Data Processing Agreement

Accordo sul trattamento dei dati personali ex art. 28 GDPR

Ultimo aggiornamento: 29 maggio 2026 · Versione 2.0

Premessa

Il presente Accordo sul trattamento dei dati personali (di seguito "DPA" o "Accordo") è stipulato ai sensi dell'art. 28 del Regolamento UE 2016/679 ("GDPR") tra:

404 Name Not Found srls, con sede in Via G. Randaccio 78A, 37139 Verona (VR), P.IVA IT04899100236 · info@lexday.it, in qualità di Responsabile del trattamento (di seguito "Responsabile" o "LexDay")

e

l'utente professionale (avvocato, studio legale o altro professionista titolare di un account LexDay), che accetta il presente DPA al momento della registrazione o della sottoscrizione di un piano a pagamento sulla piattaforma LexDay, in qualità di Titolare del trattamento (di seguito "Titolare" o "Utente").

Il DPA forma parte integrante delle Condizioni generali di servizio LexDay e si applica con riferimento al trattamento dei dati personali contenuti nelle pratiche, nei documenti e in ogni altro contenuto caricato dall'Utente nella piattaforma (di seguito "Dati Trattati").

Per il trattamento dei dati personali dell'Utente stesso (account, fatturazione, dati di contatto), LexDay opera quale autonomo Titolare del trattamento: tale rapporto è disciplinato dall'Informativa sulla privacy e non rientra nel presente DPA.

Articolo 1 · Definizioni

Salvo diversa indicazione, i termini in maiuscolo utilizzati nel presente DPA hanno il significato loro attribuito dal GDPR. In particolare: Dati Personali, Trattamento, Titolare, Responsabile, Sub-responsabile, Interessato, Violazione dei dati personali (Data Breach), Autorità di controllo hanno il significato di cui all'art. 4 GDPR. Dati Trattati: dati personali contenuti nelle pratiche, nei documenti, negli allegati e in ogni altro contenuto caricato o generato dall'Utente nella piattaforma LexDay. Servizi: l'insieme delle funzionalità della piattaforma LexDay accessibili all'Utente in base al piano sottoscritto. Sub-responsabili: i fornitori di servizi terzi di cui LexDay si avvale per erogare i Servizi, elencati nell'Allegato C.

Articolo 2 · Oggetto, durata, natura e finalità del trattamento

2.1 Oggetto

Il presente DPA disciplina il trattamento dei Dati Trattati effettuato da LexDay per conto dell'Utente nell'ambito dell'erogazione dei Servizi.

2.2 Durata

Il DPA ha la stessa durata del contratto principale di servizio tra LexDay e l'Utente e cessa con esso, fatti salvi gli obblighi di cooperazione, restituzione e cancellazione dei dati previsti agli articoli seguenti.

2.3 Natura del trattamento

Le operazioni di trattamento effettuate da LexDay comprendono in particolare: raccolta e memorizzazione dei dati inseriti dall'Utente; archiviazione di documenti e allegati nello storage cloud; indicizzazione e organizzazione dei dati nelle schede pratica; analisi automatica dei documenti tramite intelligenza artificiale (solo se attivata dall'Utente per la singola pratica); estrazione di dati strutturati; generazione di estrazioni, rendiconti, esportazioni richieste dall'Utente; backup e disaster recovery; supporto tecnico su richiesta; cancellazione o restituzione dei dati a fine rapporto.

2.4 Finalità

Il trattamento è effettuato esclusivamente per le finalità di erogazione dei Servizi all'Utente, secondo le istruzioni documentate di cui all'art. 4.

2.5 Tipologie di Dati Trattati e categorie di interessati

Le tipologie di Dati Trattati e le categorie di interessati sono dettagliate nell'Allegato A.

Articolo 3 · Ruoli delle Parti

L'Utente agisce in qualità di Titolare del trattamento dei Dati Trattati, individuando autonomamente la base giuridica, le finalità e i mezzi del trattamento nell'ambito del proprio incarico professionale.

LexDay agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR e tratta i Dati esclusivamente per conto dell'Utente, in base alle istruzioni documentate di cui al presente DPA.

LexDay non determina autonomamente le finalità del trattamento dei Dati Trattati né le utilizza per finalità diverse da quelle previste dai Servizi e dal presente DPA.

