Acord d'Encàrrec del Tractament (DPA)
Avís: Aquest document és el Contracte d'Encarregat del Tractament (DPA) d'Atrium i constitueix l'Annex II dels Termes i Condicions Generals. Prevalent sobre els Termes Generals en tot allò relatiu al tractament de dades personals.
Versió 1.0 · Data d'emissió: 29 de maig de 2026
Preàmbul
El present Contracte d'Encarregat del Tractament (en endavant, "DPA" o "Contracte") regula el tractament de dades personals que Duetri SL (societat en constitució), amb NIF [pendent] i domicili a [pendent] (en endavant, "l'Encarregat" o "Duetri"), realitza per compte del Client identificat als Termes Generals d'Atrium (en endavant, "el Responsable"), en el marc de la prestació del servei Atrium.
Aquest DPA dóna compliment a l'article 28 del Reglament (UE) 2016/679 (RGPD) i a la Llei Orgànica 3/2018, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD). Forma part integral dels Termes Generals d'Atrium i prevalent sobre aquests en tot allò relatiu al tractament de dades personals.
Part I — Marc general del tractament
1 · Objecte
El Responsable encarrega a l'Encarregat el tractament de les dades personals necessàries per a la prestació del servei Atrium, en els termes descrits en aquest DPA i els seus annexos. L'Encarregat tractarà aquestes dades única i exclusivament conforme a les instruccions documentades del Responsable, al present Contracte i a la legislació aplicable.
2 · Durada
El present DPA estarà en vigor des de la data d'acceptació fins a la finalització del contracte principal (Termes Generals d'Atrium). Les obligacions posteriors a la finalització (devolució, supressió i confidencialitat) sobreviuran a la terminació durant els terminis legals aplicables.
3 · Naturalesa i finalitat del tractament
| Aspecte | Descripció | |---|---| | Naturalesa del tractament | Recollida, emmagatzematge, consulta, modificació, organització, comunicació interna a la plataforma, conservació, supressió i, si escau, anàlisi automatitzada mitjançant intel·ligència artificial integrada. | | Finalitat principal | Prestació del servei SaaS Atrium per a l'administració de finques i comunitats de propietaris. | | Finalitats específiques | Gestió de comunitats, propietaris i inquilins; convocatòries i actes; gestió econòmica (quotes, derrames, despeses i ingressos); incidències i comunicacions; accés al portal del veí; generació de documentació; suport i manteniment. | | Àmbit | L'Encarregat no utilitzarà les dades per a finalitats pròpies diferents de la prestació del servei, llevat del que es preveu a apartat 13.3. |
Part II — Dades personals tractades
4 · Tipus de dades personals i categories d'interessats
4.1. Categories de dades personals
El tractament inclou, amb caràcter habitual, les següents categories:
- Dades identificatives: nom, cognoms, DNI/NIE/passaport, adreça postal, adreça de correu electrònic, telèfon.
- Dades econòmiques i financeres: compte bancari (mandats SEPA), historial de pagaments, deutes, derrames, quotes, facturació.
- Dades professionals (per a empleats del despatx del Responsable): càrrec, àrea, credencials d'accés.
- Dades sobre l'habitatge o unitat: titularitat, coeficient de participació, ús (habitatge, local, garatge, traster), condició de resident o no resident.
- Comunicacions i incidències: avisos, reclamacions, missatges intercanviats a través de la plataforma.
- Dades d'ús de la plataforma: registres d'accés (logs), adreça IP, activitat realitzada (amb finalitats de seguretat i traçabilitat).
4.2. Categories especials de dades (art. 9 RGPD)
El servei Atrium no està dissenyat per tractar categories especials de dades (dades de salut, biomètriques, ideologia, religió, orientació sexual o altres anàlogues). Si el Responsable decideix carregar aquest tipus d'informació a la plataforma (per exemple, en actes o documents), ho farà sota la seva exclusiva responsabilitat i haurà de garantir la base jurídica adequada conforme a l'art. 9 RGPD.
