Addenda de Tractament de Dades

Darrera actualització: 15 de maig de 2026

Aquesta ATD s'incorpora per referència a les Condicions del Servei per a Empreses i entra en vigor quan el Client accepta les Condicions del Servei per a Empreses o utilitza per primera vegada el Servei després de la data indicada més amunt, el que sigui anterior. El Client que necessiti una còpia d'aquesta ATD contrafirmada amb capçalera corporativa de l'empresa pot sol·licitar-la escrivint a privacy@easyweek.io. EasyWeek la contrafirmarà sense modificar el contingut d'aquesta plantilla.

1. Definicions

Els termes escrits en majúscula però no definits en el present ATD tenen el significat que se'ls atorga a les Condicions del servei per a empreses o al RGPD. En particular:

• «RGPD» — Reglament (UE) 2016/679 i, en allò que sigui aplicable, la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD).
• «Responsable del tractament», «Encarregat del tractament», «Interessat», «Dades personals», «Violació de la seguretat de les dades personals», «Tractament», «Sub-encarregat del tractament», «Autoritat de control» — tal com es defineixen a l'article 4 del RGPD.
• «Dades personals del Client» — Dades personals que el Client o els seus usuaris autoritzats introdueixen o generen a través del Servei i que EasyWeek tracta per compte del Client.
• «CCT» — les Clàusules Contractuals Tipus per a la transferència de dades personals a tercers països en virtut del RGPD, adoptades per la Decisió d'execució (UE) 2021/914 de la Comissió, de 4 de juny de 2021.

2. Rols

El Client és el Responsable del Tractament de les Dades Personals del Client. EasyWeek és l'Encarregat del Tractament i tracta les Dades Personals del Client únicament seguint les instruccions documentades del Client i de conformitat amb aquest APD, les Condicions del Servei Empresarial i la legislació aplicable, incloent el RGPD i la LOPDGDD.

Les parts reconeixen que EasyWeek és el Responsable del Tractament per a categories limitades de dades personals que EasyWeek tracta amb les seves pròpies finalitats — per exemple, les credencials de compte dels usuaris autoritzats, les dades de facturació i la telemetria d'ús del Servei. Aquest tractament es regeix per la Política de Privadesa Empresarial, no per aquest APD.

3. Objecte, durada i finalitat

L'objecte, la naturalesa, la finalitat, la durada, les categories de Dades Personals i les categories d'Interessats es descriuen a l'Annex I.

El DPA és efectiu durant el temps en què EasyWeek tracti Dades Personals del Client en nom del Client i subsisteix a la resolució de les Condicions del Servei Empresarial durant el temps que sigui necessari per complir amb la Secció 13.

4. Instruccions del Client

El propi Servei, la configuració aplicada pel Client a través de la interfície d'usuari i l'API del Servei, les Condicions de Servei Comercials i aquest APD constitueixen les instruccions documentades completes i definitives del Client a EasyWeek relatives al tractament de les Dades Personals del Client. Qualsevol instrucció addicional o diferent requereix un acord per escrit i pot comportar càrrecs addicionals.

EasyWeek informarà el Client sense dilació indeguda si, en la seva opinió, una instrucció vulnera el RGPD o la LOPDGDD, o una altra disposició de protecció de dades de la UE o d'un estat membre, i podrà suspendre la instrucció impugnada fins a rebre la confirmació per escrit del Client.

5. Confidencialitat

EasyWeek garanteix que el personal autoritzat a tractar Dades Personals del Client s'ha compromès a mantenir la confidencialitat (o està subjecte a una obligació legal de confidencialitat adequada) i està vinculat per controls d'accés i principis de privilegi mínim. L'accés a les Dades Personals del Client es limita al personal que el necessita per operar o millorar el Servei.

6. Seguretat (MTOs)

EasyWeek implementa mesures tècniques i organitzatives adequades per garantir un nivell de seguretat apropiat al risc, tal com s'estableix a l'Annex II. EasyWeek pot actualitzar les seves MTOs al llarg del temps sempre que el nivell de protecció no es redueixi.

7. Subprocessadors

El Client atorga per la present a EasyWeek una autorització general per escrit per a contractar Subprocessadors. La llista de Subprocessadors aprovats en la data del present DPA s'estableix a l'Annex III i es manté a /business/subprocessors.

