para enviar mensajes son variables y dependen del destino, tipo de mensaje, y tu nivel de Suscripción. Las tarifas actuales están disponibles en la sección Configuración de tu panel de Cuenta. Carsu se reserva el derecho de ajustar las tarifas de mensajería con 14 días de aviso previo a través del panel de tu Cuenta o correo electrónico.

5.3 Consentimiento y Cumplimiento

Carsu proporciona herramientas e información para ayudar a los Usuarios a obtener y gestionar el consentimiento para comunicaciones con Clientes Finales, en cumplimiento de la Directiva ePrivacy y leyes nacionales aplicables. Sin embargo, como Controlador de datos del Cliente Final, el Usuario es en última instancia responsable de garantizar:

  • Se obtiene consentimiento válido antes de enviar mensajes de marketing;
  • Los mensajes cumplen con leyes de anti-spam y comunicaciones electrónicas aplicables;
  • Las solicitudes de exclusión de Clientes Finales se honran prontamente.

6. Créditos Prepagados y Uso

6.1 Modelo de Crédito Prepagado

Carsu opera sobre la base de créditos prepagados para servicios de comunicación. Los Créditos deben comprarse con anticipación para utilizar funciones de mensajería.

6.2 Expiración de Créditos — Nivel Gratuito

Para Usuarios en el Nivel Gratuito, los Créditos comprados son válidos durante doce (12) meses desde la fecha de compra. Los Créditos no utilizados expiran automáticamente después de este período sin reembolso.

6.3 Validez de Créditos — Niveles de Pago

Para Usuarios en el Nivel Básico o cualquier otra Suscripción de pago, los Créditos comprados no expiran siempre que la Suscripción permanezca activa y en buen estado. Si una Suscripción de pago termina (por cualquier razón), los Créditos restantes se someten a la regla de expiración de 12 meses desde la fecha en que terminó la Suscripción.

6.4 Créditos de Prueba

Carsu puede proporcionar a Usuarios nuevos con Créditos de prueba complementarios para fines de prueba. Los Créditos de Prueba:

  • Expiran automáticamente tres (3) meses después de su emisión;
  • Pueden ser revocados en cualquier momento si sospechamos mal uso o violación de nuestra Política de Uso Aceptable (Sección 11);
  • No tienen valor en efectivo y no son transferibles.

7. Tarifas, Pago y Facturación

7.1 Precios

Los precios actuales para Créditos y niveles de Suscripción están disponibles en nuestro Sitio Web y en tu Configuración de Cuenta. Todas las tarifas se cotizan excluyendo impuestos aplicables a menos que se indique lo contrario.

7.2 Procesamiento de Pagos

Los pagos se procesan a través de Stripe. Al realizar una compra, aceptas los términos de servicio de Stripe. Carsu no almacena los detalles de tu tarjeta de crédito.

7.3 Facturación e IVA

Las facturas se emiten en el momento de la compra de Créditos o del pago de Suscripción.

  • Clientes holandeses (B2B): Se aplica IVA holandés del 21%.
  • Clientes de la UE fuera de los Países Bajos (B2B): Se aplica el mecanismo de inversión del sujeto pasivo del IVA. Las facturas incluyen la referencia "IVA invertido". Debes proporcionar un número de IVA válido de la UE.
  • Clientes del Reino Unido (B2B): Tarifa cero para IVA cuando se proporciona un número de IVA válido del Reino Unido.
  • Clientes fuera de la UE/Reino Unido: Sin IVA cobrado; las obligaciones fiscales locales son responsabilidad del cliente.

7.4 Cambios de Precios

Carsu puede ajustar los precios de Suscripción o tarifas de Créditos con al menos 30 días de aviso previo por escrito a través de correo electrónico. El uso continuado después de la fecha efectiva constituye aceptación. Si no aceptas un cambio de precio, puedes terminar tu Suscripción antes de que el nuevo precio entre en vigor.

7.5 Política de Reembolso

Todas las compras de Créditos y tarifas de Suscripción son no reembolsables, excepto cuando Carsu ha incumplido materialmente sus obligaciones de servicio bajo estos Términos o la ley aplicable lo requiere de otra manera.

8. Niveles de Servicio

8.1 Disponibilidad de la Plataforma

Carsu utilizará esfuerzos comercialmente razonables para mantener la disponibilidad de la Plataforma de al menos el 99,5% por mes calendario, medido excluyendo ventanas de mantenimiento programado.

