Política de privadesa

Versió 1.0 Vàlid des de 13/04/2026

Última actualització: 14 d’abril de 2026

Titular: Fundació DACacció

CIF: G01979111

Domicili: Carrer dels Àngels, 18, 2n – 08001 Barcelona

Web oficial: www.dacaccio.org

Correu electrònic de contacte i DPD: info@dacaccio.org

1. Introducció i Responsable del Tractament

Benvingut/da a Lleure360. La seva privacitat és de màxima importància per a nosaltres. Aquesta Política de Privacitat descriu com Fundació DACacció (d'ara endavant, "nosaltres", "la nostra" o DACacció), amb CIF G01979111 i domicili a Carrer dels Àngels, 18, 2n – 08001 Barcelona (Barcelona), recopila, utilitza, emmagatzema i protegeix les dades personals a través de la nostra plataforma.

En el context del Reglament General de Protecció de Dades (RGPD), és crucial distingir els rols:

  • Responsable del Tractament (Data Controller): És l'entitat que contracta els nostres serveis (per exemple, un centre educatiu, una associació de famílies, una fundació o una empresa de lleure). Aquesta entitat és qui determina les finalitats i els mitjans del tractament de les dades dels seus usuaris (personal, famílies, alumnes).

  • Encarregat del Tractament (Data Processor): Som nosaltres, Fundació DACacció, que tractem les dades personals per compte i sota les instruccions del Responsable del Tractament, per tal de prestar el servei contractat.

  • Usuari: Qualsevol persona que utilitza la plataforma, incloent-hi personal administratiu del centre, monitors, directors o famílies.

Aquesta política s'aplica a totes les dades personals processades per DACacció en la seva funció d'Encarregat del Tractament.

2. Quines dades personals recopilem?

Recopilem diferents tipus de dades per proporcionar i millorar el nostre servei:

  • Dades d'Identificació: Nom, cognoms, DNI/NIE, adreça de correu electrònic, nom d'usuari i contrasenya (sempre de forma xifrada).

  • Dades de Contacte: Telèfon, adreça postal i correu electrònic.

  • Dades Professionals i Acadèmiques: Informació sobre el rol de l'usuari dins de la institució (ex: Administrador, Director), i la seva vinculació amb centres educatius, activitats o grups específics.

  • Dades de menors d'edat: A través de les famílies o els centres, es poden gestionar dades d'alumnes, com nom, curs, o inscripcions a activitats. El Responsable del Tractament (el centre) és qui ha de garantir el consentiment vàlid dels pares o tutors legals.

  • Dades de categories especials (dades de salut): La plataforma permet al Responsable del Tractament (el centre) recollir, a través dels formularis d'inscripció que gestionen les famílies, dades de salut dels participants (com ara al·lèrgies, malalties cròniques, medicació necessària o intoleràncies alimentàries). Aquesta informació es recopila amb l'única i explícita finalitat de garantir la seguretat i el benestar dels participants durant les activitats. El Responsable del Tractament és qui ha d'assegurar la base legal per a aquest tractament (normalment, el consentiment explícit dels pares o tutors legals). Nosaltres, com a Encarregats del Tractament, apliquem mesures de seguretat reforçades per protegir aquestes dades sensibles.

  • Dades de Transaccions: Per a la gestió de pagaments d'inscripcions o serveis, recopilem informació associada a la transacció (import, concepte, data, resultat). Les dades de la targeta de crèdit/dèbit (número, data de caducitat, CVV) no són mai recollides, processades ni emmagatzemades als nostres servidors. Aquest procés es gestiona íntegrament a través de la passarel·la de pagament segura de Redsys, que compleix amb els més alts estàndards de seguretat de la indústria de pagaments (PCI-DSS).

  • Dades Tècniques i de Navegació: Adreça IP, tipus de navegador i dispositiu, sistema operatiu, informació de la sessió (cookies) i pàgines visitades dins de la plataforma per garantir la seguretat i el correcte funcionament del servei.

3. Amb quina finalitat tractem les teves dades?

Com a Encarregats del Tractament, utilitzem les dades per a les següents finalitats, sempre sota l'empara del contracte de serveis amb el Responsable del Tractament:

  1. Prestació del servei: Gestionar la plataforma, permetre l'accés als usuaris segons els seus rols i permisos, i garantir el funcionament dels diferents mòduls contractats, incloent-hi la gestió d'inscripcions i la visualització segura d'informació de salut per part del personal autoritzat.

