Legal
Acuerdo de Tratamiento de Datos
Encargado del tratamiento · art. 28 RGPD · Última actualización: junio de 2026
Este Acuerdo regula el tratamiento de datos personales que IAMESS realiza por cuenta del Cliente al prestarle el servicio de software (el "Servicio"). Forma parte integrante de las Condiciones de Contratación y se entiende aceptado por el Cliente al registrarse, contratar o utilizar el Servicio, mediante aceptación electrónica, sin necesidad de firma manuscrita ni trámite adicional. La fecha de aceptación es la del alta o contratación del Servicio.
Partes
Responsable del tratamiento: el Cliente, es decir, la autoescuela o empresa que contrata IAMESS y es titular de los datos personales de sus alumnos, empleados y contactos que introduce en el Servicio.
Encargado del tratamiento: Guillermo Moreno (trabajador autónomo), marca IAMESS — Torrejón de Ardoz (Madrid), España · contacto@iamess.com.
1. Objeto
El Encargado tratará, por cuenta del Responsable, los datos personales necesarios para prestar el Servicio (gestión de alumnos, agenda, facturación, comunicaciones, portales y demás funcionalidades contratadas), conforme a las instrucciones del Responsable y al Anexo I.
2. Duración
Este Acuerdo está vigente mientras dure la prestación del Servicio. Finalizada esta, se aplica la cláusula 9.
3. Instrucciones del Responsable
El Encargado tratará los datos únicamente siguiendo las instrucciones del Responsable (incluidas las derivadas del uso del Servicio) y no los usará para fines propios. Si entiende que una instrucción infringe la normativa, lo comunicará.
4. Obligaciones del Encargado (art. 28.3 RGPD)
- Tratar los datos solo conforme a las instrucciones del Responsable.
- Garantizar la confidencialidad de quienes tratan los datos.
- Aplicar las medidas de seguridad del art. 32 (cláusula 6).
- Respetar las condiciones para recurrir a subencargados (cláusula 5).
- Asistir al Responsable en las solicitudes de ejercicio de derechos de los interesados.
- Asistir en seguridad, notificación de brechas y, en su caso, evaluaciones de impacto (arts. 32–36).
- A elección del Responsable, suprimir o devolver los datos al finalizar (cláusula 9).
- Facilitar la información necesaria para acreditar el cumplimiento y permitir auditorías (cláusula 8).
5. Subencargados
El Responsable autoriza con carácter general al Encargado a recurrir a los subencargados del Anexo II, a los que se impondrán por contrato las mismas obligaciones. El Encargado informará de altas o sustituciones y el Responsable podrá oponerse por motivos razonables.
6. Seguridad (art. 32 RGPD)
El Encargado aplica medidas técnicas y organizativas adecuadas al riesgo: control de acceso por usuario y rol, cifrado en tránsito, copias de seguridad, registro de actividad y separación lógica de datos por cliente (multi-tenant).
7. Brechas de seguridad
El Encargado notificará al Responsable, sin dilación indebida desde que tenga constancia, cualquier violación de seguridad, con la información necesaria para que el Responsable cumpla sus deberes de notificación.
8. Auditoría
El Encargado pondrá a disposición del Responsable la información razonable para acreditar el cumplimiento y permitirá auditorías con preaviso razonable, sin comprometer la seguridad de otros clientes.
9. Devolución o supresión al finalizar
Al finalizar el Servicio, el Encargado, a elección del Responsable, devolverá o suprimirá los datos y sus copias, salvo obligación legal de conservarlos. La devolución se facilitará en formato de uso común.
10. Transferencias internacionales
Cuando un subencargado trate datos fuera del EEE, dichas transferencias se amparan en garantías adecuadas (Cláusulas Contractuales Tipo y/o EU-US Data Privacy Framework), conforme al Anexo II.
11. Responsabilidad
Cada parte responde de los daños que cause por incumplir sus obligaciones de protección de datos, sin perjuicio de los límites de las Condiciones de Contratación.
12. Legislación y jurisdicción
Se rige por el RGPD, la LOPDGDD y la normativa española. Para controversias, las partes se someten a los Juzgados y Tribunales de Madrid.
Anexo I — Descripción del tratamiento
| Finalidad | Prestación del software de gestión IAMESS por cuenta del Responsable. |
|---|---|
| Naturaleza | Recogida, registro, almacenamiento, consulta, modificación, comunicación a los interesados y supresión, mediante sistemas automatizados. |
| Interesados | Alumnos del Responsable, profesores/empleados y contactos que interactúan con el Responsable. |
| Datos | Identificativos, de contacto, académicos/expediente, económicos (pagos, facturación) y de comunicaciones gestionadas a través del Servicio. |
No se prevé el tratamiento de categorías especiales (art. 9 RGPD). Si el Responsable introdujera datos especiales, deberá disponer de base legal e informarlo.
Anexo II — Subencargados autorizados
| Subencargado | Servicio | Ubicación / transferencias |
|---|---|---|
| Supabase | Base de datos y almacenamiento de la aplicación | Garantías adecuadas |
| Hostinger | Alojamiento web | UE |
| n8n | Automatizaciones y mensajería (incl. WhatsApp) | Garantías adecuadas |
| Stripe | Pasarela de pago | EE. UU. / Cláusulas Tipo y/o Data Privacy Framework |
| Proveedor de mensajería WhatsApp | Mensajes a alumnos | Garantías adecuadas |
Lista orientativa; el Encargado la mantiene actualizada e informa de los cambios al Responsable.