Informativa sulla privacy
Ultimo aggiornamento: 29 maggio 2026
1. Premessa
Questa informativa descrive il trattamento dei dati personali nell'ambito dell'utilizzo della piattaforma LexDay, accessibile all'indirizzo https://app.lexday.it e tramite i siti collegati. È redatta in conformità al Regolamento UE 2016/679 (GDPR) e al D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 (Codice Privacy).
LexDay è un software gestionale dedicato agli studi legali italiani: consente di organizzare pratiche, scadenze, allegati, time tracking e di analizzare automaticamente i documenti caricati per estrarre dati strutturati (parti, date, riferimenti processuali) tramite intelligenza artificiale.
La presente informativa va letta congiuntamente al Data Processing Agreement (DPA) ex art. 28 GDPR e alla Cookie Policy. I documenti formano un corpus unitario sulla gestione dei dati personali nella piattaforma.
Vi invitiamo a leggere con attenzione questa informativa prima di registrarvi al servizio e di caricare documenti.
2. Titolare del trattamento
Il titolare del trattamento è:
404 Name Not Found srls
Via G. Randaccio 78A, 37139 Verona (VR)
P.IVA IT04899100236 · info@lexday.it
Email: info@lexday.it
Alla data di pubblicazione della presente informativa, il Titolare non ha designato un Responsabile della protezione dei dati (DPO). Il Titolare monitora periodicamente la sussistenza dei presupposti di cui all'art. 37 GDPR, anche in relazione all'evoluzione del servizio, al volume dei dati trattati e alla natura dei trattamenti effettuati per conto degli utenti professionali. È disponibile a rispondere a ogni richiesta tramite i recapiti indicati.
3. Distinzione tra dati dell'utente e dati di terzi contenuti nelle pratiche
Per chiarezza è essenziale distinguere due categorie di dati personali trattati attraverso LexDay:
A. Dati personali dell'utente registrato (es. avvocato titolare di un account). Per questi dati 404 Name Not Found srls agisce in qualità di titolare del trattamento, gestendo l'account, l'abbonamento e i dati di fatturazione dell'utente.
B. Dati personali di terzi contenuti nei documenti e nelle pratiche caricate (es. parti coinvolte, controparti, periti, testimoni, dati estratti automaticamente dai documenti). Per questi dati l'utente avvocato è titolare del trattamento ai sensi del proprio incarico professionale, mentre 404 Name Not Found srls agisce esclusivamente come responsabile del trattamento (data processor) ai sensi dell'art. 28 GDPR. Il rapporto è disciplinato dal Data Processing Agreement accettato dall'utente al momento della registrazione o dell'abbonamento.
L'utente avvocato è tenuto, nei rapporti con i propri assistiti e con i soggetti i cui dati vengono caricati nella piattaforma, a fornire le informative previste dal GDPR e a individuare la propria base giuridica per il trattamento, nel rispetto del codice deontologico forense e degli obblighi di segreto professionale.
4. Tipologie di dati trattati
4.1 Dati di registrazione e account
Nome e cognome, indirizzo email, password (memorizzata mediante funzioni di hashing sicure e non reversibili, mai leggibile in chiaro), data di registrazione, preferenze di notifica, eventuale logo dello studio caricato dall'utente.
4.2 Dati di fatturazione
Solo per gli utenti che sottoscrivono un piano a pagamento: ragione sociale o intestazione, partita IVA o codice fiscale, indirizzo, codice destinatario SDI, eventuale PEC. Questi dati sono utilizzati esclusivamente per l'emissione dei documenti contabili e sincronizzati con il provider dei pagamenti.
4.3 Contenuti delle pratiche
Tutto ciò che l'utente carica o inserisce nella piattaforma: testi delle pratiche, tipo di procedimento, tribunale e numero di ruolo, parti coinvolte, scadenze, voci di time tracking, note, tag, allegati documentali (PDF, immagini, testi).
I documenti allegati possono contenere dati personali comuni, categorie particolari di dati ai sensi dell'art. 9 GDPR (quali dati relativi alla salute, alla vita familiare o ad altri aspetti sensibili) e dati relativi a condanne penali, reati o misure connesse ai sensi dell'art. 10 GDPR, a seconda della natura della pratica. Il trattamento di tali dati è effettuato per conto e su istruzioni documentate dell'utente avvocato, ai sensi del Data Processing Agreement applicabile.
4.4 Dati di pagamento
I dati di carta di credito o altri strumenti di pagamento non transitano e non sono mai memorizzati sui sistemi di LexDay: sono gestiti direttamente dal provider Stripe, certificato PCI DSS Livello 1.
4.5 Dati tecnici e di navigazione
Indirizzo IP, tipo di browser e dispositivo, pagine visitate, orario di accesso, identificativi tecnici di sessione, dati raccolti tramite cookie tecnici e (con consenso) cookie statistici o di marketing. Per il dettaglio sull'uso dei cookie si rinvia alla Cookie Policy.
