Política de privacitat

1. Qui és el responsable

El responsable del tractament de les teves dades personals és la societat mercantil operadora de VISC, constituïda com a societat limitada unipersonal o la forma societària definitiva que consti a l'avís legal. La denominació social, NIF, domicili, dades registrals i resta d'informació exigida per la LSSI-CE es publiquen a l'avís legal del Servei. El contacte operatiu és privacy@visc.cat.

VISC està dissenyat per operar en territori català i s'adreça a municipis i ciutadans de Catalunya. El marc normatiu és el RGPD (UE 2016/679), la LOPDGDD (Llei orgànica 3/2018), la LSSI-CE per als serveis de la societat de la informació, el DSA quan VISC allotgi contingut d'usuaris o comunitats, i la Llei 19/2014 de transparència de Catalunya quan tractem informació pública catalana. Pots presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (aepd.es) si consideres que els teus drets no s'han respectat.

2. Quines dades tractem

Identitat (Firebase Authentication)

Quan et registres guardem: correu electrònic, nom complet (si el proporciones), URL de la fotografia de perfil (si en carregues una), identificador de Google associat (si utilitzes aquest mètode de registre), i número de telèfon (si verifiques per SMS). Firebase és el processador que tracta aquestes dades; nosaltres hi accedim a través del SDK oficial de Firebase Authentication.

Perfil del compte (accounts/{uid})

A cada usuari li correspon un document de compte amb el nom per mostrar, la llengua preferida, el nom d'usuari públic (handle) i les referències a les comunitats i organitzacions de les quals és membre. També guardem la versió de les condicions i la data en què les vas acceptar.

Contingut i activitat

Cada vegada que publiques una entrada, un esdeveniment, un missatge, un document, un llistat del directori o una oferta, el contingut queda associat al teu uid i a una marca de temps. L'activitat dins d'una comunitat (pagaments, inscripcions, comandes, lloguers) també es registra amb el teu uid.

Moneder i pagaments

Guardem el saldo del moneder, l'historial de transaccions, la referència al client Stripe, l'estat de verificació del telèfon i l'indicador de congelació administrativa. Els detalls de les targetes són tractats exclusivament per Stripe; nosaltres només guardem marca, 4 últims dígits, mes i any de caducitat, i nom i correu associats per identificar el mètode de pagament.

Interaccions amb localitats

Si marques una relació amb un municipi (m'agrada, hi sóc, hi visc, hi treballo, etc.) guardem aquesta associació al teu compte. Si utilitzes l'acció «hi sóc» amb confirmació geogràfica, guardem la marca de temps i un comptador — mai les coordenades exactes.

Tokens push (FCM)

Si actives les notificacions push al navegador, guardem el token d'FCM, l'identificador del navegador (user-agent) i les comunitats a les quals està associat per poder enviar només les notificacions pertinents.

Incidents tècnics

Per mantenir la plataforma funcionant correctament, guardem les excepcions no gestionades del navegador o del servidor amb un fingerprint que deduplica errors repetits. Aquests registres poden incloure el teu uid si hi estaves autenticat quan es va produir l'error.

3. Per a què les utilitzem

• Prestar el Servei: autenticar-te, permetre'ns publicar contingut, executar pagaments, enviar notificacions, sincronitzar entre dispositius.
• Personalitzar l'experiència: recordar les teves relacions amb localitats, la comunitat activa, les preferències de tema i de notificacions.
• Seguretat i prevenció de frau: detectar comportaments anòmals, protegir els moneders i blocar intents d'accés no autoritzat.
• Auditoria i compliment legal: conservar els registres comptables i d'activitat que ens obliga la normativa (Reial decret 1514/2007 per a dades comptables).
• Millora de la plataforma: analitzar errors i usatge agregat per corregir bugs i evolucionar les funcionalitats.
• Comunicació amb tu: enviar-te correus transaccionals (recibos, alertes de pagament, restabliments de contrasenya) i, només si hi consents explícitament, butlletins d'informació.

No venem les teves dades a tercers ni les cedim per a finalitats de publicitat de tercers.

4. Base legal de cada tractament

• Contracte: identitat, perfil, pertinença a comunitats, contingut que publiques, pagaments, inscripcions, comandes, lloguers. Sense aquestes dades no podem prestar el Servei.
• Obligació legal: registres comptables i de transaccions (6 anys), auditoria financera, atenció de requeriments de les autoritats competents.
• Interès legítim: prevenció de frau i abús, seguretat del Servei, registres d'incidents. En cada cas ponderem aquest interès amb els teus drets i llibertats fonamentals.
• Consentiment: notificacions push, campanyes de màrqueting, confirmació geogràfica del «hi sóc», analítica identificada. Pots retirar el consentiment en qualsevol moment des del teu panell de configuració; la retirada no afecta la licitud del tractament previ.

