APÈNDIX I: Acord sobre el tractament de dades

Aquest Acord sobre el tractament de dades regula la manera com ILOVEPDF tracta les dades personals en nom del Responsable del tractament de dades, en conformitat amb el Reglament (UE) 2016/679 (RGPD).

Aquest acord sobre el tractament de dades ("Acord sobre el tractament de dades") constitueix l'acord aplicable al tractament de dades personals que ILOVEPDF ("ILOVEPDF"), amb CIF B66921552 i domicili social a Carrer Sabino de Arana, 60, 08028 Barcelona, realitza en nom vostre, en relació amb les dades personals que tracta segons les disposicions que figuren a continuació.

En aquest sentit, ILOVEPDF us proporcionarà certs serveis a través del software o dels programes informàtics propietat d'ILOVEPDF. L'ús d'aquests serveis requerirà l'accés i el processament per part de ILOVEPDF, com a encarregat del tractament (d'ara endavant, "encarregat del tractament"), de certes dades personals per a les quals actueu com a responsable del tractament (d'ara endavant, "responsable del tractament").

Aquest Acord sobre el tractament forma part dels Termes i condicions d'ILOVEPDF i s'aplicarà en acceptar els Termes i condicions. En cas de qualsevol conflicte, oposició o contradicció entre els Termes i condicions i l'Acord sobre el tractament, prevaldrà l'Acord sobre el tractament, per sobre dels Termes i condicions.

Que, per tal de complir les disposicions del Reglament (UE) 2016/679 del Parlament Europeu i del Consell del 27 d'abril de 2016 sobre la protecció de les persones físiques respecte del tractament de dades personals i sobre la lliure circulació d'aquestes dades ("RGPD"), el responsable i l'encarregat del tractament signen aquest Acord sobre el tractament, d'acord amb les següents



CLÀUSULES

Clàusula 1

Propòsit i abast

  1. El propòsit de l'Acord sobre el tractament és garantir el compliment de l'Article 28(3) i (4) del RGPD.
  2. El responsable i l'encarregat del tractament han acordat quedar vinculats per aquest Acord per tal de garantir el compliment de l'Article 28(3) i (4) del RGPD.
  3. Aquest Acord sobre el tractament s'aplica al tractament de les dades personals especificades a l'Annex I.
  4. Els annexos I i II formen part de l'Acord sobre el tractament.
  5. Aquests termes i condicions no van en detriment de les obligacions a les quals està subjecte el responsable del tractament en virtut del RGPD.
  6. Aquests termes i condicions no asseguren, per si sols, el compliment de les obligacions relatives a les transferències internacionals, d'acord amb el Capítol V del RGPD.

Clàusula 2

Interpretació

  1. Quan s'utilitzen termes definits al RGPD en aquest Acord sobre el tractament, s'entén que tenen el mateix significat que al RGPD.
  2. Aquest Acord sobre el tractament s'ha de llegir i interpretar de conformitat amb les disposicions del RGPD.
  3. Aquest Acord sobre el tractament de dades no s'ha d'interpretar d'una manera que contravingui als drets i obligacions establerts al RGPD i/o que perjudiqui els drets o les llibertats fonamentals dels interessats.

Clàusula 3

Jerarquia

En cas de contradicció entre aquest Acord sobre el tractament i les disposicions d'altres acords relacionats que s'hagin establert entre les Parts i que siguin vigents en el moment en què s'acorden o se subscriuen aquests termes i condicions, aquest Acord sobre el tractament prevaldrà.

Clàusula 4

Descripció del/s tractament/s

L'Annex I especifica els detalls de les operacions de tractament, en concret les categories de dades personals i els propòsits del tractament per als quals les dades personals es processen en nom del responsable del tractament.

Clàusula 5

Obligacions de les Parts

5.1. Instruccions

  1. L'encarregat del tractament tractarà les dades personals només segons les instruccions documentades del responsable del tractament, tret que sigui obligat a fer-ho per la legislació de la Unió o d'un Estat membre a la qual estigui sotmès. En aquest cas, l'encarregat del tractament informarà el responsable del tractament d'aquesta exigència legal abans de tractar-les, llevat que la llei ho prohibeixi per raons importants d'interès públic. El responsable del tractament també pot donar instruccions posteriors mentre es dugui a terme el tractament de les dades personals. Aquestes instruccions s'han de documentar sempre.
  2. L'encarregat del tractament ha d'informar immediatament el responsable si, segons la seva opinió, les instruccions donades pel responsable infringeixen el RGPD o la llei aplicable de la Unió o d'un Estat membre en matèria de protecció de dades.

