Salta al contingut
e-Studio365

Data Processing Agreement (DPA)

Última actualització: maig 2026 · v1.0

Aquest contracte regula el tractament de dades personals que e-Studio365 (l'Encarregat del tractament) realitza per compte de l'estudi subscriptor (el Responsable del tractament), d'acord amb l'Article 28 del RGPD.

Fase pilot 2026.Aquesta versió del DPA cobreix el període de fase pilot pre-comercial (fins al 31/12/2026 o data d'obertura comercial efectiva). Les obligacions mínimes Art. 28 RGPD (instruccions, confidencialitat, seguretat, notificació de bretxes, cooperació amb drets dels titulars, restitució o supressió al final) es compleixen plenament. Els SLA operatius específics (temps de resposta, garanties de disponibilitat contractuals) són "millor esforç" durant la beta i es formalitzaran en una versió comercial del DPA abans del llançament obert, que serà comunicada al Responsable per a revisió.

Encarregat del tractament

Spree Girona, S.L. (nom comercial Metricum) · CIF B-17906926 · Domicili: c/ Puig Pedrós 7, 3B, 17520 Puigcerdà (Girona) · Email: hola@metricum.cat

1. Objecte

El Responsable encarrega al l'Encarregat el tractament de dades personals de clients de l'estudi (alumnes), monitors i altres usuaris registrats al CRM. Inclou dades de categoria especial (salut) si el Responsable activa la funcionalitat de fitxa de salut.

2. Durada

Mentre el contracte de subscripció estigui vigent. Després, l'Encarregat conservarà les dades 30 dies (per recuperació) i les esborrarà definitivament.

3. Obligacions de l'Encarregat

  • Tractar les dades únicament segons instruccions del Responsable.
  • Garantir confidencialitat del personal autoritzat.
  • Implementar mesures de seguretat tècniques i organitzatives (xifratge in transit + at rest, RLS multi-tenant, audit log).
  • Notificar al Responsable en cas de violació de seguretat en menys de 72h.
  • Col·laborar amb el Responsable en les sol·licituds dels drets ARCO+.
  • Esborrar o retornar totes les dades al final del contracte (a elecció del Responsable).

4. Sub-encarregats

L'Encarregat utilitza els següents sub-encarregats, tots dins de l'EU/EEE i amb garanties GDPR:

  • Supabase (hosting BD + auth + storage, Frankfurt EU) — Pro plan amb DPA signat
  • Vercel (hosting app + edge functions + cron jobs, EU regions)
  • Sentry(monitoring d'errors, metricum.sentry.io / Frankfurt EU) — scrubber PII actiu abans d'enviar events
  • Cloudflare Turnstile (CAPTCHA anti-bot a signup/login/forgot-password, EU edge) — privacy-friendly sense cookies de tracking
  • healthchecks.io (monitor extern de cron jobs, EU edge) — només rep pings de start/success/fail, no PII
  • GitHub Actions (workflow de backup nocturn, US) — el contingut del backup arriba xifrat amb age abans de pujar a un bucket S3-compatible (claus al CDN del proveidor)
  • Backblaze B2 / Cloudflare R2 (bucket S3 per a backups xifrats, EU) — només conté `.dump.age` xifrat, no accedible sense la clau privada
  • Stripe (pagaments) — PENDENT integrar a Phase 4. Mentre, no és sub-encarregat actiu.

Comunicacions amb clients finals dels estudis es fan a través de WhatsApp (Meta) per deep-links manuals iniciats per l'Owner. No es transmeten dades automàticament a Meta des dels nostres servidors.

5. Drets dels titulars

El Responsable és qui ha de respondre directament als drets dels titulars (alumnes). L'Encarregat ofereix eines (export/borrar dades de salut, audit log, export client) per facilitar-ho.

6. Responsabilitat

Cada part respon de les seves obligacions GDPR. L'Encarregat no respon de l'ús incorrecte que el Responsable faci de les eines del Servei (per exemple, recollir dades sense base jurídica).

7. Propietat intel·lectual del software

La propietat intel·lectual del software e-Studio365 (codi, arquitectura, marca, esquemes de BD) correspon exclusivament a Spree Girona, S.L.com a entitat desenvolupadora. Aquesta titularitat és independent del rol d'Encarregat del tractament i no es transfereix al Responsable en cap moment.

8. Cessió de l'encàrrec a entitat associada

L'Encarregat es reserva el dret de transferir el rol d'Encarregat del tractament a una entitat associada (filial, societat dependent o llicenciatari designat per Spree Girona, S.L.) sense necessitat de consentiment previ del Responsable, sempre que es compleixin les condicions següents:

  • L'entitat associada assumeix íntegrament les obligacions d'aquest DPA (Art. 28 RGPD) sense rebaixar el nivell de garanties.
  • El Responsable rep notificació per email amb un mínim de 30 dies d'antelacióde la identitat de l'entitat associada i la data efectiva.
  • Si el Responsable no està conforme amb la cessió, té dret a resoldre el contracte de subscripció sense penalització i exercir els drets de portabilitat de dades.

La propietat del software (Clàusula 7) es manté en tot cas en Spree Girona, S.L., independentment de qui sigui l'Encarregat operatiu vigent.

Dades de Spree Girona, S.L. actualitzades el maig de 2026. Recomanada revisió jurídica especialitzada abans del primer pilot real. Els subprocessadors (Supabase, Vercel) mantenen els seus propis DPAs signats per Metricum independentment d'aquest document.

Avís Legal·Cookies