5. Amb qui les compartim

Només compartim les teves dades amb els processadors estrictament necessaris per prestar el Servei, sota contractes de tractament (DPA) d'acord amb l'article 28 del RGPD.

• Google Cloud / Firebase (Google Ireland Ltd. i altres entitats Google aplicables): autenticació, base de dades Firestore, funcions al núvol, hosting, FCM, analítica, emmagatzematge de fitxers. La configuració del projecte prioritza recursos europeus com europe-west1; alguns serveis i subprocessadors poden operar fora de l'EEE sota les condicions de tractament i transferència de Google.
• Stripe Payments Europe Ltd.: processament de pagaments amb targeta, gestió de comptes Connect, transferències i verificacions antifrau. Irlanda (UE) amb processament derivat internacional, inclosos els Estats Units, sota el marc EU-US Data Privacy Framework i clàusules contractuals tipus quan correspongui.
• Resend: enviament de correus transaccionals i, si hi consents, butlletins. UE.
• Open-Meteo: API oberta de meteorologia. Només hi enviem les coordenades del municipi (no les teves). UE.
• Wikimedia Foundation: enllaç a imatges i articles. No hi enviem cap dada teva — només fem peticions com a agregador.

Els administradors de la teva comunitat poden veure determinades dades teves dins de l'àmbit de la comunitat (veure secció 14). El personal operatiu de VISC amb rol de plataforma pot accedir a les dades per investigar abusos, resoldre disputes o complir requeriments legals.

6. Transferències internacionals

La configuració principal del projecte prioritza recursos europeus com europe-west1 de Google Cloud, però alguns proveïdors o subprocessadors poden tractar dades fora de l'Espai Econòmic Europeu. Les transferències internacionals s'emparen en decisions d'adequació aplicables, com el marc EU-US Data Privacy Framework per a empreses certificades, i en clàusules contractuals tipus (SCC) quan correspongui. Stripe indica que participa en l'EU-US Data Privacy Framework i manté mecanismes contractuals alternatius per a transferències internacionals.

Les connexions amb Wikimedia Foundation (lectures de Viquipèdia, Wikidata i Wikimedia Commons) es fan sense enviar-los cap dada personal teva.

7. Temps de conservació

• Compte actiu: mentre el compte estigui actiu.
• Compte tancat: 30 dies de suspensió reversible, després supressió definitiva (excepte dades amb obligació legal de conservació).
• Dades comptables i financeres: 6 anys (Reial decret 1514/2007, Codi de Comerç).
• Registres d'auditoria: 6 anys (acompanyen els registres financers).
• Incidents tècnics: 90 dies des del tancament de l'incident, després purga automàtica.
• Tokens FCM: fins que Firebase reporti que no són vàlids; neteja automàtica.
• Interaccions amb localitats: mentre el compte estigui actiu; s'eliminen en tancar-lo.
• Contingut publicat: mentre la comunitat existeixi, segons la política de conservació de la comunitat.
• Tickets de suport i feedback: 2 anys.
• Cache d'agregació (RSS, enriquiment de municipis): dades públiques, no associades a usuaris.

8. Els teus drets

Com a titular de les dades tens els drets següents, exercibles de manera gratuïta enviant un correu a privacy@visc.cat identificant-te adequadament:

• Accés: obtenir una còpia de les dades personals que tractem sobre tu. En el termini d'un mes t'enviem un fitxer estructurat (JSON o CSV).
• Rectificació: corregir dades inexactes. Moltes es poden editar directament al teu perfil; la resta, per correu.
• Supressió (dret a l'oblit): eliminar les teves dades. Aplicarem el procés de tancament del compte descrit a la secció 7, respectant les obligacions de conservació legal.
• Portabilitat: rebre les dades en un format estructurat, d'ús comú i lectura mecànica, o que les transferim a un altre responsable si és tècnicament possible.
• Limitació del tractament: demanar que suspenguem temporalment el tractament mentre es resol una sol·licitud.
• Oposició: oposar-te al tractament basat en interès legítim (per exemple, analítica). Des del panell de configuració pots desactivar notificacions, analítica identificada i congelar el moneder.
• Retirada del consentiment: si ens has consentit explícitament un tractament (push, màrqueting, confirmació geogràfica), pots retirar el consentiment en qualsevol moment des de la pàgina de configuració.
• Reclamació a l'AEPD: si no estàs satisfet amb com hem tractat les teves dades, pots presentar una reclamació davant l'Agència Espanyola de Protecció de Dades.