5.2. Limitació del propòsit

L'encarregat del tractament només tractarà les dades personals per al/s propòsit/s específic/s del tractament, tal com s'indica a l'Annex I, tret que rebi instruccions addicionals per part del responsable.

5.3. Durada del tractament de les dades personals

El tractament per part de l'encarregat només tindrà lloc durant el període especificat a l'Annex I.

5.4. Seguretat del tractament

  1. L'encarregat del tractament adoptarà, com a mínim, les mesures tècniques i organitzatives especificades a l'Annex II a fi de garantir la seguretat de les dades personals. Això inclou protegir les dades contra una violació de la seguretat que condueixi a la destrucció, pèrdua, alteració, divulgació no autoritzada o accés a les dades accidental o il·lícita (violació de les dades personals). En avaluar el nivell adequat de seguretat, les Parts tindran degudament en compte els últims avenços, els costos d'implementació, la naturalesa, l'abast, el context i els propòsits del tractament, i els riscos que suposa per als interessats.
  2. L'encarregat concedirà accés a les dades personals que s'estiguin tractant només als membres del seu personal que sigui estrictament necessari, a fi d'executar, gestionar i supervisar el contracte. L'encarregat del tractament garantirà que les persones amb autorització per processar les dades personals rebudes s'han compromès amb la confidencialitat o estan sotmeses a una obligació jurídica adequada en matèria de confidencialitat.

5.5. Dades sensibles

Si el tractament implica dades personals que revelin l'origen racial o ètnic, opinions polítiques, creences religioses o filosòfiques, o pertinença a sindicats, dades genètiques o biomètriques destinades a identificar una persona física, dades sobre la salut, la vida sexual o l'orientació sexual d'una persona, o dades relatives a condemnes i infraccions ("dades sensibles"), l'encarregat aplicarà restriccions específiques i/o salvaguardes addicionals.

5.6. Documentació i compliment

  1. Les Parts han de poder demostrar el compliment d'aquest Acord sobre el tractament de dades.
  2. L'encarregat del tractament haurà de gestionar de manera ràpida i adequada les consultes del responsable sobre el tractament de dades, d'acord amb aquest Acord sobre el tractament.
  3. L'encarregat haurà de posar a disposició del responsable o d'un tercer independent tota la informació necessària per demostrar el compliment de les obligacions establertes en aquest Acord sobre el tractament, i que deriven directament del RGPD. A petició del responsable, l'encarregat també permetrà i col·laborarà en auditories sobre les activitats de tractament cobertes per aquest Acord sobre el tractament de dades. Les auditories es limitaran de manera material i temporal a allò que sigui estrictament necessari per tal que el responsable pugui realitzar les verificacions oportunes en cas de sospita —degudament justificada prèviament per escrit— d'incompliment d'algun dels punts d'aquest Acord sobre el tractament de dades per part de l'encarregat. En qualsevol cas, les auditories tindran com a únic objectiu verificar les circumstàncies de l'incompliment, es limitaran a un màxim d'una (1) auditoria l'any i s'han de notificar almenys amb un (1) mes d'antelació. En qualsevol cas, les auditories aniran a càrrec del responsable del tractament.
  4. Les Parts han de posar a disposició de les autoritats de supervisió competents, a petició seva, la informació esmentada en aquesta clàusula i, en particular, els resultats de les auditories.

5.7. Ús de subencarregats del tractament

  1. L'encarregat del tractament té l'autorització general del responsable per a la contractació de subencarregats. L'encarregat haurà de proporcionar al responsable la informació necessària a fi de permetre que aquest últim pugui exercir el dret a oposar-s'hi.
  2. Quan l'encarregat contracti un subencarregat per realitzar activitats de tractament específiques (en nom del responsable), ho farà mitjançant un contracte que imposi al subencarregat, bàsicament, les mateixes obligacions en matèria de protecció de dades que les imposades a l'encarregat del tractament d'acord amb aquestes clàusules. L'encarregat haurà d'assegurar-se que el subencarregat compleixi amb les obligacions a les quals l'encarregat del tractament està subjecte de conformitat amb aquest Acord sobre el tractament i el RGPD.
  3. L'encarregat del tractament continuarà conservant les seves responsabilitats davant el responsable per l'execució de les obligacions del subencarregat, d'acord amb el seu contracte amb l'encarregat. L'encarregat haurà d'informar el responsable sobre qualsevol infracció per part del subencarregat respecte de les seves obligacions contractuals.

