Contracte d’Encàrrec del Tractament (DPA)
Versió 2026-05-11 — En vigor des de la data en què el Client accepta aquest DPA per mitjans electrònics.
D’acord amb l’article 28 del Reglament (UE) 2016/679 — RGPD
1. Parts
Encarregat del tractament («Forjia»):
Alberto Landeras Rivas, NIF 72790491E, amb domicili a C/ Luis Cernuda 26, local 4A, 26200 Haro, La Rioja, Espanya, que opera sota la marca comercial Forjia.
Contacte: support@getforjia.com
Responsable del tractament («el Client»):
La persona física o jurídica titular del compte de Forjia, identificada pel número de WhatsApp amb què es dóna d’alta i les dades fiscals (NIF/CIF, raó social i domicili) que facilita durant l’onboarding.
2. Objecte
Aquest DPA regula el tractament de dades personals que Forjia realitza per compte del Client com a conseqüència de la prestació del Servei: generació i gestió de factures, pressupostos, despeses, clients, models fiscals i comunicacions per WhatsApp.
Per a les dades de compte del propi Client (el seu NIF, el seu correu electrònic, el seu telèfon, les seves mètriques d’ús), Forjia actua com a responsable i es regeix per la Política de Privacitat.
3. Dades tractades
| Categoria | Dades | Origen | Finalitat |
|---|---|---|---|
| Dades de clients del Client | Nom/raó social, NIF/CIF, adreça, correu electrònic, telèfon | Missatges del Client o importació | Generar factures, pressupostos, albarans; control de cobraments |
| Dades de facturació | Importos, conceptes, tipus impositius, dates, números de document | Missatges del Client | Document fiscal; enviament a AEAT (VeriFactu/TicketBAI) |
| Missatges i multimèdia | Text, àudio transcrit, imatges adjuntes a WhatsApp | Conversa WhatsApp del Client | Processament d’instruccions per IA |
| Metadades d’ús | Timestamps, identificadors tècnics, registres d’acció | Sistema | Traçabilitat, auditoria, seguretat |
4. Durada i conservació
El tractament es manté mentre duri la relació contractual. En finalitzar:
- Dades fiscals (factures, despeses, llibres, registres VeriFactu/TicketBAI): es conserven 6 anys per imposició de l’art. 30 del Codi de Comerç, que preval sobre el dret de supressió de l’art. 17.3.b RGPD.
- Dades no fiscals (missatges WhatsApp, metadades d’ús, dades de compte no fiscals): es traslladen a un arxiu d’accés restringit al titular de Forjia durant 18 mesos des de la baixa. En aquest període, les dades només s’accedeixen amb les següents finalitats:
- Atendre incidències o reclamacions del propi Client.
- Cumplir requeriments de l’AEAT o altra autoritat competent.
- Defensar o exercir drets en processos legals relacionats amb el Servei prestat.
5. Obligacions de Forjia
Forjia es compromet a:
- Tractar les dades únicament conforme a les instruccions documentades del Client (l’ús del Servei constitueix instrucció suficient per als tractaments descrits a la secció 3).
- No utilitzar les dades per a finalitats pròpies, cedir-les a tercers, ni entrenar models d’IA, propis o aliens.
- Garantir que el personal amb accés a dades està subjecte a obligació de confidencialitat i a les mesures de seguretat descrites a continuació.
- Aplicar mesures tècniques i organitzatives adequades (art. 32 RGPD): xifrat en trànsit i en repòs, control d’accés per rols amb autenticació reforçada per a comptes amb privilegis, còpies de seguretat amb recuperació punt a punt i retenció fiscal de 6 anys, registre d’accés i operacions sensibles, pseudonimització i minimització on sigui tècnicament possible.
- No subcontractar el tractament sense informar prèviament el Client. La llista vigent de subencarregats s’inclou a la secció 7 i forma part integral d’aquest DPA.
- Assistir el Client en l’exercici de drets dels interessats (accés, rectificació, supressió, portabilitat, oposició, limitació) en termini raonable i sense cost addicional quan sigui tècnicament accessible.
- Notificar al Client qualsevol bretxa de seguretat que afecti dades personals sense dilació indeguda i, en tot cas, en un termini màxim de 72 hores des que Forjia en tingui coneixement, amb la informació disponible conforme a l’art. 33.3 RGPD.
- En finalitzar el Servei, retornar o eliminar les dades conforme a l’elecció del Client, llevat d’obligació legal de conservació (secció 4).
- Mantenir el registre d’activitats de tractament previst a l’art. 30.2 RGPD.
6. Obligacions del Client
El Client es compromet a:
- Tindre base legal suficient per facilitar a Forjia les dades personals dels seus clients finals (típicament execució de contracte o relació comercial preexistent).
- Informar els seus clients finals del tractament de les seves dades per Forjia com a encarregat i de la possibilitat d’exercir drets a través del Client.
- Atendre les sol·licituds d’exercici de drets que rebi dels seus clients finals com a responsable d’aquestes dades, podent sol·licitar a Forjia assistència tècnica.
