Acord de processament de dades de QR Code AI

ACORD DE PROCESSAMENT DE DADES (DPA)

Darrera actualització: 2 de març de 2026

Aquest Acord de Processament de Dades ("DPA") forma part dels Termes del servei ("Acord") entre Supernovae, una empresa registrada a França al 27 Rue Wurtz, Juvisy-sur-Orge 91260, número d'IVA FR67948452891 ("Processador", "nosaltres"), i l'entitat que accepta aquest DPA ("Responsable", "vostè"), conjuntament anomenades les "Parts".

Aquest DPA s'aplica quan processem dades personals en nom vostre en relació amb els serveis de QR Code AI, incloent-hi a través de l'API.

1. DEFINICIONS

• "Dades personals" vol dir qualsevol informació relativa a una persona física identificada o identificable, tal com es defineix a l'article 4(1) del RGPD.
• "Tractament" vol dir qualsevol operació o conjunt d'operacions realitzades sobre dades personals, tal com es defineix a l'article 4(2) del RGPD.
• "Interessat" vol dir la persona física identificada o identificable a la qual es refereixen les dades personals.
• "Subprocessador" vol dir qualsevol tercer contractat pel Processador per tractar dades personals en nom del Responsable.
• "RGPD" vol dir el Reglament (UE) 2016/679 del Parlament Europeu i del Consell.
• "UK GDPR" vol dir el RGPD tal com s'ha incorporat al dret del Regne Unit mitjançant la Data Protection Act 2018.
• "SCC" vol dir les clàusules contractuals tipus aprovades per la Comissió Europea per a la transferència de dades personals a tercers països.
• "Bretxa de dades" vol dir una violació de seguretat que comporta la destrucció, pèrdua, alteració, divulgació no autoritzada o accés no autoritzat, accidental o il·lícit, a dades personals.

2. ABAST I ROLS

2.1 Responsable i Processador

A l'efecte d'aquest DPA:

• Vostè (Responsable): Vostè determina les finalitats i els mitjans del tractament de dades personals quan utilitza els nostres Serveis, especialment quan utilitza la nostra API per generar codis QR per als seus propis clients o integra els nostres Serveis als seus productes.
• Nosaltres (Processador): Nosaltres tractem dades personals en nom vostre d'acord amb les vostres instruccions, tal com es descriu en aquest DPA i a l'Acord.

2.2 Quan s'aplica aquest DPA

Aquest DPA s'aplica quan:

• Vostè utilitza l'API de QR Code AI per generar codis QR que processen dades dels seus usuaris finals (p. ex., URL que contenen informació personal, dades de vCard, dades de contacte codificades en codis QR).
• Vostè utilitza les funcions de seguiment i analítica de QR Code AI que recullen dades d'escaneig dels seus usuaris finals.
• Qualsevol altre escenari en què tractem dades personals en nom vostre com a processador de dades.

Quan vostè utilitza QR Code AI com a usuari individual per a finalitats pròpies, actuem com a responsable independent del tractament i la nostra Política de privacitat regula el tractament de dades.

3. DETALLS DEL TRACTAMENT DE DADES

3.1 Objecte i durada

Tractem dades personals durant la vigència de l'Acord per prestar els serveis de QR Code AI, incloent-hi la generació de codis QR, el seguiment, l'analítica i la funcionalitat relacionada.

3.2 Naturalesa i finalitat del tractament

• Generar codis QR a partir de les dades d'entrada facilitades pel Responsable
• Fer el seguiment dels escaneigs de codis QR i recollir dades d'analítica
• Emmagatzemar configuracions de codis QR i metadades associades
• Processar sol·licituds d'art de codi QR generat amb IA
• Proporcionar informes i panells d'analítica

3.3 Tipus de dades personals

Els tipus de dades personals tractades poden incloure:

• Informació de contacte (noms, adreces de correu electrònic, números de telèfon) codificada en codis QR
• URL i adreces web
• Dades de localització dels escaneigs de codis QR
• Informació del dispositiu i adreces IP dels escaneigs de codis QR
• Prompts de text i imatges facilitats per a la generació de codis QR amb IA
• Qualsevol altra dada que el Responsable decideixi codificar en codis QR