5. Finalità e basi giuridiche del trattamento
| Trattamento | Base giuridica / titolo | Riferimento |
|---|---|---|
| Erogazione del servizio (account, pratiche, scadenze, allegati, time tracking) | Esecuzione del contratto con l'utente | Art. 6.1.b |
| Analisi AI dei documenti caricati | Esecuzione del contratto, con possibilità di disattivazione caso per caso | Art. 6.1.b |
| Fatturazione e adempimenti contabili | Obbligo legale | Art. 6.1.c |
| Comunicazioni di servizio (avvisi tecnici, notifiche di sicurezza, modifiche al servizio) | Esecuzione del contratto e legittimo interesse | Art. 6.1.b e 6.1.f |
| Misurazioni di traffico e statistiche aggregate (strumenti analitici non tecnici) | Consenso dell'interessato | Art. 6.1.a |
| Trattamento dei dati personali contenuti nelle pratiche | Trattamento effettuato da 404 Name Not Found srls in qualità di responsabile del trattamento, su istruzioni documentate dell'utente avvocato | Art. 28 GDPR |
La base giuridica del trattamento dei dati personali contenuti nelle pratiche è individuata dall'utente professionale, in qualità di titolare del trattamento, nell'ambito del rapporto con i propri clienti, assistiti o altri interessati coinvolti. LexDay non determina autonomamente né le finalità né i mezzi del trattamento di tali dati.
6. Sezione speciale: analisi AI dei documenti
Considerata la sensibilità del tema per gli studi legali, dedichiamo una sezione specifica all'analisi automatica dei documenti tramite intelligenza artificiale.
6.1 Come funziona
Quando l'utente carica un documento e l'analisi automatica è attiva per quella pratica, il file (o le sue parti rilevanti) viene trasmesso al provider AI Anthropic PBC, una società statunitense che fornisce modelli linguistici accessibili tramite API. L'AI analizza il testo e restituisce a LexDay i dati strutturati estratti (es. nome delle parti, date di udienza, codici fiscali, riferimenti normativi), che vengono inseriti nella scheda della pratica.
6.2 Garanzie contrattuali con Anthropic
404 Name Not Found srls si avvale dei servizi Anthropic alle condizioni dei Commercial Terms, che incorporano il Data Processing Addendum (DPA) conforme al GDPR e le Clausole Contrattuali Standard approvate dalla Commissione Europea. Secondo la documentazione contrattuale applicabile ai servizi API commerciali:
- Anthropic non utilizza i dati trasmessi tramite API per addestrare i propri modelli.
- I dati possono essere conservati da Anthropic per un periodo limitato per finalità di sicurezza, prevenzione abusi e funzionamento del servizio, secondo quanto previsto dal DPA e dalla documentazione contrattuale vigente.
- L'accesso ai dati durante il periodo di conservazione è limitato al personale autorizzato e soggetto a misure di sicurezza, audit interni e controlli SOC 2.
- I dati in transito sono protetti tramite crittografia TLS; i dati a riposo sono cifrati secondo gli standard del fornitore.
- Anthropic si è impegnata contrattualmente a notificare eventuali violazioni di sicurezza entro i termini previsti dal DPA.
Per la versione integrale e aggiornata del DPA Anthropic, si rinvia alla documentazione pubblicata dal fornitore.
6.3 Possibilità di disattivare l'analisi AI per la singola pratica
Per ogni pratica l'utente può disattivare l'analisi AI tramite l'apposito interruttore "Analisi AI" presente nella scheda della pratica. Quando l'analisi è disattivata, i documenti caricati in quella pratica non vengono inviati ad Anthropic: rimangono esclusivamente nei sistemi LexDay (Supabase, regione Irlanda) e sono accessibili solo all'utente che li ha caricati e ai membri del suo studio. L'estrazione manuale dei dati resta disponibile.
6.4 Responsabilità professionale dell'utente
L'utente professionale è tenuto a valutare, sotto la propria responsabilità, se l'utilizzo dell'analisi AI sia compatibile con gli obblighi di riservatezza, segreto professionale, mandato ricevuto e normativa deontologica applicabile, anche in relazione alla natura dei documenti caricati e alla sensibilità dei dati in essi contenuti.
6.5 Cosa l'AI non fa
Alla data di pubblicazione della presente informativa, l'analisi AI è limitata all'estrazione di dati strutturati e alla classificazione di informazioni contenute nei documenti caricati dall'utente. Non è utilizzata per assumere decisioni automatizzate produttive di effetti giuridici o analogamente significativi sugli interessati ai sensi dell'art. 22 GDPR. L'avvocato resta l'unico responsabile delle decisioni professionali, dei contenuti prodotti e della verifica dei dati estratti.
Eventuali ampliamenti delle funzionalità AI (es. generazione di contenuti, riassunti automatici, suggerimenti) comporteranno aggiornamento tempestivo della presente informativa.