- No introduir al Servei categories especials de dades (art. 9 RGPD: dades de salut, biomètriques, ideologia, etc.). Forjia no està dimensionat per tractar aquestes categories i no assumeix responsabilitat per la seva introducció indeguda.
7. Subencarregats
Forjia utilitza subencarregats tècnics per a la prestació del Servei. Tots estan subjectes a contractes de tractament de dades conformes al RGPD:
| Subencarregat | Funció | Garantia de transferència |
|---|---|---|
| Amazon Web Services | Infraestructura i emmagatzematge (UE) | No aplica (UE) |
| Meta / WhatsApp Business | Canal de comunicació | DPF + SCC |
| OpenAI | Processament de llenguatge natural | DPF |
| Groq | Processament de llenguatge natural (respatller) | SCC |
| Stripe | Processament de pagaments | DPF + SCC |
| Resend | Enviament de correus electrònics transaccionals | DPF + SCC |
Cap subencarregat utilitza les dades per a finalitats pròpies ni per entrenar models d’IA. Forjia no comparteix dades amb tercers amb finalitats publicitàries, de màrqueting o de perfilatge.
Modificació de la llista: Forjia notificarà al Client qualsevol alta o canvi de subencarregat amb almenys 30 dies d’antelació, per correu electrònic registrat i avís al portal. El Client podrà oposar-se motivadament; si les parts no arriben a acord, el Client podrà resoldre el contracte sense penalització.
8. Transferències internacionals
Les dades s’allotgen principalment a la UE. Les transferències als EUA derivades de l’ús de subencarregats certificats es basen en el EU-U.S. Data Privacy Framework (DPF) quan l’importador està certificat, i en les Clàusules Contractuals Tipus (Decisió (UE) 2021/914) en els altres casos. Forjia manté la documentació acreditativa a disposició del Client.
9. Gestories, assessors i altres tercers convidats pel Client
Quan el Client convidi una gestoria, assessor fiscal o altre tercer al Servei (mitjançant la funcionalitat de portal d’assessoria o equivalent), aquest tercer accedirà a les dades del Client en la seva qualitat de responsable independent del tractament, en virtut de la relació contractual que mantingui amb el Client.
Forjia és responsable del control d’accés, l’autenticació i la traçabilitat de les accions del tercer dins del Servei. Forjia no assumeix responsabilitat sobre l’ús que aquest tercer faci de les dades fora del Servei, ni sobre el compliment per part del tercer de les seves pròpies obligacions com a responsable.
El Client garanteix haver subscrit amb el tercer el contracte o instrument jurídic que empari aquest accés, i manté el dret a revocar-lo en qualsevol moment des del propi Servei.
10. Auditoria
El Client té dret a verificar el compliment d’aquest DPA. Forjia facilitarà la informació raonablement necessària i col·laborarà amb auditories documentals amb preavís de 30 dies. Les auditories presencials o intrusives requereixen acord previ i es realitzen a càrrec del Client, llevat que s’acrediti incompliment per part de Forjia.
11. Acceptació electrònica
Aquest DPA s’accepta per mitjans electrònics. Són vàlides a tots els efectes legals (art. 28.9 RGPD i art. 23 Llei 34/2002 LSSI):
- Acceptació per WhatsApp: resposta afirmativa explícita del Client al missatge del bot que li presenta el DPA i enllaça al seu text íntegre. Forjia conserva com a prova: identificador del missatge signat per Meta, timestamp, número de telèfon, versió del DPA acceptada i hash del document.
- Acceptació per portal web: marca explícita de la casella «Accepto el DPA versió X» en donar-se d’alta o en acceptar una nova versió. Forjia conserva: timestamp, IP, User-Agent, versió i hash del document.
L’acceptació es realitza a nivell d’empresa (Client). Si el Client convida usuaris addicionals al seu compte, aquests queden vinculats pel DPA ja acceptat per l’empresa.
12. Modificacions i versionat
Forjia podrà modificar aquest DPA per reflectir canvis normatius, operatius o de subencarregats. Tota modificació es notifica amb almenys 30 dies d’antelació per WhatsApp i/o correu electrònic.
Es distingeixen dos tipus de canvis:
- Canvis substancials: requereixen acceptació expressa del Client per continuar utilitzant el Servei. Es consideren substancials:
- Alta de subencarregats amb transferència internacional a un tercer país.
- Ampliació de les finalitats del tractament.
- Reducció dels drets del Client o dels interessats.
- Canvi de la base jurídica del tractament.
- Canvis no substancials (clarificacions de redacció, substitució de subencarregat per un altre equivalent a la mateixa regió, millores de seguretat, ajustos operatius): es consideren acceptats per ús continuat del Servei transcorreguts 30 dies des de la notificació, llevat que el Client manifesti el contrari.
En qualsevol cas, el Client podrà resoldre el contracte sense penalització si no accepta una modificació, i sol·licitar l’exportació de les seves dades.
13. Llei aplicable i jurisdicció
Aquest DPA es regeix pel RGPD, la LOPDGDD 3/2018 i, supletòriament, la legislació espanyola. Per a qualsevol controvèrsia, les parts es sotmeten als Jutjats i Tribunals de Logronyo (La Rioja), sense perjudici del fur legal del consumidor quan s’apliqui.