3.4 Categories d'interessats

• Usuaris finals que escanegen codis QR creats pel Responsable
• Persones la informació de contacte de les quals està codificada en codis QR
• Usuaris dels productes o serveis del Responsable que interactuen amb codis QR

4. OBLIGACIONS DEL PROCESSADOR

4.1 Instruccions de tractament

Tractarem dades personals únicament d'acord amb les vostres instruccions documentades, llevat que el dret de la UE o de l'Estat membre al qual estiguem subjectes ens obligui a fer-ho. En aquest cas, us informarem d'aquest requisit legal abans del tractament, tret que la llei ho prohibeixi per motius importants d'interès públic.

4.2 Confidencialitat

Garantim que les persones autoritzades a tractar dades personals s'han compromès a la confidencialitat o estan subjectes a una obligació legal adequada de confidencialitat.

4.3 Mesures de seguretat

Implementem mesures tècniques i organitzatives adequades per garantir un nivell de seguretat apropiat al risc, incloent-hi:

• Xifrat de dades personals en trànsit (TLS/HTTPS) i en repòs
• Controls d'accés i autenticació basada en rols per als sistemes interns
• Avaluacions de seguretat periòdiques i escaneig de vulnerabilitats
• Infraestructura allotjada amb proveïdors certificats ISO 27001
• Protecció DDoS i tallafoc d'aplicacions web (Cloudflare)
• Còpies de seguretat periòdiques amb emmagatzematge xifrat
• Registre i monitoratge de l'accés a dades personals

4.4 Subprocessadors

Utilitzem els subprocessadors indicats a la nostra pàgina de subprocessadors. Us notificarem qualsevol canvi previst de subprocessadors actualitzant aquesta pàgina. Podeu oposar-vos a un nou subprocessador contactant-nos a [email protected] dins dels 30 dies posteriors a l'actualització. Si us hi oposeu i no podem atendre raonablement la vostra objecció, qualsevol de les parts pot rescindir la part afectada dels Serveis.

Formalitzem acords per escrit amb tots els subprocessadors que imposen obligacions de protecció de dades no menys protectores que les d'aquest DPA.

4.5 Drets dels interessats

Us assistirem per respondre sol·licituds d'interessats que exerceixin els seus drets segons la normativa aplicable de protecció de dades (accés, rectificació, supressió, limitació, portabilitat, oposició). Si rebem una sol·licitud directament d'un interessat, el redirigirem sense demora cap a vostè, tret que se'ns indiqui el contrari.

4.6 Assistència per al compliment

Us assistirem per garantir el compliment de les vostres obligacions segons els articles 32 a 36 del RGPD, tenint en compte la naturalesa del tractament i la informació de què disposem.

5. NOTIFICACIÓ DE BRETXES DE DADES

5.1 Termini de notificació

Us notificarem una bretxa de dades sense dilació indeguda i, en qualsevol cas, dins de les 72 hores des que en tinguem coneixement. La notificació s'enviarà a l'adreça de correu electrònic associada al vostre compte.

5.2 Contingut de la notificació

La notificació inclourà, en la mesura que estigui disponible:

• Una descripció de la naturalesa de la bretxa de dades, incloent-hi les categories i el nombre aproximat d'interessats i de registres afectats.
• El nom i les dades de contacte del nostre punt de contacte de protecció de dades.
• Una descripció de les conseqüències probables de la bretxa de dades.
• Una descripció de les mesures adoptades o proposades per abordar la bretxa de dades, incloent-hi mesures per mitigar-ne els possibles efectes adversos.

5.3 Cooperació continuada

Cooperarem amb vostè i proporcionarem assistència raonable per investigar, mitigar i corregir qualsevol bretxa de dades, i per fer les notificacions a les autoritats de control o als interessats que estigueu obligat a fer.