4.3. Dades de menors
El servei Atrium no està dirigit a menors de 14 anys. El Responsable es compromet a no recollir dades personals directament de menors sense comptar amb l'autorització adequada dels qui exerceixin la pàtria potestat o tutela, conforme a l'art. 7 LOPDGDD. L'Encarregat no realitza un tractament diferenciat en funció de l'edat dels interessats.
4.4. Categories d'interessats
- Personal del despatx del Responsable (empleats i col·laboradors).
- Membres dels òrgans de govern de les comunitats (president, vicepresident, vocals).
- Propietaris i copropietaris.
- Inquilins i residents autoritzats.
- Proveïdors i prestadors de serveis de les comunitats.
- Visitants o contactes puntuals registrats pel Responsable.
Part III — Obligacions de les parts
5 · Obligacions de l'Encarregat (Duetri)
L'Encarregat es compromet a:
a) Tractar les dades personals únicament conforme a les instruccions documentades del Responsable, inclosa la transferència internacional, llevat que estigui obligat pel Dret de la Unió o d'un Estat membre. En aquest cas, informarà el Responsable de l'exigència legal abans del tractament, llevat que es prohibeixi expressament per motius importants d'interès públic.
b) No utilitzar les dades personals amb finalitats pròpies diferents de la prestació del servei.
c) Garantir que les persones autoritzades a tractar les dades personals s'han compromès a respectar la confidencialitat (vegeu apartat 16).
d) Aplicar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc (Annex III), conforme a l'art. 32 RGPD.
e) Respectar les condicions de subcontractació previstes a apartat 8 per recórrer a un altre encarregat.
f) Assistir el Responsable, tenint en compte la naturalesa del tractament i la informació disponible, en les obligacions que incumbeixen al Responsable (vegeu els apartats 12 i 13).
g) Suprimir o tornar al Responsable les dades personals una vegada finalitzada la prestació del servei (vegeu apartat 15).
h) Posar a disposició del Responsable tota la informació necessària per demostrar el compliment de les obligacions de l'art. 28 RGPD, i permetre auditories en els termes de l'apartat 14.
i) Portar un registre d'activitats de tractament efectuades per compte del Responsable, conforme a l'art. 30.2 RGPD, que posarà a disposició de l'autoritat de control si aquesta ho requereix.
j) Notificar al Responsable, sense demora indeguda, qualsevol violació de seguretat de les dades personals (vegeu apartat 11).
6 · Obligacions del Responsable (Client)
El Responsable es compromet a:
a) Complir amb la normativa de protecció de dades aplicable, especialment pel que fa a la legitimació del tractament, la informació als interessats i l'exercici dels seus drets.
b) Recollir el consentiment o disposar d'una altra base jurídica vàlida per al tractament de les dades que introdueixi o gestioni a Atrium.
c) Informar els interessats que les seves dades seran tractades per Duetri en qualitat d'Encarregat del tractament, incloent aquesta informació a la política de privacitat del Responsable o als formularis pertinents.
d) No introduir a Atrium dades manifestament excessives respecte a les finalitats del servei, ni categories especials de dades sense la base jurídica adequada.
e) Realitzar, quan procedeixi, les avaluacions d'impacte i, si escau, les consultes prèvies a l'autoritat de control.
f) Mantenir actualitzada la informació de contacte del propi Responsable i de les persones designades com a interlocutores en matèria de protecció de dades.
g) Configurar correctament els permisos i accessos dels seus Usuaris i revisar-los periòdicament.
7 · Confidencialitat
L'Encarregat garanteix que les persones amb accés a les dades personals del Responsable (empleats, col·laboradors i subencarregats) estan subjectes a obligacions de confidencialitat de caràcter contractual o legal, i han rebut formació adequada en matèria de protecció de dades. Aquesta obligació perviu després de la finalització de la seva relació amb l'Encarregat.
Part IV — Subencarregats i transferències internacionals
8 · Subencarregats del tractament
8.1. Autorització general prèvia
El Responsable autoritza expressament l'Encarregat a recórrer als subencarregats (subprocessadors) relacionats a l'Annex II per a la prestació del servei.
8.2. Nous subencarregats
L'Encarregat podrà incorporar nous subencarregats o substituir els existents, notificant-ho al Responsable amb almenys 30 dies d'antelació, per correu electrònic o mitjançant actualització publicada a duetri.com/legal/subprocesadores.