8.2 Mantenimiento Programado

Proporcionaremos al menos 48 horas de aviso previo de mantenimiento planificado que pueda afectar la disponibilidad, excepto en casos de parches de seguridad urgentes donde puede ser necesario un aviso más corto.

8.3 Remedios

Si la disponibilidad de la Plataforma cae por debajo del 99,5% en cualquier mes calendario (excluyendo mantenimiento programado y eventos de Fuerza Mayor), los Usuarios afectados en Suscripciones de pago pueden solicitar un crédito de servicio prorrateado por el período afectado. Los créditos de servicio se aplican a facturas futuras y no constituyen un reembolso en efectivo. Las reclamaciones deben presentarse dentro de 30 días del mes afectado.

8.4 Dependencias de Terceros

Nuestros servicios de comunicación dependen de plataformas de terceros (WhatsApp, SMS gateways). Carsu no es responsable de interrupciones o limitaciones impuestas por estos proveedores de terceros. El tiempo de inactividad de terceros se excluye de los cálculos del SLA.

9. Protección de Datos

9.1 Política de Privacidad y Cookies

Carsu procesa datos personales de conformidad con nuestra Política de Privacidad y Cookies, disponible en https://www.carsu.com/privacy. Al utilizar la Plataforma, reconoces que has leído y entendido nuestra Política de Privacidad y Cookies.

9.2 Acuerdo de Tratamiento de Datos

Cuando Carsu procesa datos personales en tu nombre (es decir, datos del Cliente Final), Carsu actúa como Responsable del Tratamiento y tú actúas como Controlador. El Acuerdo de Tratamiento de Datos ("DPA") establecido en el Anexo A de estos Términos, o como se ejecute por separado, rige esta relación de tratamiento de conformidad con el Artículo 28 del RGPD.

9.3 Tus Obligaciones como Controlador

Como Controlador de datos del Cliente Final procesados a través de nuestra Plataforma, eres responsable de:

  • Garantizar que tienes una base legal válida para el tratamiento de datos del Cliente Final;
  • Obtener consentimientos necesarios para comunicaciones electrónicas (cumplimiento de la Directiva ePrivacy);
  • Responder a solicitudes de derechos del interesado de tus Clientes Finales (Carsu asistirá si se solicita);
  • Notificar a Carsu prontamente de cualquier solicitud de derechos del interesado que requiera la asistencia de Carsu;
  • Mantener tu propia política de privacidad que cubra tu uso de nuestra Plataforma para procesar datos del Cliente Final.

9.4 Portabilidad de Datos y Derechos de Cambio

De conformidad con el Artículo 20 del RGPD y la Ley de Datos de la UE (Reglamento (UE) 2023/2854), tienes derecho a la portabilidad de datos y cambio:

  • Exportación de Autoservicio: Puedes exportar tus datos en cualquier momento desde tu Configuración de Cuenta en formato CSV o JSON.
  • Solicitud de Exportación Manual: También puedes solicitar una exportación completa de datos enviando un correo electrónico a [email protected]. Las solicitudes de exportación se cumplirán dentro de 30 días.
  • Exportación Posterior a la Terminación: Puedes solicitar exportación de datos dentro de 12 meses después de la terminación de tu Suscripción.
  • Eliminación de Datos: Los datos se eliminarán permanentemente dentro de 60 días después de la ventana de exportación de 12 meses posteriores a la terminación, a menos que la retención sea requerida por ley.
  • Asistencia de Cambio: Bajo la Ley de Datos de la UE, si deseas cambiar a un proveedor de servicios alternativo, Carsu proporcionará asistencia técnica razonable durante un período de 30 días después de que inicies el proceso de cambio. Los cargos de cambio, si los hay, no excederán el costo incurrido directamente por Carsu al proporcionar la asistencia de cambio.

Carsu no impondrá barreras contractuales, técnicas o comerciales que inhiban el cambio o la portabilidad de datos más allá de lo estrictamente necesario para fines de seguridad e integridad de datos.

10. Propiedad Intelectual

10.1 PI de Carsu

Todo contenido, software, tecnología, diseños, marcas comerciales, y materiales en nuestra Plataforma son propiedad de Carsu B.V. o sus licenciadores y están protegidos por leyes de propiedad intelectual. Se te otorga una licencia limitada, no exclusiva, no transferible, revocable para usar la Plataforma para su propósito previsto durante tu Suscripción.

10.2 Tus Datos y Analítica Agregada

Retienes todos los derechos en los datos que subes a la Plataforma. Al subir datos, otorgas a Carsu una licencia limitada para procesar esos datos únicamente para el propósito de proporcionar los Servicios.