9. Menors de 14 anys

VISC no s'adreça a menors de 14 anys. La LOPDGDD estableix aquesta edat com la mínima per consentir el tractament de dades personals sense autorització de tutors legals. En registrar-te manifestes que tens com a mínim 14 anys. Si descobrim que un compte pertany a un menor de 14 anys, el suspendrem i eliminarem les dades associades tan aviat com sigui possible, llevat que els tutors legals n'aportin el consentiment exprés.

10. Cookies i analítica

VISC utilitza localStorage del navegador per mantenir la teva sessió, el tema visual escollit i les interaccions amb municipis d'usuaris anònims. Aquestes dades no surten del teu dispositiu.

Utilitzem Firebase Analytics (basat en Google Analytics 4) per mesurar l'ús general del Servei només quan està habilitat fora d'entorns locals o de prova. Les cookies o identificadors no estrictament necessaris requereixen que puguis acceptar, rebutjar o configurar el consentiment al mateix nivell de visibilitat. Abans del llançament públic, VISC ha de desplegar un banner de consentiment complet i, fins llavors, l'analítica identificada associada al teu uid no s'ha d'activar sense consentiment explícit.

No utilitzem cookies publicitàries ni traçadors de tercers amb finalitats de perfilat comercial.

11. Dades financeres

Les dades financeres (pagaments, transaccions del moneder, compra de productes, quotes de soci) es conserven durant sis anys, tal com exigeix la normativa comptable espanyola (Reial decret 1514/2007 i Codi de Comerç article 30). Aquesta conservació s'aplica sobre el dret d'oblit, tal com preveu l'article 17.3.b del RGPD.

Els registres financers inclouen emissor, receptor, imports brut i net, comissions de plataforma i Stripe, identificador del PaymentIntent de Stripe i, quan escau, identificador del document de referència (comanda, inscripció, lloguer, quota).

12. Dades de localització

VISC només utilitza dades de localització en dos casos concrets:

• Meteorologia per comunitat: utilitzem les coordenades del centre de la comunitat (configurades per l'administrador) per consultar Open-Meteo. Aquestes coordenades són de la comunitat, no teves.
• Confirmació «hi sóc»: si prems el botó d'«hi sóc» a la pàgina d'un municipi, el teu navegador ens comparteix la teva posició momentàniament per verificar que ets dins d'un radi de 10 km. No guardem mai les coordenades: només el moment exacte (marca de temps) i un comptador incremental de confirmacions. Aquesta acció requereix el teu consentiment explícit del navegador.

En tots dos casos, pots desactivar l'accés a la ubicació des de la configuració del navegador.

13. Notificacions

Notificacions push (FCM): completament opt-in. El navegador et demana permís; si el concedeixes, guardem un token per enviar-te les alertes associades a les comunitats de les quals ets membre. Pots desactivar-les en qualsevol moment des del panell de notificacions.

Notificacions dins de l'app: es generen automàticament a partir d'esdeveniments rellevants (nova publicació, pagament, inscripció confirmada, canvi d'estat d'una comanda) i s'emmagatzemen al teu compte. Pots marcar-les com a llegides o silenciar categories completes.

Correus transaccionals: els enviem per a esdeveniments necessaris (rebut de pagament, restabliment de contrasenya, confirmació d'inscripció) sota interès legítim. Els correus de màrqueting o butlletins s'envien només si els has acceptat explícitament; cada correu inclou un enllaç de unsubscribe.

14. Visibilitat dels administradors

Dins d'una comunitat, els administradors poden veure informació raonablement necessària per gestionar-la: nom visible dels membres, estat dels pagaments i quotes, nivell de permisos dins de la comunitat i contingut publicat. No poden veure:

• El saldo del teu moneder personal.
• La teva activitat en altres comunitats.
• Les teves interaccions privades amb municipis, la teva localització ni les teves preferències personals.

Els administradors d'organitzacions tenen accés derivat de nivell administratiu a les comunitats pertanyents a la seva organització. El personal de plataforma de VISC (platform admins) pot accedir a qualsevol comunitat estrictament per investigar abusos, resoldre disputes o complir requeriments legals; aquesta activitat queda registrada en els nostres logs d'auditoria.

15. Canvis en aquesta política

Podem actualitzar aquesta política per reflectir canvis normatius, nous processadors o noves funcionalitats. Els canvis materials (que afectin significativament el tractament) es notifiquen amb 30 dies d'antelació per correu electrònic i amb un avís a l'aplicació. Les modificacions no materials s'apliquen immediatament i queden reflectides amb la versió actualitzada a la capçalera d'aquest document.

16. Contacte

• Qüestions de privacitat i drets:privacy@visc.cat
• Incidents de seguretat:security@visc.cat
• Opt-out municipal (agregació de contingut):opt-out@visc.cat
• Reclamacions davant l'autoritat:Agència Espanyola de Protecció de Dades (aepd.es)

Consulta també les nostres Condicions d'ús per conèixer el marc general del Servei.