  2. Gestió d'usuaris: Crear i mantenir els comptes d'usuari, autenticar l'accés i gestionar els perfils.

  3. Comunicació: Facilitar la comunicació entre el centre i els usuaris (per exemple, notificacions sobre activitats, avisos importants).

  4. Gestió de pagaments: Facilitar el procés de pagament de les inscripcions a través de la integració amb la passarel·la de pagament.

  5. Suport tècnic: Atendre les consultes i resoldre les incidències tècniques dels usuaris.

  6. Seguretat i manteniment: Monitorar l'ús de la plataforma per prevenir fraus, abusos i incidents de seguretat, així com per realitzar tasques de manteniment i millora.

  7. Facturació i gestió administrativa: Gestionar la relació contractual amb els nostres clients (els Responsables del Tractament).

  8. Millora del servei: Analitzar dades d'ús de forma agregada i anònima per entendre com s'utilitza la nostra plataforma i poder millorar-la.

4. Quina és la base legal per al tractament?

La legitimació per tractar les dades personals es basa en:

  • L'execució del contracte de prestació de serveis signat entre Fundació DACacció i el Responsable del Tractament (el centre educatiu o institució). Aquest contracte inclou l'acord d'encarregat de tractament (Art. 28 RGPD).

  • El consentiment explícit que el Responsable del Tractament ha de recaptar dels usuaris (o els seus representants legals) per al tractament de categories especials de dades, com les dades de salut.

  • L'interès legítim de Fundació DACacció per garantir la seguretat de la xarxa, prevenir el frau i millorar els nostres serveis.

  • El compliment d'obligacions legals que ens puguin ser aplicables, com ara les de caràcter fiscal o per requeriment d'autoritats judicials o administratives.

Correspon al Responsable del Tractament (el centre) obtenir el consentiment o establir la base de legitimació adequada (per exemple, la funció educativa) per al tractament de les dades dels seus usuaris finals (famílies, alumnes).

5. Quant de temps conservem les dades?

Conservarem les dades personals mentre duri la relació contractual amb el Responsable del Tractament.

Un cop finalitzat el contracte, procedirem a la supressió o retorn de totes les dades personals al Responsable, segons s'estableixi en el contracte de serveis. No obstant això, mantindrem bloquejades aquelles dades que siguin necessàries per al compliment d'obligacions legals (per exemple, fiscals o mercantils) o per a la formulació, exercici o defensa de reclamacions, durant els terminis de prescripció legalment establerts.

6. A qui comuniquem les teves dades?

No venem, lloguem ni cedim dades personals a tercers amb finalitats de màrqueting. Les dades només es comuniquen a:

  • El propi Responsable del Tractament i els seus usuaris autoritzats, segons la configuració de rols i permisos que hagin establert.

  • Proveïdors de serveis (sub-encarregats del tractament): Per a la correcta prestació del servei, comptem amb el suport de proveïdors tecnològics especialitzats que actuen en el nostre nom com a sub-encarregats. Pots consultar la llista detallada i actualitzada d'aquests proveïdors, la seva funció i la ubicació de les seves infraestructures a l'Annex I: Llista de Sub-encarregats al final d'aquest document.

7. Transferències Internacionals de Dades

Tota la informació de la plataforma Lleure360 s'allotja en servidors de Google Cloud Platform (GCP) dins de la regió europe-southwest1 (Madrid, Espanya). Això garanteix que les dades personals no surten de l'Espai Econòmic Europeu (EEE), complint estrictament amb els estàndards de protecció del RGPD sense necessitat de transferències internacionals de dades per al servei d'allotjament principal.

8. Quins són els teus drets i com exercir-los?

El RGPD atorga als usuaris un seguit de drets sobre les seves dades personals. Com que actuem com a Encarregats del Tractament, l'exercici d'aquests drets s'ha de dirigir principalment al Responsable del Tractament (el teu centre educatiu o institució).

No obstant això, t'informem dels teus drets i et facilitarem l'assistència necessària:

  • Dret d'Accés: Sol·licitar i obtenir informació sobre les teves dades personals.

  • Dret de Rectificació: Corregir dades inexactes o incompletes.