Carsu puede usar y compartir datos anonimizados y agregados (que no pueden identificarte a ti, tus Clientes Finales, o transacciones individuales) para mejora de servicios, análisis de industria, perspectivas de mercado, investigación, e innovación. Tales datos se agregan a un nivel que asegura que ningún taller individual, cliente final, o transacción pueda ser identificado.

Porque los datos se anonimizaron irreversiblemente antes de cualquier uso externo o compartición, cae fuera del alcance del RGPD (Considerando 26). Los receptores de perspectivas agregadas están vinculados por términos escritos que prohíben la re-identificación. Para más detalles, consulta la Sección 7.5 de nuestra Política de Privacidad y Cookies.

11. Política de Uso Aceptable

Aceptas no usar la Plataforma para:

  • Enviar mensajes de marketing no solicitados (spam) o mensajes sin consentimiento válido del destinatario;
  • Transmitir contenido que sea ilegal, difamatorio, amenazante, acosador, o discriminatorio;
  • Distribuir malware, virus, u otro código dañino;
  • Intentar obtener acceso no autorizado a la Plataforma, otras cuentas, o sistemas conectados;
  • Revertir la ingeniería, descompilar, o desensamblar cualquier parte de la Plataforma;
  • Usar la Plataforma para cualquier propósito que viole la ley aplicable, incluidas regulaciones de protección de datos y anti-spam;
  • Suplantar a cualquier persona o entidad, o tergiversar tu afiliación;
  • Eludir límites de uso, limitación de velocidad, u otras restricciones técnicas.

Carsu se reserva el derecho de suspender o terminar el acceso para Usuarios que violen esta Política de Uso Aceptable, de conformidad con la Sección 13.

12. Indemnización

Aceptas indemnizar y mantener indemne a Carsu, sus oficiales, directores, empleados, y agentes de y contra cualquier reclamo, daños, pérdidas, pasivos, y gastos (incluidas tarifas legales razonables) que surjan de:

  • Tu incumplimiento de estos Términos o la Política de Uso Aceptable;
  • Tu uso de la Plataforma en violación de la ley aplicable;
  • Mensajes enviados a través de la Plataforma en tu nombre, incluidos reclamos de Clientes Finales o terceros relacionados con consentimiento, contenido, o cumplimiento;
  • Cualquier reclamo de que los datos que proporcionaste infringen derechos de propiedad intelectual o privacidad de terceros.

13. Plazo, Suspensión y Terminación

13.1 Plazo

Tu Suscripción comienza en la Fecha Efectiva y continúa por el plazo acordado (mensual o anual, según corresponda), renovándose automáticamente a menos que se cancele antes del final del período actual.

13.2 Cancelación por Tu Parte

Puedes cancelar tu Suscripción en cualquier momento a través de la configuración de tu Cuenta. La cancelación entra en vigor al final del período de facturación actual. No se proporcionan reembolsos prorrateados por porciones no utilizadas de un período de facturación.

13.2a Cambio a Proveedor Alternativo (Ley de Datos de la UE)

De conformidad con la Ley de Datos de la UE, puedes terminar tu Suscripción con el propósito de cambiar a un proveedor de servicios alternativo proporcionando al menos 2 meses de aviso previo por escrito a [email protected]. Durante el período de aviso y durante 30 días después de la terminación, Carsu proporcionará asistencia técnica razonable para facilitar la transición, incluida la exportación de datos en formatos estándar (CSV, JSON) y documentación de estructuras de datos. Los cargos de cambio, si los hay, se limitarán a costos incurridos directamente y divulgados con anticipación.

13.3 Suspensión por Carsu

Carsu puede suspender tu acceso a la Plataforma inmediatamente si:

  • Razonablemente creemos que estás violando la Política de Uso Aceptable;
  • Tu Cuenta está involucrada en actividad fraudulenta sospechosa;
  • Se requiere para cumplir con una obligación legal u orden judicial;
  • Tu pago vence por más de 14 días.

Te notificaremos de cualquier suspensión y la razón de la misma tan pronto como sea practicable. La suspensión no termina estos Términos; restauraremos el acceso una vez que el problema se resuelva.

13.4 Terminación por Causa por Carsu

Carsu puede terminar tu Cuenta y estos Términos si:

  • Un incumplimiento material permanece sin remediarse durante 30 días después del aviso escrito;
  • Te involucras en violaciones repetidas de la Política de Uso Aceptable;
  • Te vuelves insolvente o entras en procedimientos de quiebra.