El Responsable podrà oposar-se motivadament, per escrit i dins dels 15 dies següents a la notificació. En cas d'oposició fonamentada, les parts intentaran de bona fe trobar una solució alternativa. Si no s'arribés a un acord, el Responsable podrà resoldre el contracte sense penalització, conservant el dret a la devolució dels imports pagats per anticipat corresponents a períodes no prestats.
8.3. Garanties exigides
Tot subencarregat haurà de complir, mitjançant contracte escrit amb l'Encarregat, les mateixes obligacions de protecció de dades establertes en aquest DPA, en particular les relatives a les mesures tècniques i organitzatives. L'Encarregat respon davant del Responsable del compliment per part del subencarregat.
9 · Transferències internacionals de dades
9.1. Regla general: tractament a la Unió Europea
Les dades personals s'emmagatzemen i tracten, amb caràcter general, en infraestructures ubicades a la Unió Europea (Frankfurt, Alemanya).
9.2. Funcionalitats d'intel·ligència artificial
Per a la prestació de les funcionalitats d'intel·ligència artificial integrades a Atrium (assistent Scriba, OCR, redacció assistida, classificació d'incidències i anàlogues), l'Encarregat utilitza models d'Anthropic PBC, amb seu als Estats Units. Aquestes funcionalitats:
a) Estan disponibles exclusivament per als usuaris amb rol de gestió del despatx del Responsable (owner, admin, member). Els usuaris amb rol viewer (només lectura) i vecino (portal del propietari) no poden invocar la IA en cap cas. Aquesta restricció s'aplica a nivell de servidor (middleware de l'API), de manera que qualsevol intent d'invocació directa per un rol no autoritzat és rebutjat amb un error d'accés prohibit.
b) Processen les dades personals estrictament necessàries per respondre a cada sol·licitud (consulta de l'usuari i context agregat del tenant) i no s'utilitzen per a l'entrenament de models d'Anthropic, conforme a les condicions contractuals vigents amb aquest proveïdor.
c) Es realitzen sota l'empara de les Clàusules Contractuals Tipus aprovades per la Comissió Europea (Decisió (UE) 2021/914) i, si escau, del Data Privacy Framework mentre la corresponent decisió d'adequació estigui vigent.
L'Encarregat mantindrà a disposició del Responsable la documentació que acrediti les garanties aplicades.
Part V — Seguretat i drets dels interessats
10 · Mesures de seguretat
L'Encarregat implementa les mesures tècniques i organitzatives descrites a l'Annex III, dimensionades al risc conforme a l'art. 32 RGPD. Aquestes inclouen, entre altres, xifratge en trànsit i en repòs, control d'accessos, segregació de tenants, còpies de seguretat, registre d'activitat i plans de continuïtat.
L'Encarregat podrà actualitzar les seves mesures de seguretat per millorar-les. Qualsevol reducció material del nivell de protecció es notificarà al Responsable amb preavís raonable.
11 · Notificació de violacions de seguretat
11.1. Termini i forma
L'Encarregat notificarà al Responsable, sense demora indeguda i en qualsevol cas dins de les 72 hores següents al seu coneixement, qualsevol violació de la seguretat de les dades personals tractades per compte del Responsable.
11.2. Contingut de la notificació
La notificació es realitzarà per correu electrònic al contacte designat pel Responsable i inclourà, en la mesura que la informació estigui disponible:
- Descripció de la naturalesa de la violació, incloses les categories i el nombre aproximat d'interessats i registres afectats.
- Dades de contacte del Delegat de Protecció de Dades de l'Encarregat o persona designada.
- Probables conseqüències de la violació.
- Mesures adoptades o proposades per posar remei a la violació i mitigar els seus possibles efectes negatius.
11.3. Comunicació a autoritat i a interessats
L'obligació de comunicar la violació a l'autoritat de control i, si escau, als interessats, correspon al Responsable. L'Encarregat prestarà l'assistència raonable perquè el Responsable pugui complir amb aquestes obligacions.
