Acord d'Encàrrec del Tractament

1. Parts

D'una banda, el Client identificat en el seu compte dins de la plataforma Lex Partis, en la seva condició de Responsable del Tractament (en endavant, el «Responsable»).

De l'altra banda, Dextra Transaction Services S.L., amb CIF B44741924, domicili social a Av. Diagonal 468, 08006 Barcelona, España, Inscrita en el Registro Mercantil de Barcelona, CIF B44741924., en la seva condició d'Encarregat del Tractament (en endavant, l'«Encarregat» o «Lex Partis»).

2. Objecte de l'encàrrec

El present DPA té per objecte regular les condicions sota les quals l'Encarregat tractarà dades personals per compte del Responsable en execució del contracte principal de prestació de serveis SaaS subscrit entre les parts (els «Termes»). L'Encarregat actuarà exclusivament conforme a les instruccions documentades del Responsable i a allò previst en el present DPA, sense destinar les dades a finalitat distinta, ni cedir-les, ni tan sols per a la seva conservació, a altres persones.

3. Durada

Aquest DPA entrarà en vigor en la data d'acceptació pel Client i romandrà vigent durant tot el temps en què l'Encarregat presti el Servei al Responsable. A la seva finalització, subsistiran les obligacions de l'Encarregat relatives a la devolució, supressió i, si escau, conservació legal obligatòria de les dades personals en els termes previstos en la clàusula corresponent.

4. Naturalesa, finalitat, dades i interessats

Naturalesa del tractament: allotjament, conservació, processament, consulta, modificació, exportació i supressió de dades personals en els termes necessaris per a la prestació de la plataforma Lex Partis.

Finalitat del tractament: possibilitar al Responsable la gestió d'expedients successoris, judicials i notarials, la coordinació amb els seus clients, la generació de documentació, la signatura electrònica d'actes, la traçabilitat probatòria i, en general, les funcionalitats del Servei descrites a www.lexpartis.com.

Categories de dades personals tractades

• Dades identificatives i de contacte del Responsable, els seus usuaris, els seus clients (causants i hereus) i altres intervinents (representants, contrapartes, professionals).
• Dades professionals (col·legiació, número de protocol, exercents).
• Dades econòmiques i patrimonials relacionades amb la massa hereditària.
• Dades contingudes en documents aportats (testaments, certificats d'últimes voluntats, escriptures, factures, comunicacions).
• Quan el Responsable els introdueixi, dades referides a categories especials de l'article 9 RGPD (per exemple, dades de salut rellevants per a incapacitats o substitucions) o dades relatives a condemnes i infraccions penals (article 10 RGPD).
• Dades d'ús de la plataforma (registres d'activitat, adreces IP, capçaleres tècniques) tractades amb fins de seguretat i traçabilitat.

Categories d'interessats

• Usuaris del Responsable (socis, advocats, paralegals, personal administratiu).
• Clients i contrapartes del Responsable (causants, hereus, legitimaris, llegataris, creditors, deutors, perits).
• Tercers mencionats en la documentació tractada en el Servei.

5. Obligacions del Responsable

El Responsable, com a Responsable del Tractament, garanteix a l'Encargat que:

• Disposa de la base jurídica adequada per a cada tractament realitzat a través de la plataforma.
• Ha informat els interessats d'acord amb els articles 13 i 14 RGPD i, si escau, ha obtingut el seu consentiment informat, lliure i específic.
• Complirà amb les seves obligacions com a Responsable, en particular les relatives a l'atenció dels drets dels interessats, a les obligacions d'informació i a la realització d'avaluacions d'impacte quan resultin exigibles.
• Només introduirà a la plataforma dades personals que siguin adequades, pertinents i limitades al necessari en relació amb les finalitats del tractament (principi de minimització).