5.8. Transferències internacionals

  1. Les transferències de dades a un tercer país o a una organització internacional per part de l'encarregat es realitzaran de conformitat amb el Capítol V del RGPD.
  2. El responsable està d'acord que, quan l'encarregat contracti un subencarregat en virtut de la clàusula 5.7 per realitzar activitats de tractament específiques (en nom del responsable) i aquestes activitats de tractament impliquin una transferència de dades personals en el sentit del Capítol V del RGPD, l'encarregat i el subencarregat podran garantir el compliment del Capítol V del RGPD de la manera següent: (i) transferir les dades personals a països amb els quals la Comissió Europea hagi adoptat una decisió d'adequació d'acord amb l'Article 45 del RGPD; o (ii) utilitzant clàusules contractuals estàndard adoptades per la Comissió, d'acord amb l'Article 46(2) del RGPD, sempre que es compleixin les condicions per a l'ús d'aquestes clàusules contractuals estàndard. Com a norma general, i excepte que el responsable hagi escollit el contrari, l'encarregat tractarà les vostres dades personals a dins de l'Espai Econòmic Europeu. No obstant això, i per als responsables situats a fora de l'Espai Econòmic Europeu, a fi d'optimitzar el rendiment i l'eficàcia dels nostres serveis, l'encarregat podrà processar les vostres dades personals en àrees geogràfiques més properes a la vostra ubicació, sempre que es compleixin les garanties esmentades.
  3. A més, si hi hagués una comunicació de dades personals per part de l'encarregat al responsable que impliqués una transferència de dades personals en el sentit del Capítol V del RGPD, l'encarregat i el responsable passaran a estar sotmesos a les clàusules contractuals estàndard (mòdul 4) annexades com a Apèndix II.

Clàusula 6

Assistència al responsable del tractament

  1. L'encarregat notificarà de manera immediata al responsable qualsevol sol·licitud que hagi rebut per part de l'interessat. No respondrà a la sol·licitud pel seu compte, tret que estigui autoritzat pel responsable.
  2. L'encarregat transmetrà al responsable qualsevol sol·licitud que rebi per a l'exercici dels drets dels interessats, la resposta dels quals correspongui al responsable perquè es refereixen a dades personals sobre les quals aquest actua com a responsable del tractament.
  3. A més de l'obligació de l'encarregat d'assistir el responsable en virtut de la Clàusula 6(b), l'encarregat ajudarà el responsable a garantir el compliment de les obligacions següents, tenint en compte la naturalesa del tractament de dades i la informació que té l'encarregat al seu abast:
    1. l'obligació de dur a terme una avaluació de l'impacte de les operacions de tractament previstes sobre la protecció de les dades personals ('avaluació d'impacte sobre la protecció de dades'), quan hi ha un tipus de tractament que pot representar un alt risc per als drets i les llibertats de les persones físiques.
    2. l'obligació de consultar l'autoritat/s de supervisió competent/s abans de dur a terme el tractament, quan una avaluació de l'impacte sobre la protecció de dades indiqui que el tractament implicaria un risc elevat, en absència de mesures preses per part del responsable a fi de mitigar el risc;
    3. l'obligació d'assegurar-se que les dades personals són precises i estan actualitzades, informant el responsable de manera immediata si l'encarregat esdevé conscient que les dades personals que tracta són inexactes o han quedat obsoletes;
    4. les obligacions de l'Article 32 del RGPD.
  4. Les Parts han de detallar a l'Annex II les mesures tècniques i organitzatives adequades mitjançant les quals l'encarregat està obligat a assistir el responsable del tractament en l'aplicació d'aquesta clàusula, així com l'abast i l'extensió de l'assistència requerida.

Clàusula 7

Notificació de violacions de dades personals

  1. En el cas d'una violació de dades personals, l'encarregat haurà de cooperar i assistir el responsable perquè compleixi amb les seves obligacions en virtut dels Articles 33 i 34 del RGPD, tenint en compte la naturalesa del tractament i la informació que té l'encarregat al seu abast.
  2. En el cas d'una violació de la seguretat de les dades personals tractades per l'encarregat en nom del responsable, l'encarregat haurà d'informar el responsable sense cap demora indeguda, un cop l'encarregat en tingui coneixement. Aquesta notificació inclourà almenys:
    1. una descripció de la naturalesa de la violació (incloent-hi, si és possible, les categories i el nombre aproximat de persones afectades i els registres de dades implicats);
    2. les dades d'un punt de contacte on es pugui obtenir més informació sobre la violació de dades personals;
    3. les seves conseqüències probables i les mesures preses o proposades per abordar la violació, incloent-hi les mesures per mitigar els seus possibles efectes adversos.
  3. Quan i en la mesura que no tota la informació es pugui proporcionar al mateix temps, la informació disponible s'haurà de facilitar en la notificació inicial i, a mesura que es reculli, es proporcionarà informació addicional sense cap demora indeguda.