11.4. Requeriments d'autoritats públiques
Si l'Encarregat rep un requeriment d'una autoritat judicial, administrativa o de forces i cossos de seguretat relatiu a les dades personals tractades per compte del Responsable, ho notificarà al Responsable sense demora indeguda i abans de respondre al requeriment, llevat que aquesta notificació estigui legalment prohibida o pugui comprometre una investigació en curs. En tot cas, l'Encarregat es limitarà a facilitar la informació estrictament exigida pel requeriment.
12 · Exercici de drets dels interessats
Si un interessat dirigeix una sol·licitud d'exercici de drets (accés, rectificació, supressió, oposició, limitació, portabilitat o revocació del consentiment) directament a l'Encarregat, aquest la traslladarà al Responsable sense demora indeguda, juntament amb la informació de què disposi, perquè el Responsable l'atengui dins dels terminis legals.
L'Encarregat posarà a disposició del Responsable les eines i la informació raonable per facilitar l'exercici dels drets per part dels interessats.
Part VI — Assistència i auditoria
13 · Assistència al Responsable
13.1. Avaluacions d'impacte
L'Encarregat assistirà el Responsable, en la mesura que estigui en possessió de la informació necessària, en la realització d'avaluacions d'impacte relatives a la protecció de dades (EIPD) i, si escau, en les consultes prèvies a l'autoritat de control.
13.2. Informació disponible
L'Encarregat posa a disposició del Responsable:
- El present DPA i els seus Annexos.
- La política de seguretat i la documentació tècnica rellevant (a través del portal de documentació del producte).
- La llista actualitzada de subprocessadors a
duetri.com/legal/subprocesadores. - Els registres d'activitat raonablement sol·licitats, conforme a apartat 14.
13.3. Dades estadístiques agregades
L'Encarregat podrà generar i utilitzar dades estadístiques agregades i completament anonimitzades (és a dir, que no permetin identificar el Responsable, interessats ni comunitats concretes) amb la finalitat de millorar el servei, prevenir incidències i elaborar informes interns. Aquesta utilització no constitueix tractament per compte propi de dades personals.
14 · Auditories
14.1. Dret a auditar
El Responsable té dret a verificar, a costa seva, el compliment per part de l'Encarregat de les obligacions recollides en el present DPA, mitjançant auditories que es realitzaran una vegada a l'any (llevat del cas d'incident rellevant o requeriment legítim de l'autoritat de control, en aquest cas podran ser puntuals).
14.2. Procediment
- Preavís mínim de 30 dies naturals.
- Durada màxima raonable (orientativament, una setmana laborable).
- Realitzades en horari laboral i sense interferir indegudament en l'operativa de l'Encarregat.
- A càrrec del propi Responsable o d'un auditor independent, subjecte a obligacions de confidencialitat.
- Sense accés a dades d'altres clients ni a informació considerada estrictament confidencial de l'Encarregat.
14.3. Alternativa raonable
S'entendrà complert el dret d'auditoria si l'Encarregat proporciona al Responsable certificacions de tercers independents (per exemple, ISO 27001 o equivalents), informes d'auditoria externs o qüestionaris de seguretat respostos, sempre que cobreixin de forma raonable l'objecte de l'auditoria sol·licitada.
14.4. Costos
Els costos de l'auditoria seran assumits pel Responsable. Si l'auditoria revelés un incompliment substancial de l'Encarregat, els costos raonables seran assumits per aquest últim.
Part VII — Final del tractament
15 · Devolució o supressió de dades en finalitzar
15.1. Opció del Responsable
Una vegada finalitzat el contracte principal, i a elecció del Responsable, l'Encarregat:
a) Tornarà les dades personals mitjançant exportació estàndard (CSV o XLS), conforme a apartat 18 dels Termes Generals; o
b) Suprimirà les dades personals.
En manca d'instrucció expressa en els 30 dies següents a la terminació, l'Encarregat procedirà a la supressió.
15.2. Terminis de supressió
- Dades en sistemes de producció: dins dels 30 dies següents a la terminació o a la instrucció de supressió.