Articolo 4 · Istruzioni documentate del Titolare

4.1 Forme delle istruzioni

Le istruzioni documentate dell'Utente al Responsabile sono costituite da: (a) il presente DPA e gli allegati; (b) le Condizioni generali di servizio LexDay; (c) l'Informativa sulla privacy LexDay; (d) le azioni e configurazioni effettuate dall'Utente all'interno della piattaforma (es. attivazione/disattivazione dell'analisi AI per singola pratica, condivisione di pratiche tramite link, inviti a membri dello studio, esportazioni, richieste di cancellazione); (e) eventuali istruzioni scritte aggiuntive trasmesse dall'Utente a LexDay tramite i canali ufficiali, ove tecnicamente realizzabili nell'ambito dei Servizi.

4.2 Tracciamento delle istruzioni

Le richieste di cancellazione anticipata, esportazione dei dati o modifica delle configurazioni che incidono sul trattamento costituiscono istruzioni documentate del Titolare e saranno tracciate da LexDay nei propri sistemi interni, con indicazione del soggetto richiedente, della data e della tipologia dell'istruzione, in modo da garantire la prova del rapporto Titolare-Responsabile.

4.3 Istruzioni illegittime

LexDay informerà tempestivamente l'Utente qualora ritenga, a proprio giudizio ragionevole, che un'istruzione violi il GDPR o altre disposizioni vigenti in materia di protezione dei dati personali, riservandosi in tal caso il diritto di non eseguirla.

Articolo 5 · Obblighi del Responsabile

LexDay si impegna a:

5.1 Trattare i Dati solo su istruzioni del Titolare

Trattare i Dati Trattati esclusivamente sulla base delle istruzioni documentate dell'Utente, salvo che la legge dell'Unione o dello Stato membro imponga un obbligo specifico. In tal caso LexDay informerà l'Utente prima del trattamento, salvo divieto della legge.

5.2 Riservatezza del personale

Garantire che le persone autorizzate al trattamento dei Dati siano vincolate da obblighi di riservatezza (contrattuali o legali) e ricevano adeguata formazione in materia di protezione dei dati personali.

5.3 Misure tecniche e organizzative

Adottare le misure tecniche e organizzative adeguate ex art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio, come dettagliate nell'Allegato B.

5.4 Sub-responsabili

Avvalersi di Sub-responsabili nel rispetto delle condizioni di cui all'art. 7.

5.5 Assistenza al Titolare per i diritti degli interessati

Assistere l'Utente, mediante misure tecniche e organizzative adeguate, nel dare seguito alle richieste di esercizio dei diritti degli interessati ai sensi degli artt. 15-22 GDPR. In particolare, LexDay metterà a disposizione dell'Utente strumenti di esportazione, modifica e cancellazione dei dati direttamente accessibili dalla piattaforma. Eventuali richieste degli interessati che dovessero pervenire direttamente a LexDay saranno inoltrate all'Utente competente nel più breve tempo possibile.

5.6 Assistenza al Titolare per gli obblighi ex artt. 32-36 GDPR

Assistere l'Utente, considerata la natura del trattamento e le informazioni a disposizione, nel garantire il rispetto degli obblighi di sicurezza (art. 32), di notifica di violazione (artt. 33-34) e di valutazione d'impatto sulla protezione dei dati (artt. 35-36), fornendo le informazioni rilevanti su richiesta.

5.7 Notifica delle violazioni di sicurezza

In caso di Data Breach a carico di sistemi gestiti da LexDay o segnalato da un Sub-responsabile, LexDay notificherà l'Utente senza ingiustificato ritardo, e comunque entro 48 ore dalla conoscenza dell'evento, fornendo, ove disponibili, le informazioni rilevanti ai sensi dell'art. 33.3 GDPR.

5.8 Cancellazione o restituzione dei Dati a fine rapporto

Al termine dell'erogazione dei Servizi, LexDay procederà secondo le modalità descritte all'art. 8.

5.9 Informazioni necessarie a dimostrare la conformità

Mettere a disposizione dell'Utente, su richiesta scritta e con frequenza ragionevole, le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR.

