Última actualització:
Resum en llenguatge clar. Quan els teus clients reserven una guixeta a través de LockMe, tu (l'operador) ets el responsable del tractament de les seves dades personals i LockMe és el teu encarregat del tractament. Aquest DPA estableix com tractem aquestes dades pel teu compte, les mesures de seguretat que apliquem, els subencarregats que fem servir i què passa si alguna cosa surt malament. S'aplica automàticament a cada contracte LockMe de pagament; no cal que signis una còpia per separat.
Avís. Aquesta és una traducció assistida per IA del text original en anglès, pendent de revisió per assessoria jurídica. En cas de qualsevol discrepància, preval la versió en anglès a /legal/dpa.
Nota. Aquesta pàgina és un esborrany de treball pendent de revisió per assessoria externa abans del llançament. Si necessites una còpia signada en paper de l'empresa per al teu departament de compres, escriu a legal@lock-me.com i te'n enviarem una.
1. Rols
- Responsable del tractament: l'entitat operadora (tu).
- Encarregat del tractament: LockMe S.L.
- Interessats: els clients finals que reserven i fan servir guixetes a les teves botigues.
- Dades personals: nom, email, telèfon (quan es reculli), detalls de la reserva, metadades de pagament, tokens d'accés a la guixeta.
2. Objecte i durada
LockMe tracta dades personals pel compte de l'operador durant la vigència del contracte del servei LockMe i fins a 90 dies després de la seva finalització, per a la conservació de còpies de seguretat.
3. Naturalesa i finalitat del tractament
Prestar els serveis descrits al formulari de comanda de l'operador: web del client, panell de control, orquestració de pagaments, comunicacions amb el client i prompts de ressenya post-estada.
4. Obligacions de LockMe com a encarregat
LockMe es compromet a:
- Tractar les dades personals únicament conforme a les instruccions documentades de l'operador, llevat que la llei ho exigeixi.
- Garantir que el personal autoritzat a tractar dades personals estigui vinculat per un deure de confidencialitat.
- Adoptar mesures tècniques i organitzatives adequades per protegir les dades personals contra la destrucció, pèrdua, alteració, divulgació o accés accidentals o il·lícits (vegeu l'Annex II).
- Assistir l'operador en la resposta a sol·licituds dels interessats i en el compliment dels articles 32–36 del RGPD.
- Notificar a l'operador sense dilació indeguda (i, en qualsevol cas, en un termini de 72 hores) després de tenir coneixement d'una violació de dades personals.
- Després de la finalització, retornar o suprimir les dades personals segons triï l'operador (subjecte a obligacions legals de conservació).
- Posar a disposició tota la informació necessària per demostrar el compliment i permetre auditories, subjecte a una confidencialitat i planificació raonables.
5. Subencarregats
L'operador autoritza LockMe a contractar subencarregats. La llista actual (Annex III) es publica més avall i es notificarà a l'operador almenys 30 dies abans de qualsevol incorporació o substitució d'un subencarregat. L'operador pot objectar per motius raonables de protecció de dades; si les parts no aconsegueixen acordar una solució, l'operador pot rescindir el servei afectat per incompliment substancial.
6. Transferències internacionals
Quan es transfereixin dades personals fora de l'EEE, LockMe utilitzarà un mecanisme de transferència vàlid (Clàusules Contractuals Tipus o decisió d'adequació) i aplicarà mesures complementàries quan ho requereixi la jurisprudència (especialment Schrems II).
7. Responsabilitat
Les disposicions sobre responsabilitat del contracte principal de serveis s'apliquen a aquest DPA com si estiguessin reproduïdes íntegrament aquí.
Annex I — Descripció del tractament
| Camp | Detall |
|---|---|
| Categories d'interessats | Clients finals de les botigues de l'operador |
| Categories de dades personals | Identificadors (nom, email, telèfon), metadades de reserva, metadades de pagament (sense PAN complet), tokens d'accés a la guixeta, text opcional de ressenya |
| Dades sensibles | Cap |
| Freqüència | Contínua |
| Naturalesa del tractament | Emmagatzematge, transmissió, càlcul per a web del client, panell i comunicacions |
| Finalitat | Prestació del servei LockMe |
| Durada | Vigència del contracte LockMe + 90 dies de retenció de còpies de seguretat |
Annex II — Mesures tècniques i organitzatives
Llista no exhaustiva:
- Totes les dades xifrades en trànsit (TLS 1.2+) i en repòs.
- Accés a producció mitjançant SSO amb MFA per clau hardware; RBAC amb principi de mínim privilegi; registre d'auditoria complet.
- Proves de penetració trimestrals; revisió de seguretat interna a cada desplegament.
- Còpies de seguretat xifrades, emmagatzemades en una segona regió de la UE, restaurades trimestralment per verificar la integritat.
- Revisions de seguretat per a cada subencarregat; auditoria interna anual alineada amb SOC 2.
- Pla documentat de resposta a incidents; rotació de guàrdia 24/7 en plans de pagament.
Annex III — Subencarregats (llista actual)
| Subencarregat | Rol | Ubicació |
|---|---|---|
| Google Cloud Platform | Allotjament (còmput, emmagatzematge, bases de dades) | UE (europe-west4, Països Baixos) |
| Stripe Payments Europe Ltd. | Processament de pagaments | UE + EUA sota SCC |
| Postmark | Email transaccional | UE (Frankfurt) |
| Twilio | SMS per a confirmacions de reserva | UE/global sota SCC |
| Sentry | Monitorització d'errors i rendiment | UE (Frankfurt) |
| Plausible Insights | Analítica web sense cookies | UE (Alemanya) |
Aquesta llista es manté a https://lock-me.com/legal/dpa i substitueix qualsevol llista enviada anteriorment per email.
Contacte
DPO i contacte de privacitat: privacy@lock-me.com.
Dubtes sobre aquest document? Escriu a legal@lock-me.com. Aquesta pàgina es publica per transparència; no substitueix l'assessorament legal específic per a la teva operació.