- Còpies de seguretat: es purguen automàticament en el cicle de retenció vigent (Annex III) després d'aquesta supressió, sense noves còpies de les dades del Responsable. En qualsevol cas, les dades del Responsable no romandran en còpies de seguretat més enllà de 90 dies des de la terminació.
15.3. Excepcions
L'Encarregat podrà conservar les dades estrictament necessàries per al compliment d'obligacions legals (per exemple, conservació de factures, atenció a requeriments administratius o judicials), degudament bloquejades, durant els terminis legals aplicables. Aquestes dades no seran objecte de tractament actiu.
16 · Confidencialitat del personal
L'Encarregat garanteix que el personal al seu servei que tingui accés a les dades personals del Responsable:
- Està subjecte a un deure de confidencialitat d'origen contractual o legal.
- Ha rebut la formació necessària en matèria de protecció de dades.
- Té un perfil d'accés limitat al que sigui estrictament necessari per al desenvolupament de les seves funcions (principi de mínim privilegi).
Part VIII — Disposicions finals
17 · Responsabilitat
17.1. Règim general
Cada part respondrà davant l'altra pels danys i perjudicis efectivament causats com a conseqüència de l'incompliment de les seves obligacions sota el present DPA o la normativa aplicable.
17.2. Limitació
La responsabilitat de l'Encarregat derivada o relacionada amb aquest DPA queda subjecta als límits de responsabilitat previstos als Termes Generals (apartat 15 dels Termes Generals), llevat dels supòsits de dol, culpa greu o aquells en què la limitació estigui prohibida per imperatiu legal.
17.3. Sancions administratives
Si una autoritat de control imposa una sanció administrativa a una de les parts derivada d'un incompliment imputable a l'altra, aquesta última assumirà la seva part proporcional conforme al grau de responsabilitat respectiu.
18 · Modificació i resolució
18.1. Modificació
El present DPA podrà modificar-se per acord escrit de les parts o quan sigui necessari per adaptar-lo a canvis normatius rellevants, mitjançant notificació al Responsable amb preavís mínim de 30 dies. Si el Responsable no acceptés la modificació, podrà resoldre el contracte principal sense penalització conforme als Termes Generals.
18.2. Resolució
La resolució del contracte principal comporta la resolució del present DPA, sense perjudici de les obligacions que sobrevisquin conforme a apartat 2.
19 · Legislació i jurisdicció
El present DPA es regeix per la legislació espanyola i europea aplicable en matèria de protecció de dades. Per a la resolució de controvèrsies s'estarà al que es preveu a la clàusula corresponent dels Termes Generals.
20 · Acceptació
El Responsable, en acceptar els Termes Generals d'Atrium, accepta igualment aquest DPA i els seus Annexos com a part integral del contracte.
Annex I al DPA — Descripció del tractament
| Concepte | Detall | |---|---| | Objecte de l'encàrrec | Tractament de dades personals necessàries per a la prestació del servei Atrium. | | Durada | Vigència del contracte principal. | | Naturalesa del tractament | Emmagatzematge, consulta, modificació, organització, conservació, supressió i, si escau, anàlisi automatitzada mitjançant IA. | | Finalitat | Administració de finques i comunitats de propietaris, gestió econòmica, comunicacions i suport. | | Tipus de dades | Identificatives, econòmiques, professionals, dades d'habitatge, comunicacions, dades d'ús de la plataforma (vegeu apartat 4.1). | | Categories d'interessats | Personal del despatx, òrgans de govern, propietaris, inquilins, proveïdors, residents i contactes (vegeu apartat 4.4). |
Annex II al DPA — Subprocessadors autoritzats
A data de la present versió, l'Encarregat utilitza els següents subprocessadors per a la prestació del servei Atrium:
| Subprocessador | Servei prestat | Dades que tracta | Localització |
|---|---|---|---|
| Neon Inc. | Base de dades PostgreSQL serverless (DB principal). | Tota la informació del tenant (comunitats, propietaris, quotes, factures, incidències, juntes, etc.). | Frankfurt, Alemanya (UE). |
| Railway Corp. | Hosting de l'aplicació (Next.js + workers). | Dades en trànsit durant el processament de peticions. No emmagatzema dades personals més enllà de logs operatius. | EU West (Amsterdam, Països Baixos), 1 rèplica. |
| Anthropic PBC | Models d'IA generativa (Scriba, OCR, redactar, classificar). | Únicament el contingut del missatge quan un usuari autoritzat invoca la IA, juntament amb el context agregat del tenant necessari per a la resposta. No s'utilitza per a entrenament. Accés restringit a rols owner, admin, member. | Estats Units. |
| Resend Inc. | Enviament de correu electrònic transaccional. | Adreces d'email i contingut dels correus enviats (factures, recuperació de contrasenya, avisos del sistema). | UE / EUA. |
| Sentry (Functional Software, Inc.) | Monitorització d'errors i rendiment. | Traces d'error i dades tècniques de diagnòstic. No s'envia PII de forma deliberada. | UE (organització configurada en regió europea). |
Serveis complementaris que no són subprocessadors RGPD
A efectes de transparència, els següents proveïdors intervenen a l'ecosistema d'Atrium però no tracten dades personals dels interessats del Responsable, per la qual cosa no tenen la condició de subprocessadors conforme al RGPD:
- GitHub, Inc.: allotjament del codi font del producte. No processa dades del Client ni dels interessats.
