Acord d'Encarregament del Tractament (DPA)

Acceptació electrònica: En completar el registre a Estada, l'establiment accepta automàticament el present Acord d'Encarregament del Tractament. Aquesta acceptació té la mateixa validesa jurídica que una signatura manuscrita, d'acord amb la Llei 59/2003 de signatura electrònica i l'art. 28.9 del RGPD.

Dades de les parts

Responsable del tractament

L'establiment d'allotjament turístic

Identificat per les dades facilitades en el moment del registre a Estada (nom, NIF/CIF, adreça i correu electrònic).

Encarregat del tractament

Estada (Joel Prat Turró)

NIF: 49294932K

Adreça: Carrer de la Ramada, 8-10

Correu: hola@estada.cat

1. Objecte de l'encàrrec

Mitjançant el present acord s'habilita Estada, com a Encarregat del Tractament, per tractar dades personals per compte del Responsable, en el marc de la prestació del servei de gestió i automatització del registre de viatgers exigit per la Llei Orgànica 1/1992 i el Reial decret 933/2021, i les instruccions dels Mossos d'Esquadra (format V24).

El tractament consistirà en: recollida, emmagatzematge, processament, generació del fitxer oficial de registre i transmissió de les dades dels viatgers a l'establiment per a la seva presentació a les autoritats competents.

2. Durada

El present acord té la mateixa vigència que la relació contractual entre les parts per a la prestació del servei d'Estada. S'extingeix automàticament quan qualsevol de les parts posi fi a la relació contractual amb un preavís mínim de 30 dies naturals.

3. Dades objecte del tractament

Categories de dades personals

Les dades tractades per Estada per compte del Responsable són exclusivament les necessàries per al compliment de l'obligació legal de registre de viatgers:

Nom i cognoms
Tipus i número de document d'identitat (DNI, NIE o passaport)
Nacionalitat i país d'expedició del document
Data de naixement i sexe
Adreça postal completa
Relació de parentesc (en el cas de menors d'edat)
Dates d'entrada i sortida de l'allotjament

No es tracten categories especials de dades en el sentit de l'art. 9 del RGPD (dades de salut, origen racial, opinions polítiques, etc.).

Categories d'interessats

Els viatgers allotjats a l'establiment del Responsable, inclosos els menors d'edat que els acompanyin.

Base jurídica del tractament

Compliment d'una obligació legal (art. 6.1.c del Reglament (UE) 2016/679, RGPD), en concret la Llei Orgànica 1/1992 i el Reial decret 933/2021 sobre registre obligatori de viatgers en establiments d'allotjament turístic.

4. Obligacions d'Estada (Encarregat)

Estada i tot el seu personal es compromet a:

a) Finalitat i instruccions

Tractar les dades únicament per a la finalitat objecte d'aquest encàrrec. En cap cas podrà utilitzar les dades per a fins propis o aliens a la prestació del servei.

b) Confidencialitat

Mantenir el deure de secret i confidencialitat respecte a les dades personals a les quals tingui accés en virtut d'aquest encàrrec, fins i tot un cop finalitzat el contracte. Tot el personal autoritzat a accedir a les dades haurà d'estar degudament format i compromès amb el respecte a la confidencialitat.

c) Seguretat

Aplicar les mesures tècniques i organitzatives necessàries per garantir la confidencialitat, integritat, disponibilitat i resiliència dels sistemes de tractament, d'acord amb l'art. 32 del RGPD. Entre d'altres: xifrat de dades en trànsit i en repòs (TLS 1.3), control d'accés per rols (RBAC) i còpies de seguretat periòdiques.

d) Notificació de bretxes de seguretat

Notificar al Responsable, sense dilació indeguda i en qualsevol cas en un termini màxim de 48 hores, qualsevol bretxa de seguretat que pugui afectar les dades personals objecte d'aquest encàrrec, indicant: naturalesa de la bretxa, categories i nombre aproximat d'interessats afectats, conseqüències possibles i mesures adoptades.

