Acord d'encàrrec del tractament (DPA)

1. Objecte i marc legal

Aquest Acord d'encàrrec del tractament (en endavant, «DPA») regula el tractament de dades personals que Alastia SLU («l'Encarregat» o «Tributs») fa per compte del Client («el Responsable») en el marc de la prestació del servei Tributs.

Es subscriu en compliment de l'article 31 de la Llei 29/2021, del 28 d'octubre, qualificada de protecció de dades personals (LQPD), que exigeix que tot tractament per encàrrec es reguli mitjançant un contracte. Forma part integrant de les Condicions del servei i preval sobre aquestes en allò relatiu al tractament de dades personals de tercers.

2. Rols de les parts

El Client és el responsable del tractament de les dades personals de tercers (els seus clients, proveïdors, empleats i contactes) que introdueix o puja al servei. Determina les finalitats i els mitjans del tractament.

Alastia SLU és l'encarregat del tractament: tracta aquestes dades únicament per prestar el servei i seguint les instruccions documentades del Responsable. (Per a les dades del compte i de la facturació de la subscripció, en canvi, Alastia és responsable: vegeu la Política de privacitat.)

3. Objecte, durada, naturalesa i finalitat

Objecte: el tractament de dades personals necessari per prestar el servei Tributs (gestió comptable, fiscal, de facturació, bancària i de nòmines).

Durada: mentre estigui vigent la subscripció, més el període de conservació i les operacions de retorn o supressió previstes a la secció 11.

Naturalesa i finalitat: emmagatzematge, organització, consulta, càlcul, generació de documents i models, extracció de dades de factures i comunicació als sub-encarregats indicats, sempre per a la prestació del servei i mai per a finalitats pròpies de l'Encarregat.

4. Tipus de dades i categories d'interessats

Categories d'interessats: clients, proveïdors, empleats, administradors i contactes del Responsable.

Tipus de dades: identificatives (nom, NRT/NIF), de contacte (adreça, correu, telèfon), econòmiques i bancàries (IBAN, mitjans de pagament, moviments), fiscals (factures, bases, retencions) i, en el cas de les nòmines, dades laborals i de cotització (salari, número d'afiliació a la CASS, retencions IRPF/IRNR). El servei no està dissenyat per tractar categories especials de dades; el Responsable s'absté d'introduir-ne.

5. Obligacions de l'Encarregat (art. 31.4 LQPD)

a) Instruccions: tractarà les dades únicament seguint les instruccions documentades del Responsable (incloses les relatives a transferències internacionals), llevat que una obligació legal exigeixi una altra cosa; en aquest cas n'informarà el Responsable. Si considera que una instrucció infringeix la normativa, l'hi comunicarà sense dilació.

b) Confidencialitat: garantirà que les persones autoritzades a tractar les dades s'hagin compromès a respectar-ne la confidencialitat.

c) Seguretat: aplicarà les mesures tècniques i organitzatives adequades exigides per l'art. 35 de la LQPD (vegeu la secció 7).

d) Sub-encarregats: respectarà les condicions de la secció 8 per recórrer a altres encarregats.

e) Assistència — drets: assistirà el Responsable, en la mesura del possible i amb mesures tècniques i organitzatives adequades, perquè pugui atendre les sol·licituds d'exercici de drets dels interessats (Capítol 3 de la LQPD).

f) Assistència — compliment: ajudarà el Responsable a complir les obligacions d'avaluació d'impacte, seguretat i notificació de violacions (arts. 32, 35, 36 i 37 de la LQPD).

g) Supressió o retorn: a elecció del Responsable, suprimirà o li retornarà les dades en finalitzar el servei (secció 11).

h) Auditoria: posarà a disposició del Responsable la informació necessària per demostrar el compliment i permetrà auditories (secció 12).

6. Confidencialitat

L'Encarregat i el seu personal mantindran la confidencialitat de les dades fins i tot després de finalitzar la relació. L'accés del personal es limita al estrictament necessari per prestar el servei.

