Document públic en compliment de l'article 30 del Reglament (UE) 2016/679 (RGPD). Última actualització: 03/05/2026.
| Identitat | Drètic SCCL |
|---|---|
| NIF | [PENDENT — afegir NIF de la cooperativa] |
| Forma jurídica | Societat Cooperativa Catalana Limitada |
| Adreça | [PENDENT — afegir domicili social] |
| Inscripció registral | [PENDENT — registre de cooperatives de Catalunya] |
| Telèfon | 935 95 17 49 |
| Email RGPD | info@dretic.cat |
| Web institucional | www.dretic.cat |
| Delegat de Protecció de Dades (DPD) | [PENDENT — designar si aplica art. 37.1 RGPD: tractament sistemàtic i a gran escala de categories especials] |
| Finalitat | Tramitació de procediments judicials i extrajudicials per als clients del despatx (defensa lletrada, redacció d'escrits, seguiment processal, mediacions) |
|---|---|
| Base jurídica | Art. 6.1.b RGPD (execució contractual amb client) + art. 9.2.f RGPD (formulació, exercici o defensa de reclamacions) per a categories especials |
| Categories d'interessats | Clients (persones físiques i representants de jurídiques), contraparts processals, testimonis, perits, professionals col·laboradors |
| Categories de dades | Identificadors (NIF, nom, cognoms, adreça), dades de contacte (email, telèfon), dades econòmiques (factures, IBAN si s'ha cobrat), dades professionals, dades de categoria especial: penals i judicials (art. 9.2.f), salut quan l'expedient és laboral, vida sexual quan és cas de violència de gènere o LGTBI+, ideologia/religió en casos d'objecció o discriminació |
| Destinataris | Jutjats i tribunals (preceptiu), advocats contraris, perits autoritzats, Col·legi d'Advocats (ICAB) per a justificants col·legials, ROLEC i altres registres oficials quan correspongui |
| Termini conservació | Durada del procediment + 5 anys (art. 1964 CC, deontològic ICAB); en certs casos especials (penals greus) fins a 20 anys |
| Mesures de seguretat | Xifrat AES-256 (Fernet) per als documents al disc i per als camps sensibles a BD (NIF, IBAN), TLS 1.2/1.3 amb HSTS, autenticació de doble factor (2FA) obligatòria per al personal, control d'accessos granular per advocat principal i rol, auditoria d'accessos a tot document amb IP i user-agent |
| Finalitat | Identificació i autenticació del personal autoritzat, registre d'accions per traçabilitat, comunicacions internes |
|---|---|
| Base jurídica | Art. 6.1.b RGPD (relació laboral o societària) + art. 6.1.c (compliment d'obligacions legals laborals i professionals) |
| Categories d'interessats | Treballadors, sòcies cooperativistes, col·laboradors externs autoritzats |
| Categories de dades | Identificatives (nom, cognoms, NIF, número col·legial), de contacte (email, telèfon), credencials autenticació (password hash bcrypt, secret TOTP), historial d'accions |
| Destinataris | Cap (tractament intern). Logs accessibles només a admins |
| Termini conservació | Durada de la relació + obligacions fiscals i laborals (Hisenda 4-6 anys, Seguretat Social 4 anys) |
| Mesures de seguretat | Hashing bcrypt, 2FA email/SMS/WhatsApp/TOTP obligatori per a admins, rate-limit login, anonimització RGPD art. 17 al donar-se de baixa (mantén integritat referencial sense dades personals) |
| Finalitat | Generació automàtica d'actes de reunions internes a partir de gravació d'àudio (transcripció Whisper + síntesi d'acta IA Anthropic Claude) |
|---|---|
| Base jurídica | Art. 6.1.f RGPD (interès legítim de l'organització en documentar acords interns), amb consentiment exprés dels participants abans de gravar |
| Categories d'interessats | Personal del despatx; ocasionalment dades indirectes de clients esmentats a la reunió |
| Categories de dades | Veu (biomètric — categoria especial art. 9 si s'identifiquen veus), contingut conversacional que pot referir expedients amb dades sensibles |
| Destinataris | Anthropic PBC (EUA, transcripció + síntesi acta) — vegeu encarregats. Equip intern (acta resultant) |