6. Obligacions de l'Encargat

L'Encargat es compromet a:

• Tractar les dades personals únicament d'acord amb les instruccions documentades del Responsable, incloent quan es tracti de transferències internacionals, llevat que estigui obligat a fer-ho en virtut del Dret de la Unió o de l'Estat membre aplicable, en aquest cas informarà al Responsable de l'obligació legal llevat prohibició legal.
• Garantir que les persones autoritzades per tractar les dades personals s'han compromès a respectar la confidencialitat o estan subjectes a una obligació legal de confidencialitat.
• Adoptar les mesures tècniques i organitzatives apropiades previstes en l'article 32 RGPD.
• Assistir al Responsable, en la mesura del possible i mitjançant mesures tècniques i organitzatives apropiades, perquè pugui complir amb la seva obligació de respondre a les sol·licituds que tinguin per objecte l'exercici dels drets dels interessats.
• Assistir al Responsable en el compliment de les obligacions previstes en els articles 32 a 36 RGPD (seguretat, notificació de violacions, avaluacions d'impacte i consultes prèvies).
• Posar a disposició del Responsable tota la informació necessària per demostrar el compliment de les obligacions de l'article 28 RGPD, així com permetre i contribuir a la realització d'auditories, en els termes previstos en la clàusula corresponent.
• Informar immediatament al Responsable si, en la seva opinió, alguna instrucció infringeix la normativa de protecció de dades.

7. Confidencialitat

L'Encargat mantindrà el deure de secret respecte dels dades personals objecte del tractament, fins i tot després de finalitzar la prestació del Servei. Garantirà que el personal autoritzat per tractar aquests dades estigui subjecte a una obligació documentada de confidencialitat, equivalent al deure de secret professional quan correspongui, i hagi rebut la formació necessària en matèria de protecció de dades.

8. Mesures tècniques i organitzatives

L'Encargat implanta i manté mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, en els termes de l'article 32 RGPD, atenent a l'estat de la tècnica, els costos d'aplicació, la naturalesa, abast, context i fins del tractament, així com els riscos per als drets i llibertats de les persones físiques. En particular:

• Cifrat en trànsit mitjançant TLS 1.3 i cifrat en repòs (AES-256) sobre les dades emmagatzemades.
• Control d'accés basat en rols (RBAC), principi de mínim privilegi i autenticació multifactor disponible per als usuaris.
• Segregació lògica multi-tenant: les dades de cada Responsable s'aïllen mitjançant identificadors d'organització en cada operació de lectura i escriptura.
• Traçabilitat criptogràfica amb segell de temps (TSA) sobre les operacions crítiques (creació, modificació, signatura).
• Còpies de seguretat periòdiques amb recuperació verificada, emmagatzemades en infraestructura ubicada dins de l'EEE.
• Proves de seguretat automatitzades en cada desplegament, monitorització contínua i procediments formals de gestió d'incidents i vulnerabilitats.
• Formació periòdica del personal en matèria de protecció de dades i seguretat de la informació.

El detall pormenoritzat de les mesures tècniques i organitzatives vigents pot consultar-se, prèvia sol·licitud raonada, dirigint-se a dpo@lexpartis.com.

9. Notificació de violacions de seguretat

L'Encargat notificarà al Responsable, sense dilació indeguda i en qualsevol cas dins de les setanta-dues (72) hores següents a tenir coneixement, qualsevol violació de la seguretat de les dades personals que afecti a dades tractades per compte del Responsable, conforme a l'article 33.2 RGPD.

La notificació inclourà, en la mesura en què la informació estigui disponible, la naturalesa de la violació, les categories i el nombre aproximat d'interessats afectats, les possibles conseqüències, les mesures adoptades o proposades per resoldre la violació i, si escau, les mesures per mitigar els possibles efectes negatius. Si la informació no pot facilitar-se de forma simultània, l'Encargat la proporcionarà de manera escalonada sense dilació indeguda.

10. Subencargats

El Responsable autoritza l'Encargat, amb caràcter general i prèvia comunicació, a recórrer als subencargats (subprocessadors) identificats en www.lexpartis.com/legal/subprocessadors. La relació es mantindrà actualitzada en dita pàgina, que constitueix part integrant del present DPA als efectes de l'article 28.2 RGPD.

L'Encargat celebrarà amb cada subencargat un contracte escrit que imposi obligacions de protecció de dades equivalents a les contingudes en el present DPA. L'Encargat seguirà sent plenament responsable, davant del Responsable, del compliment per part del subencargat de les seves obligacions.

Quan l'Encargat pretengui incorporar nous subencargats o substituir els existents amb efecte substancial, ho notificarà al Responsable amb una antelació mínima de quinze (15) dies naturals, mitjançant actualització de la pàgina de subprocessadors i, quan correspongui, comunicació específica. El Responsable podrà oposar-se motivadament per raons objectives i justificades relatives a la protecció de dades, dirigint la seva oposició a dpo@lexpartis.com. Si les parts no arriben a una solució satisfactòria, el Responsable podrà resoldre el contracte sense penalització.