EasyWeek notificarà el Client amb un mínim de trenta (30) dies d'antelació de qualsevol addició o substitució prevista de Subprocessadors, a través del centre de notificacions de l'aplicació i, quan el Client s'hi hagi subscrit, per correu electrònic. El Client podrà oposar-se per motius raonables i documentats de protecció de dades en un termini de trenta (30) dies a partir de la notificació. Si les parts no arriben a un acord de resolució, el Client podrà rescindir les Condicions del Servei Empresarial pel que fa a la part del Servei que requereixi el Subprocessador impugnat, amb un reembossament proporcional de les tarifes prepagades pel període restant.

EasyWeek imposa obligacions de protecció de dades a cada Subprocessador mitjançant contracte per escrit que no siguin menys protectores que les establertes en el present DPA. EasyWeek es manté plenament responsable davant el Client pel compliment de les obligacions dels seus Subprocessadors.

8. Transferències internacionals

Les Dades Personals del Client es processen principalment a l'Espai Econòmic Europeu. Quan les Dades Personals del Client es transfereixin a un país fora de l'EEE sense una decisió d'adequació de la Comissió Europea, s'apliquen les CCT amb les seleccions següents:

• Mòdul Dos (Responsable a Encarregat del Tractament) s'incorpora per referència per a les transferències del Client (o del seu responsable de l'EEE) a EasyWeek quan EasyWeek processa Dades Personals del Client en un tercer país.
• Mòdul Tres (Encarregat a Encarregat del Tractament) s'incorpora per referència per a les transferències posteriors d'EasyWeek als Sub-encarregats del Tractament en un tercer país.
• La Clàusula 7 (clàusula d'adhesió) hi és inclosa.
• La Clàusula 9(a) — Opció 2 (autorització escrita general, avís de 30 dies) s'aplica.
• La Clàusula 11(a) — l'òrgan independent de resolució de litigis no es selecciona.
• La Clàusula 17 — la llei aplicable és la llei d'Alemanya.
• La Clàusula 18 — els tribunals competents són els de Düsseldorf, Alemanya.
• L'Annex I de les CCT es completa per referència a l'Annex I d'aquest ATD.
• L'Annex II de les CCT es completa per referència a l'Annex II d'aquest ATD.
• L'Annex III de les CCT es completa per referència a l'Annex III d'aquest ATD.

Una Avaluació de l'Impacte de la Transferència que resumeix l'avaluació d'EasyWeek sobre les lleis del país de destinació i qualsevol mesura tècnica, contractual o organitzativa suplementària es troba disponible a petició adreçada a privacy@easyweek.io.

Per a les transferències al Regne Unit, s'aplica l'Addenda de Transferència Internacional de Dades del Regne Unit a les CCT (emesa per l'ICO i en vigor des del 21 de març de 2022). Per a les transferències a Suïssa, les CCT es llegeixen amb les substitucions exigides per l'FDPIC.

9. Sol·licituds dels interessats

El Servei ofereix funcionalitats d'autoservei que permeten al Client atendre les Sol·licituds dels Interessats d'accés, rectificació, supressió, limitació, portabilitat i oposició. Quan un Interessat es posi en contacte directament amb EasyWeek, EasyWeek traslladarà la sol·licitud al Client sense dilació indeguda i no respondrà a l'Interessat més que per confirmar-ne la recepció i redirigir la sol·licitud al Client.

EasyWeek assistirà el Client, tenint en compte la naturalesa del tractament, mitjançant les mesures tècniques i organitzatives adequades, en el compliment de l'obligació del Client de respondre a les Sol·licituds dels Interessats en virtut dels articles 12 a 22 del RGPD i de la LOPDGDD.

10. Violació de seguretat de les dades personals

EasyWeek notificarà el Client sense demora indeguda i, en qualsevol cas, en el termini de setanta-dues (72) hores a partir que en tingui coneixement, de qualsevol Violació de Seguretat de les Dades Personals que afecti les Dades Personals del Client. La notificació inclourà, com a mínim, la informació requerida per l'article 33(3) del RGPD i l'article 37 de la LOPDGDD en la mesura en què sigui coneguda: la naturalesa de la Violació de Seguretat, les categories i el nombre aproximat d'Interessats afectats i de registres afectats, les conseqüències probables, i les mesures adoptades o proposades.

EasyWeek adoptarà mesures raonables per contenir i resoldre la Violació de Seguretat i per proporcionar al Client la informació necessària perquè el Client pugui complir les seves pròpies obligacions de notificació davant la seva Autoritat de Control —l'APDCAT (Autoritat Catalana de Protecció de Dades, https://apdcat.gencat.cat/) i, subsidiàriament, l'AEPD— i davant els Interessats afectats.