e) Exercici de drets dels interessats

Assistir el Responsable per donar resposta a les sol·licituds d'exercici de drets (accés, rectificació, supressió, portabilitat, oposició i limitació) en un termini màxim de 10 dies hàbils des de la recepció de la sol·licitud.

f) Subcontractació

No subcontractarà cap tractament de dades a tercers no inclosos a l'apartat 6 del present acord sense l'autorització prèvia i expressa del Responsable. En cas de noves subcontractacions, n'informarà el Responsable amb una antelació mínima de 30 dies.

g) Auditories

Posar a disposició del Responsable tota la informació necessària per demostrar el compliment de les seves obligacions i facilitar la realització d'auditories o inspeccions que el Responsable o un tercer autoritzat consideri oportunes.

5. Obligacions del Responsable (establiment)

Correspon al Responsable del Tractament:

Facilitar a Estada l'accés als sistemes necessaris per prestar el servei contractat.
Garantir que les dades dels viatgers introduïdes a la plataforma són correctes i veraces. Estada no és responsable dels errors o inexactituds en les dades subministrades.
Informar els viatgers del tractament de les seves dades personals en el moment de la recollida, d'acord amb els arts. 13 i 14 del RGPD.
Presentar el fitxer de registre de viatgers als Mossos d'Esquadra dins el termini legal establert (24 hores des de l'entrada del viatger). Estada facilita el fitxer però no en gestiona la presentació directa.
Atendre les sol·licituds d'exercici de drets dels viatgers en els terminis legals, amb el suport d'Estada quan sigui necessari.

6. Subcontractistes autoritzats

El Responsable autoritza expressament Estada a subcontractar els serveis dels proveïdors tecnològics següents, que accedeixen a les dades personals en el marc de la prestació del servei:

Proveïdor	Servei	Ubicació	Garanties
Supabase, Inc.	Base de dades, autenticació i emmagatzematge	Regió EU (Frankfurt, Alemanya)	DPA signat, dades íntegrament dins la UE
Vercel, Inc.	Allotjament del frontend	EUA	Clàusules Contractuals Estàndard (SCC)
Hostinger International Ltd.	Servei de domini web	Lituània (UE)	Dins l'Espai Econòmic Europeu
Resend, Inc.	Enviament de notificacions per correu electrònic	EUA	Clàusules Contractuals Estàndard (SCC)

Estada vetllarà perquè tots els subcontractistes apliquin les mateixes garanties de protecció de dades exigides pel present acord.

7. Transferències internacionals

Les dades personals s'emmagatzemen íntegrament en servidors de la Unió Europea (Supabase, Hostinger). Els proveïdors Vercel i Resend, amb seu als EUA, accedeixen únicament a dades tècniques i de notificació. Aquestes transferències estan cobertes per les Clàusules Contractuals Estàndard (SCC) aprovades per la Comissió Europea.

8. Extinció del contracte i destinació de les dades

Un cop finalitzada la relació contractual:

Estada mantindrà les dades disponibles per al Responsable durant un termini de 30 dies naturals des de la data de baixa, perquè pugui exportar-les.
Transcorregut aquest termini, Estada procedirà a l'eliminació permanent i segura de totes les dades personals dels viatgers associades al compte del Responsable.
Estada podrà conservar una còpia de les dades degudament bloquejada, exclusivament durant el temps mínim imprescindible per atendre possibles responsabilitats derivades de la prestació del servei.

9. Llei aplicable i jurisdicció

El present acord es regeix per la legislació espanyola i, en particular, pel Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018 (LOPDGDD). Per a la resolució de qualsevol controvèrsia, les parts se sotmeten als jutjats i tribunals competents d'acord amb la legislació vigent.

Necessiteu una còpia signada? Per a allotjaments que requereixen un document signat (per exemple, per a auditories internes o assegurances), podeu sol·licitar una còpia en PDF signada per Estada enviant un correu a hola@estada.cat.

Última actualització: Vic, 7 de maig de 2026. Versió 1.1.
Referència RGPD: arts. 28, 29 i 32 del Reglament (UE) 2016/679