- GoDaddy LLC: registre i gestió DNS del domini
duetri.com. No processa dades personals del Client.
Serveis planificats (encara no actius)
Els següents serveis estan previstos a l'arquitectura del producte però no es troben actius en producció a la data d'aquesta versió. La seva activació es notificarà al Responsable conforme a apartat 8.2 i s'incorporaran a aquest Annex II a la versió corresponent:
- Cloudflare R2: emmagatzematge d'arxius S3-compatible. Actualment els documents es desen al filesystem local del hosting.
- PostHog Inc.: analítica de producte i feature flags. Sense integració activa en producció.
Publicació i actualització
La versió vigent del present Annex II es publicarà i mantindrà actualitzada a duetri.com/legal/subprocesadores (pàgina en preparació; l'Encarregat es compromet a publicar-la en un termini raonable des de la firma del primer contracte comercial amb un client, no superior a 60 dies naturals). Mentrestant, aquesta versió documental fa les funcions de llista oficial. Qualsevol alta o substitució de subprocessadors es notificarà al Responsable conforme a apartat 8.2.
Annex III al DPA — Mesures tècniques i organitzatives de seguretat
L'Encarregat aplica les següents mesures, dimensionades al risc:
Xifratge i comunicacions
- TLS 1.2 o superior en totes les comunicacions.
- Xifratge en repòs de la base de dades (AES-256).
- Xifratge de còpies de seguretat.
Control d'accessos
- Autenticació individual per a cada usuari.
- Política de contrasenyes robusta i autenticació de doble factor (2FA) disponible, activable per l'usuari.
- Principi de mínim privilegi: cada usuari accedeix únicament a les dades necessàries per al seu rol.
- Aïllament multi-tenant per
tenant_idi Row-Level Security (RLS) a base de dades. - Accés del personal de Duetri a dades de client només quan sigui necessari per a suport o incident, registrat i traçable.
Còpies de seguretat i continuïtat
- Còpies de seguretat diàries.
- Retenció conforme al pla vigent en cada moment (mínim 7 dies).
- Procediment de recuperació documentat.
Traçabilitat i auditoria
- Registres d'accés i d'activitat d'usuaris.
- Logs de seguretat conservats durant un termini raonable conforme a la normativa.
- Monitorització contínua de la infraestructura i alertes automatitzades.
Gestió d'incidents
- Procediment documentat de detecció, contenció, anàlisi i notificació d'incidents.
- Notificació al Responsable conforme a apartat 11 (72 hores).
Personal
- Compromisos de confidencialitat firmats per tot el personal amb accés a dades.
- Formació en protecció de dades i seguretat.
Proveïdors
- Selecció de subencarregats amb garanties adequades (Annex II).
- DPAs firmats amb cada subencarregat.
Millora contínua
- Revisió periòdica de les mesures conforme a l'evolució de la tecnologia i els riscos.
Duetri SL (en constitució) · Contacte: contacto@duetri.com · Web: https://duetri.com