Last updated on October 5, 2025
Data Processing Agreement
Introducción
Este Acuerdo de Encargo de Tratamiento de Datos (en lo sucesivo, “DPA” o “Acuerdo”) se celebra entre Swipoo, S.L. (en adelante, “Swipoo”) y el Cliente (conjuntamente, las “Partes”) y forma parte integrante de los términos y condiciones aplicables al servicio de gestoría de trámites de vehículos suscrito por el Cliente (el “Contrato Principal”).
El objeto del DPA es establecer las condiciones bajo las cuales Swipoo tratará datos personales por cuenta del Cliente, de conformidad con el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos o “RGPD”) y demás normas de protección de datos aplicables.
Swipoo actúa como Encargado del tratamiento de los datos personales que el Cliente le confía para la prestación del servicio de gestoría, y como Responsable del tratamiento únicamente respecto a los datos de contacto y facturación que recaba directamente de sus clientes para gestionar la relación contractual y dar cumplimiento a sus obligaciones legales.
1. Definiciones
Salvo indicación contraria, los términos en mayúsculas utilizados en este DPA tendrán el significado que les atribuye el RGPD o el Contrato Principal.
Datos personales: toda información sobre una persona física identificada o identificable.
Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre Datos personales.
Interesado: la persona física titular de los Datos Personales.
Responsable del tratamiento (Controlador): la entidad que determina los fines y medios del tratamiento.
Encargado del tratamiento (Procesador): la entidad que trata Datos personales por cuenta del Responsable.
Subencargado del tratamiento (Sub‑procesador): tercero contratado por el Encargado para prestar determinados servicios de tratamiento.
Leyes de Protección de Datos aplicables: normativa europea, nacional o de otra jurisdicción aplicable al tratamiento de Datos personales.
SCC: Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914).
2. Objeto, naturaleza, duración y fines
2.1 Objeto. El Responsable encarga a Swipoo el tratamiento de Datos Personales estrictamente necesario para la gestión y tramitación de gestiones administrativas de vehículos (p. ej., ante DGT u otros organismos), así como la custodia documental y funcionalidades auxiliares asociadas (p. ej., firma electrónica, mensajería logística, soporte y mejora del servicio).
2.2 Naturaleza y fines. El tratamiento incluye operaciones de recogida, registro, organización, estructuración, conservación, consulta, comunicación a organismos públicos competentes, firma y entrega documental, soporte y mantenimiento, y, cuando proceda, dicha estructuración puede estar asistida por IA siguiendo las instrucciones del Responsable.
2.3 Duración. Este DPA se aplica durante la vigencia del Contrato Principal y mientras Swipoo conserve Datos Personales por cuenta del Responsable conforme a las instrucciones y obligaciones legales aplicables.
3. Roles y cumplimiento normativo
3.1 Responsable. El Responsable determina los fines y medios esenciales del tratamiento.
3.2 Encargado. Swipoo actuará únicamente con base en instrucciones documentadas del Responsable, incluidas las indicadas en el Contrato Principal y en este DPA. Si Swipoo considera que una instrucción infringe la normativa, lo notificará al Responsable.
3.3 Organismos públicos. Cuando Swipoo deba comunicar datos a autoridades (p. ej., DGT), esas autoridades actúan como responsables independientes del tratamiento en el ámbito de su competencia normativa.
4. Obligaciones de Swipoo (Encargado)
Swipoo se compromete a:
4.1 Tratamiento conforme a instrucciones. Tratar los Datos Personales únicamente para los fines descritos en la Sección 2 siguiendo las instrucciones del Responsable.
4.2 Confidencialidad. Garantizar que las personas autorizadas para tratar datos estén sujetas a obligación de confidencialidad y reciban formación en protección de datos.
4.3 Seguridad. Implementar y mantener medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (ver Anexo B).
4.4 Subencargados. No involucrar subencargados adicionales sin cumplir lo previsto en la Sección 7.
4.5 Asistencia al Responsable. Asistir al Responsable, en la medida de lo posible, para (i) responder a solicitudes de derechos de los interesados; (ii) realizar evaluaciones de impacto (DPIA) y consultas previas; (iii) cumplir con obligaciones de seguridad y notificación de brechas.
4.6 Notificación de violaciones. Notificar al Responsable sin dilación indebida, y en todo caso dentro de 48 horas desde que tenga constancia, cualquier violación de seguridad que afecte a Datos Personales, proporcionando información razonablemente disponible.
4.7 Registros y cooperación. Mantener registros de las actividades de tratamiento realizadas como encargado y cooperar con la AEPD u otras autoridades.
