Documento legal

Acuerdo de Procesamiento de Datos (DPA)

Última revisión: 31 de mayo de 2026.

Este Acuerdo de Procesamiento de Datos (en adelante, "DPA" o "Acuerdo") regula la relación entre el cliente que contrata o utiliza los servicios de Driver Solution (en adelante, el "Responsable") y Driver Solution (en adelante, el "Encargado") cuando el Responsable utiliza los servicios para tratar datos personales de terceros (trabajadores en Driver Labor, clientes y proveedores en Driver Tax con facturación, conductores ajenos en Driver Tacho multi-cliente del bundle Business, etc.).

Este DPA se firma electrónicamente al aceptar las condiciones del servicio y forma parte integrante de las mismas. Es de aplicación automática y se considera aceptado cuando el Responsable introduce el primer dato personal de un tercero en la herramienta.

1. Partes y definiciones

De una parte, el Responsable del Tratamiento es el cliente persona física o jurídica que contrata o utiliza Driver Solution y carga en la plataforma datos personales de terceros sobre los que ostenta la titularidad o el legítimo interés del tratamiento.

De otra parte, el Encargado del Tratamiento es Pedro Mulero Sánchez, titular de Driver Solution, con NIF 43700194X, domicilio en España y dirección de contacto info@driversolution.es.

Se aplican las definiciones del artículo 4 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

2. Objeto, duración y naturaleza del tratamiento

Objeto. Tratamiento por parte del Encargado, por cuenta del Responsable, de los datos personales que el Responsable cargue en la plataforma Driver Solution para la prestación de los servicios contratados.

Duración. La duración del tratamiento coincide con la duración de la relación contractual de servicios, salvo conservaciones legales obligatorias posteriores.

Naturaleza. Tratamiento automatizado en infraestructura cloud, con cifrado en tránsito y reposo, conforme a las medidas técnicas y organizativas descritas en la cláusula 6.

Finalidad. Exclusivamente la prestación de los servicios contratados (emisión de nóminas, generación de informes fiscales, gestión del libro contable, generación de escritos laborales, análisis del tacógrafo, etc.) y atención del soporte técnico que el Responsable solicite.

3. Categorías de datos y de interesados

Las categorías de datos personales tratados y los interesados afectados varían según el módulo utilizado. Las más habituales:

3.1. Driver Labor (nóminas)

  • Interesados: trabajadores de la empresa Responsable.
  • Datos identificativos: nombre, apellidos, NIF/NIE, NAF.
  • Datos laborales: categoría profesional, tipo de contrato, jornada, salario base, fecha de alta, antigüedad.
  • Datos del modelo 145: estado civil, hijos menores de 25 años a cargo (de ellos menores de 3 años), ascendientes a cargo, grado de discapacidad propia, hipoteca de vivienda habitual anterior a 2013.
  • Datos económicos del periodo: variables mensuales (dietas, kilometraje, festivos, horas extra, ausencias, anticipos, embargos), bruto devengado, deducciones de Seguridad Social, retención IRPF aplicada, líquido a percibir.

3.2. Driver Tax (facturación y libro)

  • Interesados: clientes y proveedores de la empresa Responsable, contraparte de los movimientos del libro.
  • Datos identificativos: nombre / razón social, NIF / CIF, domicilio fiscal.
  • Datos económicos: facturas emitidas y recibidas, base imponible, IVA, total, fecha, concepto, método de pago.

3.3. Driver Tacho (archivo multi-cliente en plan Business)

  • Interesados: conductores titulares de las tarjetas de tacógrafo digital gestionadas por el Responsable (gestoría, asesoría, asociación, sindicato).
  • Datos identificativos: nombre, apellidos y, en su caso, DNI (derivado del número de tarjeta para tarjetas españolas) del titular.
  • Datos profesionales: número de tarjeta, Estado miembro emisor, periodo de actividad, fichero TGD binario.

El Responsable se compromete a no cargar en la plataforma categorías especiales de datos (origen racial, salud, ideología, vida sexual u orientación, datos genéticos o biométricos) salvo por estricta necesidad y con la base jurídica adecuada, y a comunicarlo previamente al Encargado para activar las medidas reforzadas correspondientes.