Articolo 6 · Obblighi del Titolare

L'Utente, in qualità di Titolare, si impegna a: (a) garantire la liceità del trattamento dei Dati Trattati, individuando autonomamente la base giuridica e fornendo le informative previste dagli artt. 13 e 14 GDPR ai propri assistiti, clienti e altri interessati; (b) rispettare i propri obblighi professionali, in particolare quelli di riservatezza, segreto professionale e mandato previsti dal codice deontologico forense e dalla normativa di riferimento, valutando caso per caso se l'utilizzo delle funzionalità di analisi AI sia compatibile con tali obblighi; (c) impartire a LexDay istruzioni conformi al GDPR e alle altre disposizioni vigenti; (d) utilizzare la piattaforma in modo conforme alle Condizioni generali di servizio e ai principi di liceità, correttezza e minimizzazione del trattamento; (e) gestire correttamente le credenziali di accesso e gli inviti ai membri del proprio studio; (f) cooperare con LexDay nella gestione di eventuali Data Breach, richieste degli interessati o richieste delle Autorità di controllo.

L'Utente prende atto e accetta che LexDay non controlla né verifica i contenuti caricati nella piattaforma e non risponde di trattamenti illeciti o non conformi posti in essere dall'Utente in violazione dei propri obblighi di titolare.

Articolo 7 · Sub-responsabili

7.1 Autorizzazione generale

Con la sottoscrizione del presente DPA, l'Utente autorizza LexDay in via generale ad avvalersi dei Sub-responsabili elencati nell'Allegato C per l'esecuzione dei Servizi.

7.2 Contratti con i Sub-responsabili

LexDay stipula con ciascun Sub-responsabile un contratto scritto che impone obblighi di protezione dei dati sostanzialmente equivalenti a quelli del presente DPA.

7.3 Modifiche all'elenco dei Sub-responsabili

LexDay informerà l'Utente di eventuali nuovi Sub-responsabili o di sostituzioni di Sub-responsabili esistenti con un preavviso ragionevole, non inferiore a 30 giorni, tramite email o avviso nella piattaforma.

7.4 Diritto di obiezione

Entro il termine indicato nella notifica (e comunque non oltre 30 giorni dalla ricezione), l'Utente può comunicare a LexDay motivate obiezioni rispetto al nuovo Sub-responsabile, dimostrando che lo stesso non offre garanzie sufficienti ai sensi del GDPR. In caso di obiezione motivata e ragionevole non risolvibile da LexDay, l'Utente potrà recedere dal contratto di servizio senza penali.

7.5 Responsabilità

LexDay risponde nei confronti dell'Utente dell'operato dei propri Sub-responsabili al pari del proprio, nei limiti consentiti dalla legge applicabile.

Articolo 8 · Cancellazione o restituzione dei Dati a fine rapporto

8.1 Cessazione del rapporto

Alla cessazione del rapporto contrattuale tra LexDay e l'Utente, i Dati Trattati saranno conservati per un periodo di 180 giorni dalla cessazione, durante i quali: (a) l'Utente potrà esportare i propri Dati tramite gli strumenti messi a disposizione dalla piattaforma; (b) l'Utente potrà richiedere in qualsiasi momento la cancellazione anticipata dei propri Dati; (c) l'accesso alla piattaforma resta disponibile in modalità sola lettura, salvo diversa configurazione del piano di servizio.

8.2 Cancellazione decorso il termine

Decorsi i 180 giorni senza richiesta di esportazione o cancellazione anticipata, LexDay procederà alla cancellazione o anonimizzazione dei Dati, ad eccezione dei dati che debbano essere conservati per: (a) obblighi di legge (in particolare obblighi fiscali e contabili); (b) esigenze di tutela di un diritto in sede giudiziaria; (c) diversa istruzione scritta dell'Utente.

8.3 Backup

I backup contenenti Dati Trattati saranno cancellati secondo i normali cicli di rotazione (massimo 30 giorni), salvo che la conservazione sia richiesta dagli obblighi di cui al punto 8.2.

8.4 Conferma scritta

Su richiesta dell'Utente, LexDay rilascerà conferma scritta dell'avvenuta cancellazione.

Articolo 9 · Audit e verifiche

9.1 Diritto di audit

L'Utente ha diritto di verificare il rispetto da parte di LexDay degli obblighi di cui al presente DPA, in via prioritaria attraverso: (a) la documentazione, le certificazioni di sicurezza (es. SOC 2, ISO 27001 dei Sub-responsabili, ove disponibili) e i report di audit indipendenti che LexDay metterà a disposizione su richiesta scritta; (b) la compilazione di questionari di conformità ragionevoli sottoposti da LexDay.

