Contracte d'Encàrrec del Tractament de Dades Personals
Data Processing Agreement (DPA) — conforme a l'article 28 del Reglament (UE) 2016/679 (RGPD)
Document model per a administracions públiques
Aquest DPA regula les condicions sota les quals
Drètic SCCL actua com a encarregat del tractament de dades personals per compte de l'administració pública contractant. Per sol·licitar un DPA personalitzat i signat, contacteu a
info@dretic.cat.
1. Parts del contracte
1.1 Responsable del tractament
[NOM DE L'ADMINISTRACIÓ PÚBLICA CONTRACTANT]
NIF/CIF: [NIF_ADMINISTRACIO]
Domicili: [ADREÇA_ADMINISTRACIO]
Representada per: [NOM_REPRESENTANT] en qualitat de [CÀRREC]
En endavant, el "RESPONSABLE DEL TRACTAMENT".
1.2 Encarregat del tractament
Drètic SCCL
Forma jurídica: Societat Cooperativa Catalana Limitada
NIF: [PENDENT — afegir NIF de la cooperativa]
Domicili: [PENDENT — afegir adreça]
Email: info@dretic.cat · Telèfon: 935 95 17 49
Web: www.dretic.cat
En endavant, l'"ENCARREGAT DEL TRACTAMENT" o "Drètic".
2. Objecte i base jurídica
El present contracte té per objecte regular les condicions sota les quals Drètic tractarà dades personals per compte i en nom del RESPONSABLE, en el marc de la prestació de serveis de gestió jurídica, gestió d'expedients, facturació, documents i comunicació.
Drètic actua com a encarregat del tractament (art. 4.8 RGPD). El RESPONSABLE manté la condició de responsable del tractament (art. 4.7 RGPD). El present DPA és conforme a l'article 28 RGPD i la LOPDGDD (LO 3/2018).
3. Naturalesa i finalitat del tractament
3.1 Activitats de tractament
- Gestió d'expedients jurídics i documentació associada
- Gestió de clients i beneficiaris de programes públics
- Facturació i seguiment de pagaments
- Comunicació entre el despatx i clients/beneficiaris
- Emmagatzematge i organització de documents
- Generació d'informes i estadístiques
3.2 Categories de dades tractades
- Dades identificatives: nom, cognoms, NIF/NIE/CIF, adreça, email, telèfon
- Dades demogràfiques: data de naixement, gènere, nacionalitat
- Dades de circumstàncies socials: situació de vulnerabilitat, càrregues familiars (si aplica al programa)
- Dades econòmiques: facturació, pagaments, situació econòmica (si aplica)
- Dades de l'expedient/procediment: descripció del cas, documentació, comunicacions, actuacions
- Categories especials (art. 9 RGPD): únicament si el cas ho requereix i amb base jurídica específica
4. Obligacions de Drètic com a encarregat
Drètic es compromet a complir íntegrament les obligacions de l'art. 28.3 RGPD:
4.1 Tractament conforme a instruccions
Tractarà les dades únicament seguint instruccions documentades del RESPONSABLE.
4.2 Confidencialitat
Garantirà que les persones autoritzades a tractar les dades es comprometen a respectar la confidencialitat o estan subjectes a una obligació legal (art. 28.3.b RGPD).
4.3 Mesures de seguretat (art. 32 RGPD)
Aplica les mesures tècniques i organitzatives següents:
- Xifrat en repòs: AES-128-CBC + HMAC-SHA256 (Fernet) per a documents i camps sensibles
- Xifrat en trànsit: TLS 1.2/1.3 amb HSTS d'1 any (Let's Encrypt)
- Autenticació 2FA: obligatòria per a tot el personal (email / SMS / WhatsApp / TOTP)
- Control d'accés: multi-rol amb visibilitat granular
- Auditoria: registre complet de totes les operacions sobre dades
- Headers HTTP de seguretat: HSTS, CSP nonce, X-Frame-Options DENY, X-Content-Type-Options nosniff
- Protecció CSRF: token a tots els formularis POST
- Backups automàtics: diaris amb retenció 7 dies
- Infraestructura: Ubuntu 22.04 LTS, nginx, servidor Hetzner (UE)
- BD: SQLite WAL amb integritat garantida
La descripció completa es troba a la Memòria Tècnica de Seguretat que forma part integrant d'aquest DPA.