13.5 Posterior a la Terminación

Al momento de la terminación:

  • Todos los Créditos de prueba no utilizados se pierden inmediatamente;
  • Los Créditos comprados para niveles de pago están sujetos a las reglas de expiración en la Sección 6;
  • Puedes solicitar exportación de datos dentro de 12 meses después de la terminación (ver Sección 9.4);
  • Después del período de 12 meses posteriores a la terminación, todos tus datos se eliminarán permanentemente, excepto cuando la retención sea requerida por ley.

14. Limitación de Responsabilidad

14.1 Exclusión de Daños Indirectos

En la máxima medida permitida por la ley aplicable, ninguna de las partes será responsable de daños indirectos, incidentales, especiales, consecuentes, o punitivos, incluidos pero no limitados a pérdida de ganancias, datos, negocios, o buena voluntad, independientemente de la causa de acción o teoría de responsabilidad.

14.2 Límite de Responsabilidad

La responsabilidad total y agregada de Carsu bajo o en conexión con estos Términos no excederá las tarifas totales pagadas por ti a Carsu en los doce (12) meses inmediatamente anteriores al evento que da lugar al reclamo.

14.3 Excepciones

Nada en estos Términos excluye o limita la responsabilidad por:

  • Muerte o lesión personal causada por negligencia;
  • Fraude o representación fraudulenta;
  • Cualquier responsabilidad que no pueda ser excluida o limitada bajo la ley aplicable, incluidas obligaciones del RGPD.

15. Fuerza Mayor

Ninguna de las partes será responsable de ningún incumplimiento o retraso en el cumplimiento de sus obligaciones bajo estos Términos cuando tal incumplimiento o retraso resulte de eventos fuera de su control razonable, incluidos pero no limitados a: desastres naturales, pandemias, actos de gobierno, guerra, terrorismo, fallos de energía, interrupciones de internet, fallos de plataformas de terceros (WhatsApp, Stripe, pasarelas SMS), y ciberataques.

La parte afectada debe notificar a la otra parte prontamente y usar esfuerzos razonables para mitigar el impacto. Si un evento de Fuerza Mayor continúa durante más de 60 días, cualquiera de las partes puede terminar los Servicios afectados mediante aviso escrito.

16. Garantías y Descargos de Responsabilidad

16.1 Garantías de Carsu

Carsu garantiza que:

  • La Plataforma funcionará sustancialmente de acuerdo con su documentación;
  • Los Servicios serán proporcionados con habilidad y cuidado razonables;
  • Carsu cumplirá con la ley de protección de datos aplicable en su papel como Controlador o Responsable del Tratamiento.

16.2 Seguridad y Divulgación de Vulnerabilidades

Carsu mantiene una política de divulgación responsable de vulnerabilidades de conformidad con la Ley de Resiliencia Cibernética y mejores prácticas de la industria. Los investigadores de seguridad y Usuarios pueden informar vulnerabilidades a través de nuestro archivo security.txt en https://www.carsu.com/.well-known/security.txt o por correo electrónico a [email protected]. Carsu se compromete a reconocer reportes dentro de 5 días hábiles y proporcionar un cronograma de resolución dentro de 30 días.

16.3 Descargo de Responsabilidad

Excepto como se indica expresamente en estos Términos, la Plataforma se proporciona "tal cual" y "tal como está disponible". Carsu no hace garantías adicionales, expresas o implícitas, incluidas garantías de comerciabilidad, idoneidad para un propósito particular, o no infracción. Carsu no garantiza que la Plataforma será ininterrumpida, libre de errores, o que todos los defectos serán corregidos.

17. Ley Aplicable y Resolución de Disputas

17.1 Ley Aplicable

Estos Términos se rigen por y se interpretan de conformidad con las leyes de los Países Bajos, sin consideración de principios de conflicto de leyes.

17.2 Resolución de Disputas

Las partes intentarán primero resolver cualquier disputa a través de negociación de buena fe durante un período de 30 días. Si no se resuelve, las disputas se someterán a la jurisdicción exclusiva de los tribunales competentes de Ámsterdam, Países Bajos.

17.3 Reclamaciones Regulatorias

Nada en estos Términos te impide ejercer tus derechos bajo el RGPD o presentar reclamaciones ante la autoridad supervisora relevante (consulta nuestra Política de Privacidad y Cookies para obtener detalles).

18. Disposiciones Generales

18.1 Acuerdo Completo

Estos Términos, junto con la Política de Privacidad y Cookies y cualquier formulario de pedido o DPA aplicable, constituyen el acuerdo completo entre tú y Carsu con respecto al uso de la Plataforma. Reemplazan todos los acuerdos, representaciones, y comprensiones previos.