  • Dret de Supressió ("dret a l'oblit"): Sol·licitar l'eliminació de les teves dades quan ja no siguin necessàries per a la finalitat per a la qual van ser recollides.

  • Dret a la Limitació del Tractament: Sol·licitar que se suspengui el tractament de les teves dades en determinades circumstàncies.

  • Dret a la Portabilitat: Rebre les teves dades en un format estructurat, d'ús comú i lectura mecànica, per poder transmetre-les a un altre responsable.

  • Dret d'Oposició: Oposar-te al tractament de les teves dades per motius relacionats amb la teva situació particular.

Per exercir aquests drets, has de contactar directament amb el teu centre educatiu o institució. Si contactes amb nosaltres, traslladarem la teva sol·licitud al Responsable del Tractament corresponent.

Per a qualsevol consulta sobre privacitat, pots contactar amb el nostre Delegat de Protecció de Dades (DPD) a:

  • Correu electrònic: info@dacaccio.org

  • Adreça postal: Carrer dels Àngels, 18, 2n – 08001 Barcelona (Barcelona), a l'atenció del DPD

També tens dret a presentar una reclamació davant l'autoritat de control competent, com l'Agencia Española de Protección de Datos (www.aepd.es) o l'Autoritat Catalana de Protecció de Dades (apdcat.gencat.cat).

9. Mesures de Seguretat

A Fundació DACacció ens prenem la seguretat molt seriosament. Hem implementat les mesures tècniques i organitzatives necessàries per garantir un nivell de seguretat adequat al risc, incloent-hi:

  • Xifrat de dades en trànsit (HTTPS) i en repòs.

  • Mesures de seguretat reforçades per a la protecció de categories especials de dades (dades de salut).

  • Pseudonimització i minimització de dades sempre que sigui possible.

  • Control d'accés estricte basat en rols i permisos, per garantir que cada usuari només accedeix a la informació que li pertoca.

  • Auditories de seguretat periòdiques i monitoratge continu.

  • Polítiques internes de seguretat i formació del personal.

A més del xifratge en trànsit (SSL/TLS) i en repòs, la nostra base de dades utilitza xifratge natiu a nivell de camp per a la informació més sensible, com ara claus de seguretat de passarel·les de pagament.

10. Política de Cookies

La nostra plataforma utilitza cookies tècniques i de sessió, que són essencials per al seu correcte funcionament. Aquestes cookies permeten, per exemple, mantenir la sessió de l'usuari iniciada o recordar el context de treball seleccionat (centre, activitat). No utilitzem cookies publicitàries ni de seguiment de tercers. Per a més informació, consulta la nostra Política de cookies.

11. Canvis en la Política de Privacitat

Ens reservem el dret a modificar aquesta Política de Privacitat per adaptar-la a novetats legislatives o canvis en els nostres serveis. Qualsevol modificació serà notificada als usuaris a través de la plataforma o per correu electrònic amb una antelació raonable abans de la seva entrada en vigor.

Annex I: Llista de Sub-encarregats del Tractament

Per al correcte funcionament de la plataforma Lleure360, DACacció compta amb els següents proveïdors tecnològics (sub-encarregats), tots ells situats dins de l'Espai Econòmic Europeu:

  • Google Cloud EMEA Limited

    • Serveis utilitzats: Cloud Run (servidor d'aplicació), Cloud SQL (base de dades MySQL), Cloud Storage (emmagatzematge de documents i fitxers) i Firebase Hosting (gestió i redirecció de dominis).

    • Finalitat: Allotjament de la infraestructura crítica, gestió de dades i emmagatzematge de documents sensibles (DNI, fitxes de salut, signatures).

    • Ubicació de les dades: Espanya (Regió: europe-southwest1, Madrid).

  • Google Ireland Limited

    • Serveis utilitzats: Cloud Tasks i Google Workspace.

    • Finalitat: Gestió de cues de treball en segon pla i enviament de comunicacions per correu electrònic.

    • Ubicació de les dades: Unió Europea (Irlanda / Bèlgica).

  • Redsys Servicios de Procesamiento, S.L.

    • Serveis utilitzats: Passarel·la de pagament TPV.

    • Finalitat: Processament tècnic i segur de les transaccions econòmiques.

    • Ubicació de les dades: Espanya (Madrid).

© 2026 Fundació DACacció - Tots els drets reservats.