5. Obligaciones del Responsable
El Responsable se compromete a:
5.1 Proporcionar a Swipoo instrucciones lícitas y documentadas y contar con una base jurídica válida para el tratamiento.
5.2 Informar adecuadamente a los interesados y cumplir sus obligaciones en materia de transparencia.
5.3 No enviar a Swipoo categorías especiales de datos salvo que se especifique en el Anexo A y exista base legal adecuada.
5.4 Revisar y aprobar la lista de subencargados de la Sección 7/Anexo C y notificar objeciones justificadas en plazo.
6. Localización del tratamiento y transferencias internacionales
6.1 Residencia en la UE por defecto. Swipoo alojará y tratará los Datos Personales preferentemente en la Unión Europea, incluyendo AWS (regiones UE) y DocuSign (centros UE), cuando tales opciones estén configuradas y disponibles.
6.2 Transferencias fuera del EEE. Si, por la naturaleza del servicio o configuración del subencargado, se produjera un tratamiento fuera del EEE, Swipoo garantizará un mecanismo válido conforme al Capítulo V RGPD, que podrá incluir SCC (2021/914) y, cuando proceda, medidas complementarias (p. ej., evaluación de transferencia, cifrado, minimización y controles de acceso). Detalles en Anexo C.
7. Subencargados
7.1 Autorización general. El Responsable autoriza a Swipoo a contratar subencargados para la prestación del servicio, incluidos los listados en el Anexo C.
7.2 Compromisos equivalentes. Swipoo impondrá a todo subencargado, mediante contrato, obligaciones de protección de datos equivalentes a las de este DPA, incluyendo medidas de seguridad y, en su caso, mecanismos de transferencia.
7.3 Notificación de cambios. Swipoo notificará al Responsable la adición o sustitución de subencargados con al menos 15 días naturales de antelación (salvo urgencia operativa). El Responsable podrá formular objeción razonada. Si no es posible evitar el subencargado objetado, el Responsable podrá resolver el servicio afectado sin penalización.
8. Derechos de los interesados
Swipoo notificará al Responsable cualquier solicitud de ejercicio de derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación, etc.) recibida directamente y no responderá salvo autorización o instrucción documentada del Responsable, proporcionando asistencia razonable para su atención dentro de los plazos legales.
9. Auditorías y verificación
9.1 Información y auditoría. A solicitud del Responsable, Swipoo pondrá a disposición información razonablemente necesaria para demostrar el cumplimiento del DPA y permitirá auditorías (incluidas revisiones documentales o in situ) llevadas a cabo por el Responsable o un auditor independiente designado por éste, hasta una vez al año (salvo causa justificada) y con preaviso mínimo de 30 días.
9.2 Limitaciones razonables. Las auditorías se realizarán sin interferir indebidamente en las operaciones, respetando la confidencialidad y seguridad de otros clientes y sistemas. Los costes propios de cada parte correrán a su cargo.
10. Retención, devolución y supresión de datos
A la terminación del servicio, o a petición del Responsable, Swipoo suprimirá o devolverá (a elección del Responsable) los Datos Personales y sus copias, salvo que la conservación sea requerida por obligación legal (p. ej., plazos administrativos, fiscales o requerimiento del Colegio de Gestores Administrativos). En tal caso, Swipoo bloqueará los datos y los conservará debidamente protegidos hasta su eliminación definitiva.
11. Responsabilidad y jerarquía normativa
11.1 Responsabilidad. Las partes responderán de los daños y perjuicios causados por el tratamiento en los términos del RGPD/LOPDGDD y del Contrato Principal.
11.2 Prevalencia. En caso de conflicto, este DPA prevalecerá sobre el Contrato Principal en lo relativo al tratamiento de Datos Personales.
12. Modificaciones
Swipoo podrá actualizar este DPA para reflejar cambios legales, técnicos u operativos. Notificará dichas actualizaciones mediante su publicación en la web y, cuando corresponda, por medios razonables. Las actualizaciones sustanciales que afecten a las obligaciones del Responsable se notificarán con antelación razonable.
13. Ley aplicable y jurisdicción
Este DPA se rige por el derecho español y el RGPD. Salvo norma imperativa en contrario, las partes se someten a los Juzgados y Tribunales de Barcelona (España), con renuncia expresa a cualquier otro fuero que pudiera corresponderles.
Anexo A - Descripción del tratamiento
A.1. Categorías de Interesados
Titulares de vehículos, compradores y/o vendedores.
Representantes legales, apoderados y contactos de gestión.
Usuarios autorizados del cliente (Responsable).