18.2 Divisibilidad

Si alguna disposición de estos Términos es considerada inválida o inaplicable, las disposiciones restantes continuarán en pleno vigor y efecto. La disposición inválida será modificada en la medida mínima necesaria para hacerla válida y aplicable.

18.3 Asignación

No puedes asignar o transferir estos Términos sin el consentimiento previo escrito de Carsu. Carsu puede asignar estos Términos en conexión con una fusión, adquisición, reorganización, o venta de sustancialmente todos sus activos, siempre que el cesionario acepte estar vinculado por estos Términos.

18.4 Renuncia

Ningún incumplimiento o retraso por ninguna de las partes en ejercer cualquier derecho bajo estos Términos constituirá una renuncia a ese derecho.

18.5 Notificaciones

Los avisos a Carsu deben enviarse a [email protected] o por correo a nuestra dirección registrada. Los avisos para ti serán enviados a la dirección de correo electrónico asociada con tu Cuenta. Los avisos se consideran recibidos al momento de la entrega (correo electrónico) o 5 días hábiles después del envío por correo (correo).

18.6 Enmiendas

Carsu puede enmendar estos Términos con al menos 30 días de aviso previo por escrito a través de correo electrónico o notificación en la Plataforma. Los cambios materiales serán destacados. El uso continuado después de la fecha efectiva constituye aceptación. Si no aceptas una enmienda, puedes terminar tu Suscripción antes de que la enmienda entre en vigor.

19. Contáctanos

Consultas legales: [email protected]

Consultas generales: [email protected]

Responsable de Protección de Datos: [email protected]

Cuestiones de seguridad: [email protected]

Dirección postal: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Países Bajos

Al usar nuestra Plataforma, reconoces que has leído, entendido, y aceptas estar vinculado por estos Términos y Condiciones.

ANEXO A

ACUERDO DE TRATAMIENTO DE DATOS

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte integral de los Términos y Condiciones de Carsu ("Acuerdo") entre Carsu B.V. ("Responsable del Tratamiento") y el Usuario ("Controlador") y rige el tratamiento de datos personales por parte del Responsable del Tratamiento en nombre del Controlador en conexión con los Servicios.

Este DPA se celebra de conformidad con el Artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y, donde sea aplicable, el Reglamento General de Protección de Datos del Reino Unido ("RGPD del Reino Unido").

A1. Definiciones

Los términos no definidos en este DPA tienen los significados dados en el Acuerdo y en el RGPD. En este DPA:

  • "Datos Personales del Controlador" significa datos personales que el Responsable del Tratamiento trata en nombre del Controlador en conexión con los Servicios.
  • "Leyes de Protección de Datos" significa el RGPD, RGPD del Reino Unido, la Directiva ePrivacy 2002/58/EC, el Código de Privacidad italiano (D.Lgs. 196/2003 según se enmienda), el UAVG holandés, y cualquier otra legislación de protección de datos aplicable.
  • "Sub-Responsable del Tratamiento" significa cualquier tercero contratado por el Responsable del Tratamiento para tratar Datos Personales del Controlador en nombre del Controlador.

A2. Alcance y Propósito del Tratamiento

A2.1 Asunto

El Responsable del Tratamiento trata Datos Personales del Controlador únicamente para el propósito de proporcionar los Servicios bajo el Acuerdo, incluida la gestión de talleres, comunicaciones de clientes (WhatsApp, SMS), procesamiento de pagos, y soporte al cliente.

A2.2 Duración

El tratamiento continúa durante la duración del Acuerdo y por tal período adicional según sea necesario para cumplir con obligaciones posteriores a la terminación (exportación de datos, eliminación) como se establece en el Acuerdo.

A2.3 Categorías de Interesados

  • Clientes Finales (clientes del Controlador/taller);
  • Empleados y personal del Controlador (donde sea relevante para el uso de la plataforma).

A2.4 Tipos de Datos Personales

  • Datos de contacto (nombres, números de teléfono, direcciones de correo electrónico);
  • Datos de vehículos (placas de matrícula, marca, modelo, tipo);
  • Registros de servicios y mantenimiento;
  • Datos de citas;
  • Contenido de comunicaciones (mensajes enviados a través de la Plataforma);
  • Identificadores de transacciones de pago (los detalles de la tarjeta son procesados por Stripe, no retenidos por Carsu).

A2.5 Naturaleza del Tratamiento

Recopilación, almacenamiento, recuperación, uso, transmisión (mensajería), organización, estructuración, y supresión de Datos Personales del Controlador según sea necesario para proporcionar los Servicios.

