BORRADOR · pendiente de revisión legal

Este documento forma parte del contrato de servicios entre MindTattoo (encargado) y cada artista/estudio (responsable). Aceptas estos términos al darte de alta y aceptar la versión actual del DPA desde tu panel.

1. Partes

Responsable del tratamiento: el artista, profesional o estudio dado de alta en MindTattoo, identificado por los datos fiscales aportados en su cuenta.

Encargado del tratamiento: MindTattoo, prestador del servicio SaaS.

2. Objeto

El Encargado tratará por cuenta del Responsable los datos personales necesarios para prestar los servicios contratados (gestión de citas, briefs, consentimientos informados, cobro de fianzas, gestoría e integraciones técnicas).

3. Duración

Este encargo se mantendrá durante la vigencia del contrato principal de servicios. A su terminación, regirá lo previsto en la cláusula 9.

4. Naturaleza y finalidades

El tratamiento incluye operaciones de recogida, almacenamiento, consulta, envío, modificación, anonimización y supresión sobre los datos siguientes, con las finalidades indicadas:

• Gestión de citas y agenda.
• Recepción y procesamiento de briefs de clientes.
• Cobro y liquidación de fianzas.
• Generación, firma y custodia de consentimientos informados.
• Emisión de facturas y modelos fiscales.
• Comunicaciones operativas con clientes finales por instrucción del Responsable.

5. Tipos de datos y categorías de interesados

Tipos de datos: identificativos (nombre, NIF, DNI, contacto), fiscales (NIF, dirección, IBAN), de salud (cuestionario sanitario), biométricos (firma manuscrita), gráficos (foto DNI, referencias del tatuaje), económicos (importes, pagos).

Categorías de interesados: clientes finales del Responsable (personas que acuden a tatuarse), staff del estudio, contactos comerciales.

6. Obligaciones del Encargado

1. Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable (incluido este DPA). Notificará si una instrucción infringe el RGPD u otra normativa.
2. Garantizar el deber de secreto. Su personal con acceso está sujeto a confidencialidad por contrato.
3. Aplicar medidas técnicas y organizativas apropiadas según el riesgo (Art. 32 RGPD): cifrado en tránsito y reposo, control de accesos, auditoría, backups, segregación multi-tenant.
4. Asistir al Responsable a atender el ejercicio de derechos de los interesados conforme a los Cap. III RGPD, mediante el formulario de derechos en mindtattoo.app/legal/derechos.
5. Asistir al Responsable a cumplir Art. 32-36 RGPD (seguridad, notificación de brechas, EIPD, consulta previa).
6. Notificar al Responsable cualquier brecha de seguridad sin dilación indebida, máximo en 72 horas, con la información del Art. 33.3 RGPD.
7. A petición del Responsable, suprimir o devolver los datos al finalizar el servicio, salvo conservación obligatoria por ley.
8. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 y permitir auditorías razonables.

7. Subencargados

El Responsable autoriza con carácter general la subcontratación de los siguientes subencargados, listados también en la política de privacidad:

• OVHcloud SAS (Francia) — alojamiento.
• Resend Inc. (EE.UU.) — envío de emails transaccionales, bajo Cláusulas Contractuales Estándar.
• Google LLC (EE.UU.) — integraciones con Google Calendar API si el Responsable las activa voluntariamente, bajo SCC.

El Encargado informará al Responsable de cualquier incorporación o sustitución de subencargados con margen razonable. El Responsable podrá oponerse por escrito con motivos fundados.

8. Transferencias internacionales

Las transferencias fuera del EEE se basan en Cláusulas Contractuales Estándar de la Comisión Europea o mecanismos equivalentes. El Responsable acepta dichas transferencias para los subencargados indicados.

9. Finalización del encargo

A la terminación del contrato principal, el Responsable podrá optar entre:

• Recibir todos sus datos en un formato estructurado y de uso común (portabilidad).
• Que el Encargado los suprima, salvo obligación legal de conservación.

Sin instrucción expresa en 30 días, el Encargado procederá a la supresión.

10. Responsabilidad

El Encargado responderá de los daños causados por incumplimiento de obligaciones del RGPD que le sean directamente imputables conforme al Art. 82 RGPD. Cada parte mantendrá indemne a la otra frente a reclamaciones derivadas de su propio incumplimiento.

11. Ley aplicable

El presente DPA se rige por la legislación española y de la Unión Europea. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales competentes en España.

12. Aceptación

El Responsable acepta este DPA al pulsar el botón "Acepto el DPA" desde su panel en MindTattoo. Se registra fecha, IP, navegador y versión del documento como prueba electrónica de la aceptación.