| Termini conservació | Àudio: 30 dies (només per a reprocessament si la transcripció és deficient). Acta: durada de l'expedient associat |
| Mesures de seguretat | Xifrat AES-256 al disc, accés només a admins i als participants, transmissió a Anthropic via TLS 1.3, política 0-retention sol·licitada al proveïdor |
| Finalitat | Permetre als clients consultar l'estat dels seus expedients, descarregar documents marcats com a visibles per al client, llegir notes d'avocació, pagar factures online |
|---|---|
| Base jurídica | Art. 6.1.b RGPD (relació contractual de prestació de serveis jurídics) |
| Categories d'interessats | Clients del despatx amb compte verificat |
| Categories de dades | Les del seu expedient (vegeu activitat 1) |
| Destinataris | Cap — accés només pel propi client |
| Termini conservació | Mateix que l'expedient principal |
| Mesures de seguretat | Login amb 2FA email opcional, accés filtrat per client_id a totes les queries (impossible veure expedients d'un altre client), visibilitat granular per nota i document (etiquetes intern i visibilitat='client') |
| Finalitat | Compliment legal (art. 32 RGPD, secret professional advocacia, deontologia ICAB), detecció d'incidents de seguretat, auditoria interna |
|---|---|
| Base jurídica | Art. 6.1.c RGPD (compliment d'obligacions legals) + 6.1.f (interès legítim seguretat) |
| Categories d'interessats | Personal del despatx (qui fa cada acció), de manera indirecta clients (qui modifica el seu expedient) |
| Categories de dades | Identificador d'usuari, acció realitzada, recurs afectat, IP d'origen, user-agent, timestamp UTC; mai contingut de dades sensibles ni passwords |
| Destinataris | Cap (només admins per inspecció) |
| Termini conservació | 2 anys per al log general (registre_activitat), 6 anys per a accessos a documents (documents_access_log) — coherent amb termini de prescripció d'accions civils i exigències deontològiques |
| Mesures de seguretat | Insercions atòmiques que mai aturen el flux principal, sense passwords ni dades sensibles, accés només a admins, immutables (sense UPDATE) |
| Hetzner Online GmbH (Alemanya) | Allotjament VPS (CPX22) i backups automàtics diaris. Dades a centre NBG1 (Nuremberg, Alemanya — UE). Sense transferència internacional. ISO/IEC 27001 certificat. DPA model RGPD signat. |
|---|---|
| Anthropic, PBC (EUA) | Processament IA (model Claude per chat jurídic, classificació Aranzadi, generació informes, transcripció reunions, debriefing sentències). Transferència emparada per la EU-US Data Privacy Framework + clàusules contractuals tipus. Política 0-retention: Anthropic NO entrena models amb les dades de l'API. L'administració/client pot demanar desactivar la funcionalitat IA per evitar la transferència. |
| Twilio Inc. (EUA) | Enviament d'SMS per a verificació de doble factor (2FA), opcional. Transferència emparada per SCC + DPF. Només es transmet número de telèfon i codi OTP de 6 dígits. |
| CallMeBot (UE) | Enviament de WhatsApp per a 2FA opcional. Servei UE. Només es transmet número i codi OTP. |
| Proveïdor SMTP propi | Servidor SMTP estàndard configurat al despatx (per defecte Gmail Workspace via smtp.gmail.com:587 amb STARTTLS). Cap dependència externa específica de DRÈTIC; canviable a qualsevol proveïdor europeu si l'administració ho requereix. |
Els clients i tercers poden exercir els drets següents:
modules/auth/auth_service.py:eliminar_usuariSol·licitud: email a info@dretic.cat amb assumpte "Exercici de drets RGPD" i còpia DNI/NIE. Resposta màxima: 30 dies (prorrogables a 60 en casos complexos amb justificació).
Reclamació davant autoritats de control:
Vegeu detall complet a la Memòria Tècnica de Seguretat:
registre_activitat + documents_access_logAquest registre s'actualitza quan canvien les activitats de tractament o quan s'incorpora un nou encarregat. La versió pública sempre coincideix amb la versió interna utilitzada per a auditories.
Última actualització: 27 d'abril de 2026