A2.6 Datos Anonimizados y Agregados

El Responsable del Tratamiento puede tratar Datos Personales del Controlador para generar perspectivas anonimizadas y agregadas para compartir con terceros. Tales tratamientos ocurren únicamente después de que los datos han sido anonimizados irreversiblemente y agregados a un nivel que asegura que ningún taller individual, cliente final, o transacción pueda ser identificado o re-ingenierizado desde el resultado.

Una vez anonimizados irreversiblemente, los datos resultantes caen fuera del alcance del RGPD (Considerando 26) y este DPA. Este tratamiento se respalda en el interés legítimo del Responsable del Tratamiento (Art. 6(1)(f)) y no extiende ni modifica los propósitos de entrega de servicio listados en A2.1, pero representa un uso distinto de los datos subyacentes después de la anonimización. Los receptores están vinculados por términos escritos que prohíben la re-identificación.

A3. Obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento deberá:

  • Tratar Datos Personales del Controlador únicamente según instrucciones documentadas del Controlador, incluida la transferencia de datos personales fuera del EEE o Reino Unido, a menos que sea requerido por la ley de la UE o de los Estados Miembros (en cuyo caso, el Responsable del Tratamiento debe informar al Controlador de ese requisito legal antes del tratamiento, a menos que esté prohibido de hacerlo);
  • Garantizar que las personas autorizadas a tratar Datos Personales del Controlador se hayan comprometido a la confidencialidad o estén bajo una obligación estatutaria apropiada de confidencialidad;
  • Implementar medidas técnicas y organizacionales apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluidas según sea apropiado: seudonimización y cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad, y resiliencia continuos de los sistemas de tratamiento, la capacidad de restaurar el acceso a datos personales de manera oportuna después de un incidente, y un proceso para probar y evaluar regularmente la efectividad de tales medidas;
  • Respetar las condiciones para contratación de Sub-Responsables del Tratamiento como se establece en la Sección A5;
  • Considerando la naturaleza del tratamiento, ayudar al Controlador mediante medidas técnicas y organizacionales apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Controlador de responder a solicitudes de interesados;
  • Ayudar al Controlador en garantizar el cumplimiento de obligaciones de notificación de brechas de datos (Artículos 33 y 34 RGPD), evaluaciones de impacto de protección de datos (Artículo 35 RGPD), y consulta previa con autoridades supervisoras (Artículo 36 RGPD), considerando la naturaleza del tratamiento e información disponible al Responsable del Tratamiento;
  • A elección del Controlador, eliminar o devolver todos los Datos Personales del Controlador al Controlador después del final de la prestación de Servicios, y eliminar copias existentes a menos que la ley de la UE o de los Estados Miembros requiera almacenamiento de los datos personales;
  • Poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento con este DPA y permitir y contribuir a auditorías, incluidas inspecciones, conducidas por el Controlador o un auditor designado por el Controlador.

A4. Obligaciones del Controlador

El Controlador deberá:

  • Garantizar que tiene una base legal válida bajo Leyes de Protección de Datos para el tratamiento de Datos Personales del Controlador, incluida la obtención de todos los consentimientos necesarios de los Interesados donde sea requerido;
  • Proporcionar instrucciones documentadas del tratamiento al Responsable del Tratamiento;
  • Ser responsable de la exactitud, calidad, y legalidad de Datos Personales del Controlador proporcionados al Responsable del Tratamiento;
  • Cumplir con sus obligaciones bajo Leyes de Protección de Datos, incluida la mantención de su propia política de privacidad, respuesta a solicitudes de interesados (con asistencia del Responsable del Tratamiento), y notificación a autoridades supervisoras de brechas de datos donde sea requerido;
  • Garantizar que los mensajes enviados a Clientes Finales a través de la Plataforma cumplan con la Directiva ePrivacy y leyes de comunicaciones electrónicas nacionales aplicables, incluida la obtención de consentimiento válido para mensajes de marketing.

A5. Sub-Responsables del Tratamiento

A5.1 Autorización General

El Controlador otorga al Responsable del Tratamiento una autorización escrita general para contratación de Sub-Responsables del Tratamiento para el tratamiento de Datos Personales del Controlador, sujeto a las condiciones en esta Sección A5.

