Konduce

Acuerdo de tratamiento de datos (DPA)

Última actualización: 29 de abril de 2026

Este acuerdo regula el tratamiento de datos personales por parte de Konduce SL («Encargado») por cuenta de la autoescuela contratante («Responsable»), conforme al RGPD (UE 2016/679) y la LOPDGDD (LO 3/2018).

1. Objeto

El Encargado tratará los datos de alumnos, profesores y personal de la autoescuela para prestar los servicios de gestión incluidos en la suscripción a Konduce. El Encargado no utilizará los datos para fines distintos.

2. Categorías de datos e interesados

  • Alumnos: nombre, DNI/NIE, contacto, datos académicos, pagos, firma digital.
  • Profesores y staff: nombre, contacto, rol, autorizaciones DGT.
  • Datos derivados del uso del servicio (sesiones, eventos de auditoría).

3. Obligaciones del Encargado

  • Tratar los datos siguiendo únicamente las instrucciones del Responsable.
  • Garantizar la confidencialidad del personal con acceso a los datos.
  • Aplicar medidas técnicas y organizativas adecuadas (cifrado, control de acceso, registro de auditoría).
  • Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y, en todo caso, en menos de 72 horas desde su detección.
  • Asistir al Responsable en el cumplimiento de los derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación).
  • Devolver o eliminar todos los datos al finalizar la prestación del servicio, salvo obligación legal de conservación.

4. Subencargados

El Responsable autoriza a Konduce a recurrir a los siguientes subencargados:

  • Supabase Inc. — alojamiento de base de datos y autenticación (Frankfurt, UE).
  • Vercel Inc. — hosting de la aplicación (UE).
  • Stripe Payments Europe Ltd. — procesado de pagos (Irlanda, UE).
  • Resend Inc. — envío de emails transaccionales (UE/EE.UU. con cláusulas contractuales tipo).

Cualquier alta o baja de subencargados se notificará al Responsable con 30 días de antelación, momento en que podrá oponerse motivadamente.

5. Transferencias internacionales

Los datos se almacenan principalmente en la UE. Las transferencias puntuales fuera del EEE se amparan en cláusulas contractuales tipo aprobadas por la Comisión Europea.

6. Auditoría

El Responsable podrá solicitar una vez al año un informe de cumplimiento o, justificándolo razonablemente, una auditoría coordinada con el Encargado a su cargo.

7. Vigencia

Este DPA está vigente mientras lo esté el contrato principal de suscripción. Su terminación implica la devolución o supresión de los datos en un plazo máximo de 30 días.