ANNEX I: DESCRIPCIÓ DEL TRACTAMENT

Categories d'interessats les dades personals dels quals es tracten
Aquelles categories d'interessats les dades personals dels quals es troben als fitxers que el responsable carrega quan utilitza els serveis proporcionats per ILOVEPDF (per exemple, treballadors, clients, proveïdors, etc.).

Categories de dades personals tractades
Aquelles categories de dades personals que es troben als fitxers que el responsable carrega quan utilitza els serveis proporcionats per ILOVEPDF.

Dades sensibles tractades (si escau) i restriccions aplicades o garanties que tenen plenament en compte la naturalesa de les dades i els riscos implicats, com, per exemple, la limitació estricta del propòsit, restriccions d'accés (incloent-hi accés només per al personal que hagi seguit formació especialitzada), el manteniment d'un registre d'accés a les dades, restriccions per a transferències futures o mesures de seguretat addicionals.
Les categories especials de dades personals es tractaran en la mesura que els fitxers que el responsable carregui quan utilitzi els serveis proporcionats per ILOVEPDF continguin aquestes categories especials de dades personals.

Naturalesa del tractament
L'encarregat realitzarà totes les accions necessàries per proporcionar els serveis (p. ex., conversió, edició i compressió del document que conté les dades personals).

Propòsit(s) pels quals es tracten les dades personals en nom del responsable del tractament
Per proporcionar els serveis en nom d'ILOVEPDF.

Durada del tractament
En la mesura estrictament necessària per proporcionar els serveis.

Subencarregats i tipus de serveis proporcionats

En el context de la prestació dels seus serveis, ILOVEPDF utilitza proveïdors de serveis de tercers que actuen com a subencarregats del tractament de les dades personals. Entre ells, ILOVEPDF compta amb Cloudscale, Digital Ocean, Hetzner, OVHcloud, Vultr, com a proveïdors d'allotjament web i solucions de computació al núvol, que proporcionen serveis d'infraestructura tecnològica a fi de garantir un tractament segur, emmagatzematge temporal de dades i la continuïtat operativa de la plataforma.

Els subencarregats actuen d'acord amb les instruccions d'ILOVEPDF, aplicant mesures tècniques i organitzatives adequades per garantir la protecció de les dades personals, de conformitat amb el Reglament (UE) 2016/679 (RGPD) i altres normatives en matèria de protecció de dades aplicables.

Per obtenir més informació sobre els sub-processadors d'ILOVEPDF pots accedir fent clic aquí.

ANNEX II: MESURES TÈCNIQUES I ORGANITZATIVES, INCLOENT-HI MESURES TÈCNIQUES I ORGANITZATIVES DESTINADES A GARANTIR LA SEGURETAT DE LES DADES

L'encarregat del tractament aplicarà les mesures de seguretat tècniques i organitzatives següents a les activitats de tractament que dugui a terme sota aquest Acord sobre el tractament:

  • Mesures tècniques per protegir-les contra la intercepció, còpia, modificació, errors de ruta i destrucció de la informació transferida.
  • Procediments tècnics i polítiques internes per detectar, protegir i mitigar aplicacions malicioses (malware) que puguin ser transmeses a través de comunicacions electròniques.
  • Protecció tècnica de la informació sensible quan es transmet com a fitxers adjunts.
  • Política interna sobre l'ús acceptable dels recursos de comunicació.
  • Mesures organitzatives per garantir la responsabilitat de tots els usuaris (personal i tercers) amb accés autoritzat als recursos de l'encarregat respecte de la seva pròpia informació.
  • Ús de tècniques criptogràfiques per protegir la confidencialitat, la integritat i l'autenticitat de la informació.
  • Directrius organitzatives per a la retenció i eliminació de tota la correspondència empresarial, inclosos els missatges, d'acord amb les lleis i normatives nacionals i locals rellevants.
  • Informació recurrent i establiment de polítiques internes per al personal pel que fa a la no-divulgació d'informació confidencial, amb finalitats com: no deixar missatges que continguin informació sensible en contestadors automàtics, no tenir converses confidencials en llocs públics, no utilitzar canals de comunicació que no siguin segurs, no tenir converses confidencials en oficines obertes, etc.

Control de versions: dijous, 19 de febrer de 2026

Òndia! Hi ha algun problema amb la teva connexió a Internet...