A5.2 Sub-Responsables del Tratamiento Actuales

La lista actual de Sub-Responsables del Tratamiento se establece en la Sección 7.1 de la Política de Privacidad y Cookies (disponible en https://www.carsu.com/privacy). A partir de la fecha de este DPA, los Sub-Responsables del Tratamiento aprobados son:

Microsoft Azure — Propósito: Infraestructura en la nube y alojamiento — Ubicación: UE (Europa Occidental)

Stripe — Propósito: Procesamiento de pagos — Ubicación: UE / EE.UU. (CCE)

WhatsApp Business API (Meta) — Propósito: Mensajería de clientes — Ubicación: UE / EE.UU. (CCE)

Twilio — Propósito: Pasarela SMS — Ubicación: UE / EE.UU. (CCE)

Intercom — Propósito: Soporte al cliente y traducción por IA — Ubicación: EE.UU. (CCE)

Anthropic — Propósito: Servicios de IA — Ubicación: EE.UU. (CCE)

Mailchimp (Intuit) — Propósito: Marketing por correo electrónico — Ubicación: EE.UU. (CCE)

Mixpanel — Propósito: Análisis de productos — Ubicación: EE.UU. (CCE)

A5.3 Cambios a Sub-Responsables del Tratamiento

El Responsable del Tratamiento notificará al Controlador por correo electrónico o notificación en la Plataforma al menos 30 días antes de contratar un nuevo Sub-Responsable del Tratamiento o reemplazar uno existente. Controladores en Suscripciones de pago pueden suscribirse a notificaciones automáticas de cambios de sub-responsable del tratamiento a través de la configuración de su Cuenta.

La notificación deberá incluir la identidad y ubicación del Sub-Responsable del Tratamiento propuesto, la naturaleza del tratamiento, y las categorías de datos personales involucrados. El Controlador puede objetar el cambio dentro de 14 días de recibir la notificación, proporcionando razones escritas sobre fundamentos de protección de datos. Si el Controlador objeta y las partes no pueden resolver la objeción dentro de 30 días a través de discusión de buena fe, el Controlador puede terminar los Servicios afectados sin penalización.

A5.4 Obligaciones de Sub-Responsables del Tratamiento

El Responsable del Tratamiento garantizará que cada Sub-Responsable del Tratamiento esté vinculado por obligaciones de protección de datos no menos onerosas que las establecidas en este DPA, incluyendo en particular proporcionar suficientes garantías para implementar medidas técnicas y organizacionales apropiadas. El Responsable del Tratamiento permanece completamente responsable ante el Controlador por el cumplimiento de las obligaciones de cada Sub-Responsable del Tratamiento.

A6. Transferencias Internacionales

El Responsable del Tratamiento no transferirá Datos Personales del Controlador fuera del EEE o Reino Unido a menos que:

  • La transferencia sea a un país reconocido por la Comisión Europea o el Secretario de Estado del Reino Unido (según sea aplicable) como proporcionando un nivel adecuado de protección de datos; o
  • Las salvaguardas apropiadas estén en su lugar, incluidas Cláusulas Contractuales Estándar (CCE) adoptadas por la Comisión Europea (Decisión 2021/914) o, para transferencias del Reino Unido, el Acuerdo Internacional de Transferencia de Datos del Reino Unido (IDTA) o Addendum del Reino Unido a las CCE de la UE, suplementado por medidas técnicas adicionales donde sea requerido por una evaluación de impacto de transferencia.

Donde las transferencias a los Estados Unidos se realicen, el Responsable del Tratamiento depende de CCE (o IDTA del Reino Unido donde sea aplicable) suplementadas por medidas técnicas incluida cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), controles de acceso, y restricciones contractuales sobre solicitudes de acceso gubernamental. El Responsable del Tratamiento conducirá y mantendrá una evaluación de impacto de transferencia para cada transferencia a un país no cubierto por una decisión de adecuación, y pondrá tal evaluación a disposición del Controlador bajo solicitud.

A7. Seguridad de Datos

Sin perjuicio de la Sección A3, el Responsable del Tratamiento implementa y mantiene las siguientes medidas de seguridad mínimas:

  • Cifrado de datos personales en tránsito (TLS 1.2 o superior) y en reposo (AES-256);
  • Controles de acceso basados en roles con principio de menor privilegio;
  • Autenticación multifactor para todo el acceso administrativo y de plataforma;
  • Evaluaciones regulares de vulnerabilidades y pruebas de penetración;
  • Registro y monitoreo de acceso a Datos Personales del Controlador;
  • Procedimientos de respuesta a incidentes con rutas de escalada definidas;
  • Capacitación de personal en protección de datos y seguridad de la información, conducida al menos anualmente;
  • Procedimientos de continuidad comercial y recuperación ante desastres.