7. Mesures de seguretat

L'Encarregat aplica, entre d'altres: xifrat en trànsit (TLS 1.3); aïllament físic de les dades de cada empresa client en una base de dades pròpia (model multi-site); control d'accés amb autenticació de doble factor per al personal intern; còpies de seguretat periòdiques amb retenció rotativa; i registre d'accessos. Les mesures s'adeqüen al risc i poden actualitzar-se per mantenir un nivell de protecció equivalent o superior.

8. Sub-encarregats

El Responsable autoritza de manera general que l'Encarregat recorri a sub-encarregats per prestar el servei. La llista vigent i actualitzada dels sub-encarregats —amb la identitat, la finalitat, la ubicació i la garantia de cadascun, i la data de versió— es publica i es manté en aquella pàgina. Cadascun té signat un contracte que li imposa les mateixes obligacions de protecció de dades (art. 31.5 LQPD), i l'Encarregat respon davant el Responsable del seu compliment.

Informarem el Responsable de qualsevol alta o substitució de sub-encarregats amb almenys 30 dies d'antelació, publicant la versió actualitzada a la llista i notificant-ho per correu electrònic. Durant aquest termini el Responsable pot oposar-s'hi per motius raonables relacionats amb la protecció de dades (art. 31.3 LQPD); si l'oposició és fonamentada i no hi ha una alternativa raonable, podrà resoldre el servei sense penalització per la part no consumida.

9. Transferències internacionals

Andorra és un país amb nivell de protecció adequat reconegut per la Unió Europea (Decisió 2010/625/UE de la Comissió, de 19 d'octubre de 2010, confirmada a la revisió de 2024). Per tant, un Responsable establert a la UE/EEE pot encarregar el tractament a Alastia SLU sense necessitat de garanties addicionals, com si fos una transmissió intracomunitària.

Quan un sub-encarregat estigui fora de l'EEE (per exemple, als Estats Units), la transferència es fa a l'empara de les clàusules contractuals tipus (SCCs) aprovades per la Comissió Europea i altres garanties adequades (arts. 42 a 45 de la LQPD), tal com s'indica a la llista de sub-encarregats (secció 8).

10. Violacions de la seguretat

Si l'Encarregat té coneixement d'una violació de la seguretat que afecti dades tractades per compte del Responsable, l'hi notificarà sense dilació (art. 36.2 LQPD), amb l'objectiu pràctic de fer-ho en un màxim de 48 hores, aportant la informació de què disposi perquè el Responsable pugui complir, si escau, la seva obligació de notificar l'APDA en el termini màxim de 72 hores (art. 36.1) i, quan correspongui, els interessats (art. 37).

11. Retorn o supressió al final

En finalitzar la prestació del servei, i a elecció del Responsable, l'Encarregat li retornarà les dades en format estàndard (CSV per a dades estructurades, PDF/imatge per a adjunts) o les suprimirà, juntament amb les còpies existents, llevat que una obligació legal n'exigeixi la conservació. El Responsable disposa d'eines d'exportació autònoma abans del tancament del compte.

12. Auditoria i informació

L'Encarregat posarà a disposició del Responsable la informació necessària per acreditar el compliment de l'art. 31 de la LQPD i permetrà i contribuirà a auditories, incloses inspeccions, dutes a terme pel Responsable o per un auditor que aquest designi, amb un preavís raonable i respectant la confidencialitat i la seguretat de la resta de clients.

13. Responsabilitat

Cada part respon de l'incompliment de les obligacions que li corresponen segons la LQPD i aquest DPA. La limitació de responsabilitat de les Condicions del servei s'aplica també a aquest acord, en la mesura permesa per la llei i sense afectar els drets dels interessats davant l'autoritat de control.

14. Contacte i autoritat de control

Consultes sobre aquest acord: hola@tributs.ad. L'autoritat de control competent és l'Agència Andorrana de Protecció de Dades (APDA): www.apda.ad.