Carmin ERP

Contrato de Encargo de Tratamiento

v2026.06
Anexo de Protección de Datos (art. 28 RGPD)
CONTRATO DE ENCARGO DE TRATAMIENTO (ANEXO DE PROTECCIÓN DE DATOS) Versión: 2026.06. Fecha de entrada en vigor: 09/06/2026. Este Contrato de Encargo de Tratamiento (el “Anexo”) forma parte de los Términos del Servicio de Carmin ERP y regula el tratamiento de datos personales que CARMIN STUDIO SL realiza por cuenta del cliente, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD). 1. PARTES Y ROLES - Encargado del tratamiento: CARMIN STUDIO SL, NIF B88658307, Calle Olimpiada 3, esc. centro, 4.º H, 28923 Alcorcón (Madrid), España (“Carmin”). - Responsable del tratamiento: el cliente que contrata y utiliza Carmin ERP (el “Cliente”), respecto de los datos personales de terceros que introduce o gestiona en la plataforma. Para los datos de la cuenta y de la facturación de la suscripción, Carmin actúa como responsable y aplica su Política de Privacidad. 2. OBJETO, DURACIÓN, NATURALEZA Y FINALIDAD Carmin tratará por cuenta del Cliente los datos personales necesarios para prestar el servicio de ERP (facturación, cobros, gastos, contactos, documentos y cumplimiento fiscal). La duración coincide con la vigencia del contrato de servicio. La naturaleza y finalidad del tratamiento es la ejecución de las funcionalidades de la plataforma según las instrucciones del Cliente. 3. TIPO DE DATOS Y CATEGORÍAS DE INTERESADOS - Tipo de datos: identificativos y de contacto, datos fiscales (NIF/CIF), datos económicos y de facturación, y demás datos que el Cliente decida incorporar. - Categorías de interesados: clientes, proveedores, contactos y, en su caso, personal del Cliente. El Cliente se compromete a no introducir categorías especiales de datos (art. 9 RGPD) salvo las imprescindibles y lícitas para su actividad. 4. INSTRUCCIONES DEL RESPONSABLE Carmin tratará los datos únicamente siguiendo instrucciones documentadas del Cliente, incluidas las relativas a transferencias internacionales, salvo obligación legal. El uso del servicio y su configuración constituyen instrucciones. Carmin informará al Cliente si, en su opinión, una instrucción infringe la normativa de protección de datos. 5. CONFIDENCIALIDAD Carmin garantiza que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a un deber legal de confidencialidad. 6. SEGURIDAD (ART. 32 RGPD) Carmin aplicará medidas técnicas y organizativas apropiadas, incluyendo: cifrado en tránsito y en reposo de los datos sensibles, control de accesos por roles, segregación lógica por cliente (multi-tenant), registro de auditoría, copias de seguridad y procedimientos de recuperación. 7. SUBENCARGADOS El Cliente autoriza con carácter general el recurso a subencargados. Carmin impondrá a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos. Subencargados actuales: - Stripe (pagos; EE. UU.; SCC/Marco UE-EE. UU.). - Cloudflare R2 (almacenamiento; EE. UU.; SCC/Marco UE-EE. UU.). - Resend (correo transaccional; EE. UU.; SCC). - Google Vertex AI (IA/OCR; EE. UU.; SCC/Marco UE-EE. UU.). - Mixpanel (analítica de producto; EE. UU.; SCC/Marco UE-EE. UU.). - Proveedor de base de datos e infraestructura de ejecución (UE/EEE). Carmin informará de cualquier cambio (alta o sustitución de subencargados) con antelación razonable, permitiendo al Cliente oponerse por motivos justificados. 8. ASISTENCIA EN LOS DERECHOS DE LOS INTERESADOS Carmin asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para atender las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición). 9. ASISTENCIA EN SEGURIDAD, BRECHAS Y EVALUACIONES DE IMPACTO Carmin asistirá al Cliente en el cumplimiento de los artículos 32 a 36 del RGPD. En caso de violación de la seguridad de los datos personales, Carmin lo notificará al Cliente sin dilación indebida tras tener conocimiento, aportando la información disponible para que el Cliente pueda cumplir sus obligaciones de notificación (arts. 33 y 34 RGPD). 10. TRANSFERENCIAS INTERNACIONALES Cuando un subencargado trate datos fuera del Espacio Económico Europeo, se aplicarán garantías adecuadas: Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y/o adhesión al Marco de Privacidad de Datos UE-EE. UU., con medidas suplementarias cuando proceda. 11. SUPRESIÓN O DEVOLUCIÓN AL FINALIZAR A la finalización de la prestación, Carmin suprimirá o devolverá al Cliente los datos personales, a elección de este, salvo que deba conservarlos por obligación legal. El Cliente puede exportar sus datos desde la plataforma antes de la baja. 12. AUDITORÍA E INFORMACIÓN Carmin pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de este Anexo y permitirá y contribuirá a auditorías razonables, incluidas inspecciones, realizadas por el Cliente o un auditor mandatado, con preaviso razonable y sujeto a deberes de confidencialidad y de no perturbación del servicio. 13. RESPONSABILIDAD Y LEY APLICABLE La responsabilidad de las partes se regirá por el artículo 82 del RGPD y por los Términos del Servicio. Este Anexo se rige por la legislación española. 14. CONTACTO Cuestiones de protección de datos: privacidad@carmin.app. CARMIN STUDIO SL, Calle Olimpiada 3, esc. centro, 4.º H, 28923 Alcorcón (Madrid), España.

Firma del Anexo

Para formalizar este Anexo, ambas partes lo firman. El Cliente (Responsable) completa sus datos. Puedes descargarlo o imprimirlo con el botón superior.

Encargado del tratamiento

CARMIN STUDIO SL

NIF: B88658307

Calle Olimpiada 3, esc. centro, 4.º H, 28923 Alcorcón (Madrid)

Firmante

Fecha

Firma

Responsable del tratamiento (Cliente)

Razón social

NIF / CIF

Domicilio

Nombre y cargo del firmante

Fecha

Firma