9.2 Audit on-site

Solo qualora la documentazione di cui al punto 9.1 non sia sufficiente, l'Utente potrà richiedere un audit on-site presso le sedi di LexDay, con preavviso scritto di almeno 30 giorni, frequenza massima annuale, svolgimento durante l'orario lavorativo, sottoscrizione di accordi di riservatezza, oneri a carico dell'Utente richiedente salvo che l'audit accerti gravi inadempimenti documentati. Il diritto di audit non si estende a informazioni di altri Utenti, informazioni protette da segreto industriale o informazioni di sicurezza la cui divulgazione comprometterebbe la sicurezza della piattaforma.

9.3 Audit dei Sub-responsabili

Per gli audit sui Sub-responsabili, LexDay coopererà ragionevolmente con l'Utente trasmettendo le richieste e mettendo a disposizione la documentazione contrattuale e tecnica disponibile.

Articolo 10 · Trasferimenti extra-UE

Alcuni Sub-responsabili comportano trasferimenti di Dati verso paesi extra-UE (in particolare Stati Uniti). Per tali trasferimenti LexDay si avvale, ove necessario, delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione di esecuzione (UE) 2021/914) ed effettua le valutazioni richieste dalla normativa applicabile (Transfer Impact Assessment), anche in relazione alle caratteristiche del paese di destinazione, alla natura e sensibilità dei Dati trasferiti, alle misure tecniche supplementari adottate, alle misure organizzative e contrattuali dei Sub-responsabili. La documentazione delle valutazioni è disponibile su richiesta scritta dell'Utente, nei limiti consentiti dalla riservatezza commerciale.

Articolo 11 · Responsabilità

Ciascuna Parte risponde nei confronti dell'altra dei danni derivanti dal proprio inadempimento agli obblighi del presente DPA, nei limiti previsti dalle Condizioni generali di servizio e dalla legge applicabile. Le sanzioni amministrative pecuniarie previste dall'art. 83 GDPR restano a carico della Parte alla quale la condotta sanzionata è imputabile, salvo l'eventuale ripartizione disposta dall'Autorità di controllo o dal giudice competente.

Articolo 12 · Durata, modifiche e foro

12.1 Durata

Il presente DPA è efficace dal momento della sua accettazione da parte dell'Utente e ha la durata del contratto principale di servizio, fatti salvi gli obblighi di cancellazione, restituzione, cooperazione e riservatezza che sopravvivono alla cessazione del rapporto.

12.2 Modifiche

LexDay può aggiornare il presente DPA in caso di modifiche normative, evoluzione del servizio o sostituzione dei Sub-responsabili. Le modifiche sostanziali saranno comunicate all'Utente con un preavviso ragionevole.

12.3 Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana e dal GDPR. Per le controversie derivanti dal presente DPA è competente il Foro di Verona, salvo diversa disposizione inderogabile di legge e fatto salvo il foro del consumatore ove applicabile.

12.4 Coordinamento con le Condizioni generali

In caso di conflitto tra il presente DPA e le Condizioni generali di servizio, prevalgono le disposizioni del DPA limitatamente alle materie del trattamento dei dati personali.


Allegato A · Dettagli del trattamento

OggettoDati personali contenuti nelle pratiche, nei documenti, nei dati di time tracking e nei contenuti caricati dall'Utente nella piattaforma LexDay
DurataDurata del contratto principale di servizio, più 180 giorni dalla cessazione (salvo diversa richiesta dell'Utente o obblighi di legge)
Natura del trattamentoMemorizzazione, archiviazione, indicizzazione, organizzazione, estrazione automatica di dati strutturati tramite AI (solo se attivata dall'Utente), backup, esportazione, cancellazione
FinalitàErogazione del servizio gestionale LexDay all'Utente, nei limiti delle funzionalità del piano sottoscritto
Tipologie di dati personaliDati identificativi (nome, cognome, codice fiscale, partita IVA); dati di contatto (indirizzo, telefono, email); dati professionali e processuali (oggetto della pratica, tipo di procedimento, tribunale, ruolo, parti coinvolte); dati amministrativi; categorie particolari ex art. 9 GDPR (salute, vita familiare, opinioni); dati relativi a condanne penali e reati ex art. 10 GDPR
Categorie di interessatiClienti/assistiti dell'Utente; controparti e altri soggetti coinvolti nei procedimenti; periti, testimoni, dipendenti, familiari e ogni altro soggetto i cui dati siano contenuti nei documenti caricati

Allegato B · Misure tecniche e organizzative

LexDay adotta le seguenti misure tecniche e organizzative ai sensi dell'art. 32 GDPR:

B.1 Sicurezza delle comunicazioni

Tutte le comunicazioni tra il client e i server LexDay sono protette da TLS 1.2 o superiore. Certificati SSL/TLS rinnovati automaticamente con monitoraggio della validità.