4. Obligaciones del Encargado (Driver Solution)

El Encargado se obliga a:

  • Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales (que se entienden documentadas en el contrato y en este DPA), salvo cuando la legislación de la Unión o de los Estados miembros le obligue a otra cosa, en cuyo caso lo notificará al Responsable antes del tratamiento, salvo prohibición legal.
  • Garantizar que el personal con acceso a los datos se ha comprometido a respetar la confidencialidad, mediante compromiso contractual y formación periódica. El deber de confidencialidad sobrevive a la finalización de la relación.
  • Adoptar las medidas técnicas y organizativas exigidas por el art. 32 RGPD, según se detallan en la cláusula 6.
  • No subcontratar el tratamiento a terceros sin la autorización previa, general o particular, del Responsable. La firma de este DPA constituye autorización general para los sub-encargados listados en la cláusula 5, con derecho de oposición del Responsable a la incorporación de nuevos sub-encargados.
  • Asistir al Responsable con medidas técnicas y organizativas apropiadas para atender los derechos de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad). Cuando el interesado dirija al Encargado una solicitud, ésta se trasladará al Responsable en un máximo de 5 días naturales.
  • Ayudar al Responsable en el cumplimiento de sus obligaciones de los arts. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto y consulta previa).
  • Comunicar al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga constancia de cualquier violación de la seguridad de los datos. La notificación incluirá la descripción de la naturaleza de la brecha, los datos y categorías de interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas.
  • Poner a disposición del Responsable, a su requerimiento razonable y previo aviso de al menos 4 semanas, toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, así como permitir auditorías una vez al año, en horario laboral y de forma que no se interrumpa la prestación. Para auditorías de medidas técnicas, podrá aportarse el informe de un auditor independiente (ISO 27001, SOC 2 o equivalente) si está vigente.
  • Devolver o suprimir, a elección del Responsable, todos los datos personales una vez finalizada la prestación, salvo las copias estrictamente exigidas por la legislación aplicable (fiscalidad, prescripción de acciones). La devolución se hará en formato estructurado de uso común (CSV, JSON) y la supresión se documentará por escrito. El plazo máximo desde la finalización del contrato es de 90 días naturales.

5. Sub-encargados autorizados

El Responsable autoriza con carácter general al Encargado a utilizar los siguientes sub-encargados, todos vinculados por contrato compatible con el RGPD:

  • Netlify Inc. — alojamiento y serverless. Sede: Estados Unidos. Garantías: cláusulas tipo SCC + medidas suplementarias.
  • Supabase Inc. — autenticación, base de datos y almacenamiento. Datos alojados en la región UE (Frankfurt). Sede de la compañía: Estados Unidos. Garantías: cláusulas tipo SCC.
  • OpenAI Ireland Ltd. — modelos de IA. Sede: Irlanda (EEE).
  • Stripe Payments Europe Ltd. — pagos. Sede: Irlanda (EEE).
  • Brevo SAS — envío transaccional de correos. Sede: Francia (EEE).

El Encargado notificará al Responsable con una antelación mínima de 30 días naturales cualquier incorporación o sustitución de sub-encargado. El Responsable podrá oponerse motivadamente en ese plazo y, si la objeción es razonable, el Encargado deberá ofrecer una alternativa o el Responsable podrá resolver el contrato sin penalización.

6. Medidas técnicas y organizativas (art. 32 RGPD)

6.1. Cifrado

  • TLS 1.2/1.3 obligatorio en todas las comunicaciones. HSTS activado.
  • AES-256 en reposo para el bucket de almacenamiento y la base de datos PostgreSQL.
  • Contraseñas hasheadas con bcrypt o equivalente.

6.2. Control de accesos

  • Row-Level Security en la base de datos: cada usuario sólo accede a sus propios datos.
  • Llaves API rotables y revocables. Tokens de sesión con expiración.
  • Acceso administrativo del Encargado mediante autenticación multifactor obligatoria.
  • Principio de mínimo privilegio para todos los accesos administrativos.