11. DPIA i consulta prèvia

EasyWeek prestarà al Client una assistència raonable en qualsevol Avaluació d'Impacte relativa a la Protecció de Dades o consulta prèvia que el Client estigui obligat a dur a terme en virtut dels articles 35 o 36 del RGPD i de la LOPDGDD, en la mesura en què aquesta assistència sigui raonablement necessària i la informació estigui en poder d'EasyWeek.

12. Auditoria

EasyWeek posarà a disposició del Client tota la informació necessària per demostrar el compliment del present APD, incloent:

• Còpies actualitzades de les certificacions i informes d'auditoria més rellevants (com ara la ISO 27001, si està disponible, i els informes SOC 2 tipus II dels Subencàrregats de Tractament pertinents).
• Respostes escrites a un qüestionari de seguretat raonable, una vegada per període de dotze mesos, de forma gratuïta.

En els casos en què la informació anterior no sigui suficient i el Client estigui obligat per la seva Autoritat de Control —l'Autoritat Catalana de Protecció de Dades (APDCAT) o, subsidiàriament, l'Agència Espanyola de Protecció de Dades (AEPD)— a dur a terme una auditoria in situ, el Client podrà realitzar o encarregar a un auditor independent la realització d'una auditoria a càrrec del Client, amb un preavís escrit d'almenys seixanta (60) dies, durant l'horari comercial, no més d'una vegada per període de dotze mesos (tret que s'hagi produït una Violació de Dades Personals), sota compromisos de confidencialitat raonables, i sense perjudicar les operacions comercials d'EasyWeek ni la seguretat d'altres clients. L'abast de l'auditoria es limita a la verificació del compliment per part d'EasyWeek del present APD.

13. Retorn i supressió

Dins dels trenta (30) dies següents a la resolució de les Condicions del Servei per a Empreses, el Client pot exportar les Dades Personals del Client mitjançant les eines d'exportació d'autoservei proporcionades pel Servei. Transcorregut aquest termini de gràcia de trenta dies, EasyWeek suprimirà o anonimitzarà les Dades Personals del Client en un termini raonable i, en tot cas, dins dels noranta (90) dies, llevat que EasyWeek estigui obligat per la legislació de la UE o d'un estat membre, o per la normativa espanyola de protecció de dades (RGPD i LOPDGDD), a conservar-ne la totalitat o una part (en aquest cas, les dades conservades continuen subjectes a les obligacions de confidencialitat i seguretat d'aquest APD).

Les còpies de seguretat que contenen Dades Personals del Client es sobreescriuen de manera rotatòria dins del període estàndard de retenció de còpies de seguretat i romanen subjectes al present APD fins al seu venciment.

14. Responsabilitat i disposicions diverses

La responsabilitat de cada part en virtut d'aquest APD o en relació amb aquest es troba subjecta a les limitacions i exclusions de responsabilitat establertes en les Condicions d'ús empresarials.

Aquest APD forma part de les Condicions d'ús empresarials. En cas de conflicte entre aquest APD i les Condicions d'ús empresarials en relació amb el tractament de les Dades Personals del Client, preval aquest APD. En cas de conflicte entre aquest APD i les Clàusules Contractuals Tipus, prevalen les Clàusules Contractuals Tipus.

Aquest APD es regeix per les lleis de la República Federal d'Alemanya. Els tribunals de Düsseldorf, Alemanya, tenen jurisdicció exclusiva, sense perjudici de les proteccions obligatòries dels Interessats en virtut del seu lloc de residència habitual.

Annex I – Descripció del tractament

Objecte El tractament necessari per prestar el Servei empresarial d'EasyWeek al Client.

Durada Durant el termini de les Condicions del servei empresarial i qualsevol període de conservació posterior a la resolució requerit per executar la Secció 13.

Naturalesa i finalitat del tractament Allotjament, emmagatzematge, recuperació, organització, modificació, transmissió, supressió, anonimització, anàlisi estadística i altres operacions de tractament necessàries per prestar la reserva en línia, la gestió de les relacions amb clients, la gestió financera i de facturació, l'automatització del màrqueting, la creació de llocs web, els recordatoris i notificacions, la publicació al mercat, les funcionalitats assistides per IA i les funcions auxiliars.