4.4 Subcontractació (art. 28.2 RGPD)
Drètic no podrà recórrer a un altre encarregat sense autorització prèvia per escrit del RESPONSABLE. Els subencarregats actuals autoritzats són:
- Hetzner Online GmbH — Allotjament VPS i backups (Alemanya, UE) — DPA Hetzner
- Anthropic, PBC — API IA Claude (EUA, emparada per EU-US Data Privacy Framework) — opcional, desactivable — DPA Anthropic
4.5 Assistència al responsable
Drètic assistirà el RESPONSABLE en:
- Atendre sol·licituds d'exercici de drets dels interessats (en 5 dies hàbils)
- Compliment dels art. 32 a 36 RGPD (seguretat, notificació de violacions, DPIA)
- Facilitar informació per a auditories i inspeccions
4.6 Notificació de violacions de seguretat (art. 33 RGPD)
Drètic notificarà al RESPONSABLE qualsevol violació de seguretat de dades personals sense dilació indeguda i en un termini màxim de 48 hores, amb indicació de la naturalesa, categories i nombre d'afectats, conseqüències probables i mesures adoptades.
4.7 Devolució o destrucció al final del contracte
A la finalització del SERVEI, Drètic, a elecció del RESPONSABLE:
- Retornarà totes les dades en format estructurat (CSV, JSON, PDF, XML), o
- Destruirà de manera segura i irreversible totes les dades, incloent còpies
Termini màxim: 30 dies. Drètic emetrà un certificat de devolució o destrucció.
5. Drets dels interessats
Drètic redirigirà al RESPONSABLE qualsevol sol·licitud d'exercici de drets (accés, rectificació, supressió, portabilitat, oposició, limitació) que rebi directament d'un interessat. Cooperarà aportant la informació tècnica necessària en 5 dies hàbils.
Els interessats poden exercir els seus drets contactant directament amb el RESPONSABLE DEL TRACTAMENT (l'administració pública contractant).
6. Auditoria (art. 28.3.h RGPD)
El RESPONSABLE pot:
- Demanar evidències documentals del compliment (Drètic les lliurarà en 5 dies hàbils)
- Realitzar auditories presencials amb avís previ de 15 dies naturals
- Comissionar auditors externs independents
Drètic cooperarà plenament amb l'APDCAT, AEPD i qualsevol autoritat de control.
7. Transferències internacionals
Drètic no realitzarà transferències internacionals fora de l'EEE sense complir els requisits de l'art. 44 RGPD.
- Hetzner (Alemanya): NO és transferència internacional (Estat membre UE)
- Anthropic (EUA): emparada per la Decisió d'adequació EU-US Data Privacy Framework (juliol 2023). El RESPONSABLE pot desactivar la funcionalitat IA en 5 dies hàbils.
8. Llei aplicable i jurisdicció
El present contracte es regeix pel Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018 (LOPDGDD). Per a qualsevol controvèrsia, les parts se sotmeten als jutjats i tribunals de Barcelona.
9. Contact i sol·licituds
Per a sol·licitar un DPA personalitzat i signat, notificar una incidència de seguretat o exercir qualsevol dret relacionat amb la protecció de dades:
- Email protecció de dades: info@dretic.cat
- Telèfon: 935 95 17 49 (Dl-Dv 9-18h)
- Web: www.dretic.cat
Versió per imprimir
Per obtenir la versió completa, amb annexos i camps de signatura eIDAS, contacteu a
info@dretic.cat. S'enviarà un document Word/PDF editable en 5 dies hàbils.
Última actualització: 27 d'abril de 2026