A8. Notificación de Brechas de Datos

El Responsable del Tratamiento notificará al Controlador sin demora indebida (y en todo caso dentro de 72 horas, consistente con Artículo 33 del RGPD) después de tener conocimiento de una brecha de datos personales que afecte Datos Personales del Controlador. Tales notificación deberá incluir:

  • Una descripción de la naturaleza de la brecha, incluyendo, donde sea posible, las categorías y número aproximado de interesados y registros afectados;
  • El nombre y datos de contacto del Responsable de Protección de Datos del Responsable del Tratamiento u otro punto de contacto;
  • Una descripción de las consecuencias probables de la brecha;
  • Una descripción de las medidas tomadas o propuestas para abordar la brecha, incluidas medidas para mitigar sus posibles efectos adversos.

El Responsable del Tratamiento cooperará con el Controlador y tomará pasos comerciales razonables para asistir en la investigación, mitigación, y remediación de tales brechas.

A9. Derechos de Interesados

El Responsable del Tratamiento notificará prontamente (y en todo caso dentro de 5 días hábiles) al Controlador si recibe una solicitud de un interesado para ejercer cualquiera de sus derechos bajo Leyes de Protección de Datos en relación con Datos Personales del Controlador. El Responsable del Tratamiento no responderá directamente al interesado a menos que esté autorizado por el Controlador o sea requerido por ley.

El Responsable del Tratamiento proporcionará asistencia razonable al Controlador en el cumplimiento de sus obligaciones de responder a solicitudes de interesados, considerando la naturaleza del tratamiento e información disponible al Responsable del Tratamiento.

A10. Derechos de Auditoría

El Responsable del Tratamiento pondrá a disposición del Controlador, bajo solicitud razonable (y no más de una vez por año calendario a menos que sea requerido por una autoridad supervisora o brecha de datos), toda la información razonablemente necesaria para demostrar el cumplimiento con este DPA.

El Responsable del Tratamiento permitirá y contribuirá a auditorías, incluidas inspecciones, conducidas por el Controlador o un auditor independiente designado por el Controlador, sujeto a:

  • Al menos 30 días de aviso previo escrito (a menos que sea requerido por una autoridad supervisora);
  • Alcance y duración razonables;
  • Obligaciones de confidencialidad respecto de la información propietaria del Responsable del Tratamiento;
  • El cumplimiento del auditor con políticas de seguridad aplicables.

Si una auditoría revela una deficiencia material, el Responsable del Tratamiento la remediará dentro de un marco de tiempo razonable acordado con el Controlador, a expensas del Responsable del Tratamiento.

A11. Eliminación y Devolución de Datos

Al momento de la terminación o vencimiento del Acuerdo, el Responsable del Tratamiento deberá, a elección del Controlador:

  • Devolver todos los Datos Personales del Controlador en un formato estructurado, comúnmente usado, legible por máquina (CSV o JSON) dentro de 30 días de la solicitud; o
  • Eliminar de manera segura todos los Datos Personales del Controlador dentro de 60 días del final de la ventana de exportación de datos de 12 meses posterior a la terminación establecida en el Acuerdo.

El Responsable del Tratamiento certificará la eliminación por escrito bajo la solicitud del Controlador. El Responsable del Tratamiento puede retener Datos Personales del Controlador únicamente en la medida requerida por la ley aplicable, y debe informar al Controlador de cualquier tal requisito de retención, incluida la base legal y la duración de la retención requerida.

A12. Responsabilidad

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo (Sección 14). Nada en este DPA excluye o limita la responsabilidad de ninguna de las partes por obligaciones bajo Leyes de Protección de Datos que no puedan ser limitadas por contrato.

A13. Ley Aplicable

Este DPA se rige por las leyes de los Países Bajos, consistentes con el Acuerdo. Para cuestiones relacionadas con Leyes de Protección de Datos, la autoridad supervisora del establecimiento del Controlador (o, donde el Controlador está establecido fuera del EEE, la Autoridad Holandesa de Protección de Datos) tendrá jurisdicción.

A14. Precedencia

En el evento de cualquier conflicto entre este DPA y el Acuerdo, los términos de este DPA prevalecerán respecto al tratamiento de Datos Personales del Controlador. En todos los demás aspectos, el Acuerdo rige.

Este DPA entra en vigor en la fecha en que el Controlador acepta el Acuerdo y permanece en vigor mientras el Responsable del Tratamiento trate Datos Personales del Controlador.

Contact Information

Address:
Harderwijkerweg 145 3852 AB Ermelo The Netherlands
Carsu - Términos de Servicio e Información Legal | Carsu