Memòria Tècnica de Seguretat i Protecció de Dades

Sistema GESTHÀBITAT — Plataforma de Gestió de Comunitats · Versió 1.0 · 28 d'abril de 2026

Document destinat a administracions públiques (Generalitat de Catalunya, diputacions, ajuntaments) que vulguin contractar serveis de gestió de comunitats a Gestió de Comunitats de Veïns i Veïnes SCCL en el marc de programes que impliquin tractament de dades personals.
Justifica el compliment del RGPD, la LOPDGDD i l'ENS (RD 311/2022). Imprimir / PDF

1. Identificació del responsable

1.1 Encarregat del tractament

Raó social	Gestió de Comunitats de Veïns i Veïnes SCCL
NIF	F70821822
Domicili	Carrer Lorena 65, Local, 08042 Barcelona
Telèfon	93 461 96 18
Email	info@gesthabitat.cat
Web app	https://app.gesthabitat.cat
DPD	info@gesthabitat.cat (contacte delegat de protecció de dades)

Gestió de Comunitats de Veïns i Veïnes SCCL actua com a encarregat del tractament en virtut d'un DPA signat conforme a l'article 28 RGPD amb cada administració contractant.

2. Descripció del sistema

2.1 Què és GESTHÀBITAT

GESTHÀBITAT és una plataforma web de gestió de comunitats de propietaris i habitatge social, que ofereix funcionalitats de:

Funcionalitat	Dades tractades
Gestió de comunitats de propietaris	Nom, adreça, CIF, IBAN de la comunitat
Gestió de propietaris i residents	Nom, DNI/NIE, adreça, email, telèfon, IBAN
Gestió de lloguers i contractes	Dades del llogatari: nom, DNI, IBAN, adreça
Comptabilitat: rebuts i despeses	Imports, dates, conceptes, IBANs
Comunicació (emails, juntes)	Emails i telèfons de propietaris
Portal del propietari (accés extern)	Dades bàsiques + documents de la seva comunitat
Gestió d'obres i ITE	Dades tècniques + empresa constructora

No inclou: decisions automatitzades amb efectes jurídics, comercialització de dades a tercers, transferències internacionals fora l'EEE (excepte API d'IA amb SCCs).

3. Geolocalització de les dades

Proveïdor hosting	Hetzner Online GmbH
Tipus	VPS dedicat (CPX32 — 4 vCPU, 8 GB RAM)
Ubicació física	Alemanya (Frankfurt / Nürnberg)
Jurisdicció	Unió Europea (RGPD directament aplicable)
Certificació Hetzner	ISO 27001, ISO 9001, DIN EN 50600
DPA Hetzner	Disponible a hetzner.com/legal

No hi ha transferència internacional de dades personals fora de l'EEE. L'API d'Anthropic (IA) és cobert per Clàusules Contractuals Estàndard (SCCs UE).

4. Mesures tècniques de seguretat (art. 32 RGPD)

4.1 Control d'accés i autenticació

Multi-rol: admin, treballador, client (propietari) — accés granular per rol
Autenticació en dos factors (2FA): TOTP (Google Authenticator) per a tots els usuaris interns
Contrasenyes: hash bcrypt (cost factor 12), mínims: 8 caràcters, majúscules + números
Sessions: expiració automàtica als 30 minuts d'inactivitat
Rate limiting: màxim 10 intents de login per IP per 5 minuts
Reset de contrasenya: per token d'un sol ús (caducitat 1 hora)

4.2 Xifrat de dades

Transport: TLS 1.2/1.3 (Let's Encrypt) + HSTS preload
Camps sensibles a BD: NIF/NIE, IBANs xifrats amb Fernet (AES-128-CBC + HMAC-SHA256)
Documents pujats: xifrats al disc amb AES-256
Còpies de seguretat: xifrades abans de l'emmagatzematge

4.3 Auditoria i traçabilitat

Registre complet d'accions destructives (crear, editar, eliminar entitats) a taula auditoria
Registre d'accessos a documents (qui, quan, quin document, acció: descarregar/visualitzar)
Registre d'activitat d'usuaris per pàgina (ruta, timestamp, usuari)
Logs del servidor nginx i Docker retinguts 30 dies

4.4 Còpies de seguretat (Backup)

Backup diari de la base de dades PostgreSQL (pg_dump comprimida + xifrada)
Backup setmanal de tots els fitxers (documents, àudio de reunions)
Retencions: 30 dies diaris, 12 setmanals, 12 mensuals
Proves de restauració trimestral

4.5 Seguretat de la infraestructura

Servidor Ubuntu 22.04 LTS — actualitzacions automàtiques de seguretat habilitades
Firewall Hetzner: sols ports 22 (SSH, llista blanca IP), 80 (redirect HTTPS), 443 (HTTPS), ICMP
Accés SSH únicament per clau RSA (password auth desactivat)
Docker Compose + nginx com a proxy invers
Headers HTTP de seguretat: HSTS, X-Frame-Options, X-Content-Type-Options, CSP, Referrer-Policy
Escanneig periòdic de vulnerabilitats (OWASP ZAP)

5. Mesures organitzatives

Tot el personal ha signat un compromís de confidencialitat
Formació anual en protecció de dades per a tot l'equip
Procediment documentat de gestió de bretxes de seguretat
Revisió anual d'accesos i permisos d'usuaris
Política de taula neta (no documents físics sensibles sense custòdia)

6. Pla davant bretxa de seguretat

Detecció: alerts automàtics del servidor + monitoratge UptimeRobot
Contenció: bloqueig accés afectat i aïllament del servei si cal
Avaluació: identificació de dades afectades i risc per als interessats
Notificació al RESPONSABLE: en 24h des de la detecció
Notificació a l'APDCAT: si hi ha risc, en 72h (art. 33 RGPD)
Documentació: registre intern de l'incident

7. Drets dels interessats

Es garanteix l'atenció de sol·licituds d'exercici dels drets ARSOLP en un màxim de 30 dies naturals. El canal designat és: info@gesthabitat.cat

8. Conservació i supressió

Tipus de dada	Termini de conservació	Base legal
Comptabilitat i factures	6 anys	Art. 30 Codi Comerç
Documents registrals	Durada comunitat + 10 anys	LPH + Codi Civil
Dades contractes lloguer	5 anys des finalització	LAU
Logs d'auditoria	2 anys	Interès legítim + ENS
Emails i comunicacions	2 anys	Interès legítim

9. Continuïtat del servei (SLA)

Disponibilitat objectiva: 99.5% mensual (≤3.6h inactivitat/mes)
Monitoratge 24/7 amb alertes automàtiques (UptimeRobot)
Temps de resposta incident crític: <4h en horari laboral
Còpies de seguretat amb restauració <4h (RPO: 24h, RTO: 4h)

10. Subcontractació i transferències

Proveïdor	Servei	Ubicació	Garantia RGPD
Hetzner Online GmbH	Hosting VPS	Alemanya (UE)	ISO 27001 + DPA
Brevo (Sendinblue)	Enviament emails transaccionals	França (UE)	RGPD + DPA
Anthropic PBC	API d'IA (funcionalitats opcionals)	EUA	SCCs + DPA
Let's Encrypt / ISRG	Certificats SSL/TLS	EUA	Sense dades personals