6. TRANSFERÈNCIES INTERNACIONALS DE DADES

6.1 Ubicació de les dades

Les dades personals s'emmagatzemen i es processen principalment a la Unió Europea:

• França (UE) via Scaleway
• Països Baixos (UE) via DigitalOcean

6.2 Transferències fora de la UE/EEE

Alguns dels nostres subprocessadors es troben fora de la UE/EEE, principalment als Estats Units. Per a aquestes transferències, ens basem en:

• EU-US Data Privacy Framework: Quan sigui aplicable, per a transferències a proveïdors dels EUA certificats en el marc.
• Clàusules contractuals tipus (SCC): Incorporem les SCC aprovades per la Comissió Europea (Decisió d'execució (UE) 2021/914) als nostres acords amb subprocessadors situats fora de la UE/EEE quan el Data Privacy Framework no s'aplica.

6.3 Avaluació d'impacte de la transferència

Realitzem avaluacions d'impacte de les transferències a tercers països i implementem mesures suplementàries quan cal per garantir un nivell adequat de protecció de dades.

7. AUDITORIES I INSPECCIONS

7.1 Dret d'auditoria

Vostè té dret a auditar el nostre compliment d'aquest DPA. Posarem a la vostra disposició tota la informació necessària per demostrar el compliment i permetrem i contribuirem a auditories, incloent-hi inspeccions, realitzades per vostè o per un auditor designat per vostè.

7.2 Procés d'auditoria

Les auditories estan subjectes a les condicions següents:

• Heu de proporcionar un preavís per escrit d'almenys 30 dies abans de qualsevol auditoria.
• Les auditories no es poden dur a terme més d'un cop l'any, tret que ho requereixi una autoritat de control o després d'una bretxa de dades.
• Les auditories s'han de fer en horari laboral habitual i no han d'interferir de manera no raonable amb les nostres operacions.
• Vostè és responsable dels costos de qualsevol auditoria, tret que l'auditoria reveli un incompliment material d'aquest DPA.
• No s'ha d'exposar informació confidencial dels nostres altres clients durant l'auditoria.

8. CONSERVACIÓ I SUPRESSIÓ DE DADES

8.1 Durant l'Acord

Conservem les dades personals durant la vigència de l'Acord segons sigui necessari per prestar els Serveis.

8.2 En finalitzar

En finalitzar l'Acord o a petició vostra per escrit:

• Suprimirem les dades personals dels nostres sistemes actius dins dels 30 dies.
• Les dades personals en arxius de còpia de seguretat s'eliminaran dins dels 6 mesos.
• Podem conservar dades personals en la mesura que ho exigeixi la normativa aplicable (p. ex., obligacions fiscals o comptables); en aquest cas, aïllarem i protegirem aquestes dades i limitarem el tractament posterior al que exigeixi la llei.

8.3 Certificació

A petició vostra, us proporcionarem confirmació per escrit que les dades personals s'han suprimit d'acord amb aquesta secció.

9. RESPONSABILITAT

La responsabilitat de cada part en virtut d'aquest DPA està subjecta a les limitacions de responsabilitat establertes a l'Acord. Res d'aquest DPA limita la responsabilitat de cap de les parts davant dels interessats o de les autoritats de control segons la normativa aplicable de protecció de dades.

10. LLEI APLICABLE

Aquest DPA es regeix per les lleis de França. Per als interessats a la UE, s'aplica el RGPD. Per als interessats al Regne Unit, s'aplica l'UK GDPR. Qualsevol disputa derivada d'aquest DPA es resoldrà d'acord amb les disposicions de resolució de disputes de l'Acord.

11. COM EXECUTAR AQUEST DPA

Aquest DPA s'incorpora i forma part dels Termes del servei. En utilitzar els Serveis de QR Code AI, vostè accepta aquest DPA.

Si necessiteu una còpia d'aquest DPA signada per separat per als vostres arxius, contacteu-nos a [email protected] i us en proporcionarem una dins dels 10 dies hàbils.

12. CONTACTE

Per a preguntes sobre aquest DPA o les nostres pràctiques de tractament de dades:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]