B.2 Sicurezza dei dati a riposo

I dati memorizzati nel database (Supabase) sono cifrati a riposo secondo gli standard del fornitore. I documenti memorizzati nello storage (Supabase Storage) sono cifrati a riposo. Le password degli account sono memorizzate mediante funzioni di hashing sicure e non reversibili.

B.3 Controllo degli accessi

Accesso ai sistemi basato sul principio del minimo privilegio. Autenticazione multi-fattore per gli accessi amministrativi. Separazione logica dei dati tra Utenti diversi (Row Level Security a livello di database). Logging degli accessi amministrativi e degli eventi rilevanti.

B.4 Sviluppo sicuro

Revisione del codice per le componenti critiche. Dipendenze software monitorate per vulnerabilità note. Ambiente di produzione separato dagli ambienti di sviluppo. Gestione versionata del codice e tracciabilità delle modifiche.

B.5 Backup e disaster recovery

Backup automatici periodici del database. Conservazione dei backup per un periodo massimo di 30 giorni. Procedure documentate di ripristino.

B.6 Sub-responsabili

Selezione di Sub-responsabili con certificazioni di sicurezza riconosciute (SOC 2, ISO 27001, PCI DSS dove applicabile). Contratti scritti che impongono obblighi equivalenti. Verifica periodica della conformità.

B.7 Misure organizzative

Personale autorizzato vincolato da obblighi di riservatezza. Designazione interna di referenti per la sicurezza e la protezione dei dati. Valutazioni periodiche di rischio. Aggiornamento delle misure in base all'evoluzione del rischio e della tecnologia.

B.8 Gestione degli incidenti

Procedura interna documentata di gestione degli incidenti di sicurezza. Notifica al Titolare entro 48 ore dalla conoscenza di un Data Breach. Cooperazione con le Autorità di controllo nei limiti di legge.

Allegato C · Elenco dei Sub-responsabili autorizzati

Al momento della pubblicazione del presente DPA, LexDay si avvale dei seguenti Sub-responsabili:

Sub-responsabileFunzioneConfigurazione
Supabase, Inc.Database PostgreSQL, autenticazione, storage documentiServizi forniti su infrastruttura AWS regione UE (eu-west-1, Irlanda)
Vercel Inc. (Covina, CA, USA)Hosting applicazione, CDN, edge runtimeEdge globale con SCC
Anthropic PBC (San Francisco, CA, USA)Analisi AI dei documenti (attivabile per singola pratica)Servizi API commerciali con SCC
Stripe, Inc. (San Francisco, CA, USA)Gestione pagamenti, generazione fatturePCI DSS, DPF, SCC
Resend (San Francisco, CA, USA)Email di sistema (inviti, notifiche, conferme)Secondo documentazione del fornitore con SCC
Google LLC (Mountain View, CA, USA) · Google Tag ManagerContenitore di tag tecnici e di eventuali strumenti analitici/marketing previo consensoSCC e Data Privacy Framework UE-USA

L'elenco è aggiornato al 29 maggio 2026. Eventuali variazioni saranno comunicate all'Utente con le modalità previste dall'art. 7. Per richieste di dettaglio sui Sub-responsabili è possibile scrivere a info@lexday.it.


Accettazione

L'Utente dichiara di aver letto e compreso il presente DPA e ne accetta integralmente i contenuti con la sottoscrizione del contratto di servizio LexDay e con il flag di accettazione presente nel flusso di registrazione o di sottoscrizione del piano. La data di accettazione è registrata automaticamente al momento dell'accettazione nella piattaforma.

Documenti collegati

Contatti

404 Name Not Found srls
Via G. Randaccio 78A, 37139 Verona (VR)
P.IVA IT04899100236 · info@lexday.it
Email: info@lexday.it