Categories d'interessats

• Els clients finals i clients potencials del Client
• Els empleats, treballadors autònoms, contractistes i altres usuaris autoritzats del Client
• Els visitants de les pàgines de reserva en línia i dels ginys incrustats del Client
• Els remitents i destinataris de comunicacions cursades a través del Servei

Categories de dades personals

• Dades d'identificació (nom, fotografia, gènere)
• Dades de contacte (correu electrònic, telèfon, adreça)
• Credencials de compte dels usuaris autoritzats del Client
• Historial de reserves i cites
• Notes, fitxers, fotografies i documents carregats pel Client
• Dades de programes de fidelització, saldos de targetes regal i segments de clients
• Contingut de comunicacions (SMS, WhatsApp, cos del correu electrònic, cos de notificació push, xat intern a l'aplicació)
• Dades financeres (registres de factures, estat dels pagaments, últims 4 dígits de les targetes de pagament — les dades completes de la targeta són tractades directament per Stripe i no són emmagatzemades per EasyWeek)
• Dades tècniques (adreça IP, identificador del dispositiu, navegador, idioma, marques de temps)
• Quan el Client decideixi registrar-les: notes relatives a la salut (en contextos de bellesa, benestar, medicina o odontologia). El Client és responsable de garantir que disposa d'una base jurídica vàlida en virtut de l'article 9 del RGPD i la LOPDGDD abans de registrar aquestes dades.

Freqüència de les transferències Contínua.

Conservació Les dades personals del Client es conserven durant el temps que el Client indiqui i tal com es descriu més detalladament a la Secció 13.

Annex II – Mesures tècniques i organitzatives

EasyWeek implementa com a mínim les mesures següents, que pot actualitzar periòdicament sempre que el nivell de protecció no es redueixi:

• Seudonimització i xifratge — TLS 1.3 per a dades en trànsit a xarxes públiques; AES-256 per a dades en repòs (emmagatzematge de bases de dades, emmagatzematge d'objectes, còpies de seguretat); claus de xifratge per inquilí per a camps sensibles quan sigui aplicable.
• Confidencialitat — control d'accés basat en rols amb mínim privilegi, autenticació multifactor obligatòria per a tots els accessos administratius, tancament automàtic de sessió, controls d'accés basats en IP per als sistemes de producció, obligacions escrites de confidencialitat per a tot el personal.
• Integritat — gestió de canvis, revisió de codi, escaneig automatitzat de dependències, artefactes de desplegament signats, verificació d'integritat de les còpies de seguretat.
• Disponibilitat i resiliència — allotjament en producció als centres de dades de Hetzner a Alemanya amb alimentació elèctrica i xarxa redundants, orquestració Kubernetes amb recuperació automàtica, còpies de seguretat diàries amb replicació entre zones, pla de recuperació davant desastres documentat amb exercicis de taula anuals, pàgina d'estat a status.easyweek.io.
• Restauració — retenció de còpies de seguretat suficient per restaurar el servei després d'un incident físic o tècnic; proves de restauració trimestrals.
• Proves i avaluació — prova de penetració anual de l'entorn de producció per part de tercers, proves de seguretat d'aplicacions estàtiques i dinàmiques de manera contínua en el cicle CI/CD, procés de gestió de vulnerabilitats amb SLA de remediació definits.
• Segregació de xarxa — els entorns de producció, preproducció i desenvolupament estan separats de manera lògica i física; l'accés d'administració únicament mitjançant hosts bastió.
• Registre i monitoratge — registres d'auditoria centralitzats per a autenticació, autorització, canvis de configuració i esdeveniments d'exportació de dades, conservats durant almenys un any; informació de seguretat i monitoratge d'esdeveniments amb alertes sobre anomalies.
• Desenvolupament segur — SDLC amb modelat d'amenaces, revisió entre iguals, escaneig de secrets, compliment de llicències i estàndards de codificació alineats amb OWASP.
• Gestió de proveïdors — contractes escrits amb tots els Subencàrregats del tractament que imposen obligacions equivalents; revisió periòdica.
• Seguretat del personal — verificació d'antecedents quan sigui legalment permès; formació en conscienciació en seguretat i en protecció de dades en el moment de la contractació i anualment a partir d'aleshores.
• Gestió d'incidents — torn de guàrdia 24/7; manual de resposta a incidents documentat; notificació de bretxa de seguretat en un termini de 72 hores d'acord amb la Secció 10.
• Seguretat física — l'accés físic a les instal·lacions de tractament és controlat pel Subencàrregat del tractament que gestiona la instal·lació (Hetzner, Google Cloud) sota controls certificats ISO 27001 / SOC 2.

Annex III – Subprocessadors aprovats

La llista actual de subprocessadors d'EasyWeek es publica i es manté a /business/subprocessors. La llista que hi ha a aquest URL queda incorporada per referència en el present APD i l'Annex III.