A.2. Categorías de Datos Personales
Identificativos y de contacto: nombre, apellidos, DNI/NIE/Pasaporte, dirección, email, teléfono.
Datos del vehículo: matrícula, VIN, datos técnicos básicos y documentación asociada.
Datos transaccionales/administrativos: referencias de expedientes y trámites, justificantes y copias documentales.
Firma electrónica y trazabilidad (cuando aplique).
Logística de envíos (dirección postal y contacto para mensajería).
El Responsable no enviará categorías especiales de datos (art. 9 RGPD) ni datos de menores, salvo que lo exija el trámite y exista base legal e instrucciones por escrito.
A.3. Finalidades del Tratamiento
Tramitación administrativa de expedientes de vehículos; preparación y presentación ante organismos competentes (p. ej., DGT o COGAC).
Custodia y archivo de documentación.
Soporte al usuario, comunicaciones operativas y gestión de envíos.
Firma electrónica de documentos.
Mantenimiento, seguridad y mejora del servicio; estructuración de datos asistida por IA cuando sea necesaria para la prestación y siempre con datos minimizados.
A.4. Base jurídica
Determinada por el Responsable (p. ej., ejecución de contrato con el interesado y/o cumplimiento de obligaciones legales en materia administrativa/tributaria). Swipoo actúa como encargado siguiendo instrucciones.
A.5. Duración
Mientras dure la relación contractual y durante los plazos legales de conservación aplicables a expedientes administrativos/contables.
Anexo B – Medidas técnicas y organizativas
Swipoo implementa, entre otras, las siguientes medidas, adecuadas al riesgo y revisadas periódicamente:
Gobernanza y control de acceso: principio de mínimo privilegio, control de accesos basado en roles (RBAC), MFA, segregación de entornos (dev/prod).
Cifrado: cifrado en tránsito (TLS 1.2+) y en reposo en los sistemas que lo soportan (p. ej., bases de datos/volúmenes en la nube).
Gestión de identidades y claves: rotación de credenciales, bóvedas de secretos, registro de accesos privilegiados.
Registro y monitorización: logs de seguridad, alertas y retención proporcional; revisiones post-incidente.
Resiliencia y continuidad: copias de seguridad, alta disponibilidad de la infraestructura crítica y pruebas razonables de restauración.
Seguridad del desarrollo: control de versiones, revisión de código, pruebas, análisis de vulnerabilidades y gestión de dependencias.
Protección de datos por diseño y por defecto: minimización, pseudonimización cuando sea viable, retención limitada y políticas de borrado.
Gestión de terceros: evaluación y contratos con subencargados, incluyendo SCC cuando aplique y evaluaciones de transferencia.
Anexo C – Subencargados autorizados
Swipoo mantiene esta lista actualizada. La adición o sustitución de subencargados se notificará conforme a la Sección 7.3.
Subencargado | Servicio | Ubicación principal | Mecanismo de transferencia | Transferencias fuera del EEE |
|---|---|---|---|---|
Amazon Web Services (AWS) | Infraestructura cloud | UE (Irlanda/España) | DPF y SCC | No |
Outvio OÜ | Gestión envíos / tracking | UE | SCC u otras salvaguardas | Posibles (si la operativa lo requiere) |
OpenAI, L.L.C. | IA | UE (plan enterprise/API) | DPF y SCC | No |
DocuSign, Inc. | Firma electrónica | UE (Países Bajos) | DPF y SCC | No |
Sentry | Observabilidad y monitorización | UE (Alemania) | DPF y SCC | No |
Nota: La comunicación de datos a organismos públicos (p. ej., DGT) no constituye subencargo, puesto que dichos organismos actúan como responsables independientes.
Anexo D – Mecanismos de transferencia internacional
Cuando proceda una transferencia internacional:
Swipoo (o el subencargado) formalizará SCC (Módulos 2 y/o 3) con el destinatario extra-EEE.
Realizará una evaluación de transferencia (TIA) razonable, documentando riesgos y medidas complementarias (cifrado, seudonimización, minimización, controles de acceso).
Mantendrá evidencia contractual y técnica disponible para revisión por el Responsable bajo la Sección 9 (auditoría).
Anexo E – Contacto de privacidad
Swipoo, S.L. – Contacto privacidad: engineering@swipoo.com.
Delegado de Protección de Datos: El CTO de Swipoo en cada momento, actuando como DPD
Aceptación. Este DPA queda incorporado por referencia al Contrato Principal. Al utilizar los servicios de Swipoo, el Responsable acepta las obligaciones aquí establecidas. Para dudas o solicitud de copia firmada, contacte con engineering@swipoo.com.