11. Transferències internacionals

Quan, per a la prestació del Servei, sigui necessari realitzar transferències internacionals de dades personals fora de l'Espai Econòmic Europeu, aquestes es portaran a terme exclusivament sota els mecanismes previstos en el Capítol V del RGPD: (i) decisió d'adequació de la Comissió Europea; (ii) Clàusules Contractuals Tipus aprovades mitjançant Decisió d'Execució (UE) 2021/914; (iii) normes corporatives vinculants; o (iv) qualsevol altre instrument legalment admissible, amb les mesures tècniques i organitzatives addicionals que resultin necessàries en cada cas.

La identitat dels subencargats que intervenen en transferències internacionals i les garanties concretes aplicables es publiquen en www.lexpartis.com/legal/subprocessadors. El Responsable podrà obtenir còpia de les garanties adoptades dirigint-se a dpo@lexpartis.com.

12. Drets dels interessats

L'Encargat assistirà al Responsable, mitjançant mesures tècniques i organitzatives apropiades, perquè aquest pugui atendre en termini les sol·licituds d'exercici de drets formulades pels interessats (accés, rectificació, supressió, limitació del tractament, portabilitat i oposició; i, si escau, dret a no ser objecte de decisions individuals automatitzades).

Si l'Encargat rep directament d'un interessat una sol·licitud d'exercici de drets relativa a dades tractades per compte del Responsable, la traslladarà a aquest sense dilació indeguda i, llevat d'instrucció expressa, no donarà resposta directa a l'interessat.

13. Devolució o supressió a la finalització

A la finalització del contracte, l'Encargat, a elecció del Responsable, li tornarà o suprimirà totes les dades personals tractades per compte del Responsable, així com quantes còpies existents, llevat que la conservació de les dades sigui exigida pel Dret de la Unió o de l'Estat membre aplicable. A tal efecte, l'Encargat posarà a disposició del Responsable, durant un termini màxim de trenta (30) dies naturals des de la finalització, les funcionalitats d'exportació previstes en la plataforma.

Transcorregut aquest termini sense que el Responsable hagi sol·licitat la devolució, l'Encargat procedirà al borrat segur o, si escau, a l'anonimització irreversible de les dades personals, deixant constància documental del compliment d'aquesta obligació a disposició del Responsable quan aquest ho requereixi.

14. Auditories

L'Encargat posarà a disposició del Responsable, prèvia sol·licitud raonable i amb la periodicitat màxima d'una (1) vegada a l'any (excepte quan concorrin indicis fundats d'incompliment o ho exigeixi una autoritat de control), la informació necessària per acreditar el compliment del present DPA, incloent, si escau, certificacions, informes d'auditoria externa o reportes d'assegurament (SOC 2, ISO 27001, esquemes de certificació europeus).

Quan dita informació resulti insuficient i existeixi justificació raonable, el Responsable podrà realitzar, directament o a través d'un auditor independent vinculat per deure de confidencialitat, una auditoria sobre les mesures tècniques i organitzatives implantades. L'auditoria es desenvoluparà en horari laboral, sense afectar significativament a l'operativa de l'Encargat, i els costos seran assumits pel Responsable llevat que l'auditoria reveli incompliments substancials de l'Encargat.

15. Responsabilitat

Cada part respondrà davant l'altra i davant els interessats pels danys i perjudicis causats com a conseqüència de l'incompliment de les seves respectives obligacions, en els termes previstos en l'article 82 RGPD i en la legislació aplicable. La responsabilitat econòmica de l'Encargat davant el Responsable derivada del present DPA queda subjecta als límits previstos en els Termes, en el que resultin compatibles amb la normativa imperativa.

16. Legislació aplicable i jurisdicció

El present DPA es regeix pel Derecho español i, en particular, pel RGPD i la LOPDGDD. Per a la resolució de qualsevol controvèrsia, les parts se sotmeten als Tribunales competentes de Barcelona, España, amb renúncia expressa a qualsevol altre fur, sense perjudici de la submissió imperativa que resulti aplicable quan el Responsable ostenti la condició de consumidor.