6.3. Resiliencia y disponibilidad

  • Copias de seguridad automáticas con retención de 7 a 30 días según plan.
  • Infraestructura con SLA de disponibilidad del proveedor cloud.
  • Plan de continuidad básico con tiempo objetivo de recuperación (RTO) <24h y punto objetivo de recuperación (RPO) <24h.

6.4. Confidencialidad del personal

  • Compromiso de confidencialidad perpetuo firmado por cualquier persona con acceso a sistemas.
  • Formación periódica en protección de datos y seguridad.
  • Revocación de accesos en el momento de la finalización de la relación laboral.

6.5. Verificación y auditoría

  • Revisión periódica de logs y dependencias (lockfiles, alertas de vulnerabilidades).
  • Pruebas de penetración cuando se incorpora una pieza crítica nueva.
  • Registro interno de incidentes y brechas con análisis y medidas correctoras.

7. Transferencias internacionales

Cuando un sub-encargado esté ubicado fuera del EEE, el Encargado aplicará las garantías previstas en el Capítulo V del RGPD: en particular, las cláusulas contractuales tipo aprobadas por la Comisión Europea mediante Decisión 2021/914, complementadas con las medidas suplementarias derivadas del análisis de impacto (sentencia Schrems II). El Encargado pondrá a disposición del Responsable copia de las garantías aplicadas a cualquier transferencia internacional, previa solicitud razonable.

8. Brecha de seguridad — procedimiento detallado

Ante una brecha que afecte a datos personales del Responsable:

  1. El Encargado dejará constancia interna del incidente con timestamp de detección.
  2. En un plazo máximo de 48 horas notificará al Responsable por correo electrónico al contacto designado, con descripción completa del incidente.
  3. El Encargado adoptará inmediatamente las medidas correctoras razonables y mantendrá informado al Responsable de su evolución.
  4. El Responsable decidirá si procede notificar a la AEPD (art. 33 RGPD) y a los interesados (art. 34 RGPD). El Encargado prestará su asistencia técnica y documental para esa notificación.
  5. Tras la resolución, ambas partes documentarán las lecciones aprendidas y las medidas adicionales adoptadas.

9. Auditoría

El Responsable podrá auditar el cumplimiento de este DPA una vez al año, previo aviso por escrito de al menos 4 semanas, en horario laboral y sin interrumpir la prestación del servicio. Para minimizar el impacto, el Encargado podrá ofrecer al Responsable un informe de auditoría externa actualizado (ISO 27001, SOC 2 o equivalente) si está vigente. Los costes de la auditoría son por cuenta del Responsable, salvo que la auditoría descubra incumplimientos materiales del Encargado, en cuyo caso los asumirá el Encargado.

10. Responsabilidad y régimen económico

Cada parte responde por los daños derivados de un incumplimiento de sus obligaciones, conforme al art. 82 RGPD y demás normativa aplicable. El régimen de limitación de responsabilidad y de indemnizaciones se rige por lo dispuesto en las condiciones generales del servicio. El Encargado mantendrá un seguro de responsabilidad civil profesional adecuado al volumen del servicio.

11. Duración y resolución

Este DPA se mantiene en vigor mientras dure la relación contractual del Responsable con Driver Solution para el tratamiento de datos personales de terceros. La finalización del contrato principal supone la finalización del DPA, sin perjuicio de las obligaciones que por su naturaleza sobreviven (confidencialidad perpetua del personal, conservación legal de datos).

12. Modificaciones

El Encargado podrá modificar este DPA cuando lo exija una modificación normativa o una mejora sustancial de las medidas de seguridad. Las modificaciones se publicarán en esta página con la fecha de revisión y se notificarán al Responsable con una antelación razonable. El Responsable podrá oponerse motivadamente; si la objeción no se resuelve por acuerdo, podrá resolver el contrato sin penalización.

13. Legislación aplicable y jurisdicción

Este DPA se rige por la legislación española (RGPD, LOPDGDD y demás normativa aplicable). Las partes se someten, con renuncia expresa a cualquier otro fuero, a la jurisdicción de los Juzgados y Tribunales de España competentes según las normas procesales de aplicación.

Contactar para auditoría