Operiq

Acuerdo de tratamiento de datos (DPA)

Este documento regula la relación entre el Cliente (gestor de flota VTC, responsable del tratamiento) y Operiq (encargado del tratamiento) para el tratamiento de datos personales de los conductores del Cliente dentro del servicio SaaS.

1. Objeto y finalidad

Operiq trata por cuenta del Cliente datos de localización GPS, repostajes y órdenes Bolt de sus conductores con la única finalidad de detectar patrones de fraude laboral (combustible robado, ghost trips, manipulación de kilómetros).

2. Datos tratados

  • Matrícula y datos técnicos del vehículo.
  • Posiciones GPS + timestamps (Webfleet).
  • Repostajes: fecha, litros, importe, km, tipo pago (Petroprix).
  • Órdenes Bolt: pickup/dropoff, distancia, tarifa, conductor.

3. Categorías de interesados

Conductores VTC en plantilla o autónomos del Cliente.

4. Medidas técnicas

  • BYOK: las credenciales Bolt/Webfleet se cifran en reposo con libsodium sealed boxes (master key versionable, rotación perezosa).
  • Row-Level Security en PostgreSQL — aislamiento por tenant.
  • TLS 1.3 in-transit. Backups diarios cifrados en S3.
  • Log de auditoría completo (acceso + cambios) retenido 2 años.

5. Subencargados

  • Hetzner Cloud (Alemania) — hosting infraestructura.
  • Stripe (UE) — pasarela de pago (no ve datos de conductores).
  • Resend (UE) — envío de emails transaccionales.

Cualquier cambio de subencargado se notifica al Cliente con 30 días de antelación para permitir objeción.

6. Devolución / borrado

Al terminar el contrato, el Cliente puede solicitar un export completo (JSON + CSV) en un plazo de 30 días. Transcurrido ese plazo, Operiq borra todos los datos del Cliente salvo obligación legal de retención.

7. Auditoría

El Cliente (o un tercero designado con acuerdo de confidencialidad) puede auditar las medidas técnicas una vez al año con 30 días de preaviso. Planes Pro y Enterprise incluyen informe SOC2 (en preparación).

8. Notificación de brechas

Ante un incidente de seguridad con impacto en datos personales, Operiq notifica al Cliente en < 48 h con descripción, datos afectados y acciones correctivas. El Cliente es responsable de notificar a la AEPD según su obligación (72 h).

Contacto DPO: dpo@operiq.es.