7. Sub-fornitori (sub-processor)
Per erogare il servizio, 404 Name Not Found srls si avvale dei seguenti fornitori, ciascuno legato da un contratto di trattamento conforme al GDPR:
| Fornitore | Funzione | Configurazione e sede | Trasferimento extra-UE |
|---|---|---|---|
| Supabase | Database PostgreSQL e archivio documenti | Database e storage configurati in regione UE (eu-west-1, Irlanda), salvo eventuali trattamenti tecnici o di supporto previsti dalla documentazione contrattuale del fornitore | DPA con SCC, valutazione documentata |
| Vercel | Hosting applicazione, edge runtime e CDN | Edge globale; servizi tecnici di hosting e distribuzione | DPA con SCC |
| Anthropic | Analisi AI dei documenti (solo se attivata per la pratica) | Servizi API commerciali con processing multi-regione | DPA con SCC, valutazione documentata |
| Stripe | Gestione pagamenti e fatturazione | Trattamento internazionale; PCI DSS | DPF, SCC, DPA |
| Resend | Invio email transazionali (inviti, notifiche) | Secondo documentazione del fornitore | DPA con SCC |
| Google (Tag Manager) | Contenitore di tag tecnici ed eventuali strumenti analitici/marketing previo consenso | Server USA | DPA con SCC e Data Privacy Framework UE-USA |
L'elenco completo e aggiornato dei sub-fornitori è disponibile su richiesta scrivendo a info@lexday.it. Eventuali nuovi sub-fornitori o sostituzioni saranno comunicati con un preavviso ragionevole agli utenti tramite email o avviso in piattaforma, lasciando agli stessi la possibilità di formulare obiezioni motivate secondo quanto previsto dal Data Processing Agreement.
8. Trasferimenti extra-UE
I dati personali sono trattati prevalentemente all'interno dell'Unione Europea (Irlanda, per quanto riguarda Supabase). Alcuni sub-fornitori comportano trasferimenti verso gli Stati Uniti o altre giurisdizioni extra-UE (in particolare Anthropic, Stripe, Google).
Per i trasferimenti verso paesi extra-UE, il Titolare si avvale, ove necessario, delle Clausole Contrattuali Standard approvate dalla Commissione Europea e svolge le valutazioni richieste dalla normativa applicabile (Transfer Impact Assessment), anche in relazione alle misure tecniche e organizzative adottate dai fornitori (crittografia, controllo degli accessi, minimizzazione dei dati, eventuale pseudonimizzazione). La documentazione delle valutazioni è disponibile su richiesta dell'interessato o dell'utente titolare nei limiti consentiti dalla riservatezza commerciale.
9. Tempi di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di registrazione e account | Per tutta la durata del rapporto contrattuale |
| Contenuti delle pratiche (dopo cessazione dell'account o disdetta del piano) | Conservati per 180 giorni dalla cessazione, durante i quali l'utente può esportare o richiedere la cancellazione. Decorso tale termine i dati saranno cancellati o anonimizzati, salvo obblighi di legge o esigenze di tutela dei diritti del Titolare |
| Dati di fatturazione | 10 anni dall'emissione del documento (art. 2220 c.c. e normativa fiscale) |
| Log tecnici applicativi (accessi, eventi sistema) | Massimo 30 giorni |
| Backup dei dati operativi | Massimo 30 giorni |
| Log presso Anthropic (analisi AI) | Periodo limitato secondo DPA Anthropic in essere |
| Cookie tecnici | Durata della sessione |
| Cookie statistici o di marketing (con consenso) | Massimo 13 mesi, salvo durata inferiore configurata dal fornitore o dal Titolare |
10. Modalità del trattamento e misure di sicurezza
Il trattamento è effettuato con strumenti elettronici e con l'adozione di misure tecniche e organizzative adeguate, fra cui: comunicazioni protette da TLS 1.2 o superiore; cifratura dei dati a riposo presso i fornitori cloud; hashing delle password tramite funzioni crittografiche sicure e non reversibili; controllo degli accessi basato sul principio del minimo privilegio; autenticazione multi-fattore per gli accessi amministrativi; backup periodici e procedure di disaster recovery; monitoraggio degli accessi anomali e tracciamento degli eventi rilevanti; selezione di fornitori con certificazioni di sicurezza (SOC 2, ISO 27001, PCI DSS dove applicabile); valutazioni periodiche di rischio e, ove necessario, valutazioni d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR.
In caso di violazione di sicurezza che comporti un rischio per i diritti e le libertà degli interessati, 404 Name Not Found srls notificherà l'evento al Garante della privacy entro 72 ore dalla conoscenza e, ove previsto, comunicherà l'evento agli interessati senza ingiustificato ritardo.
11. Diritti dell'interessato
11.1 Diritti degli utenti registrati
In qualunque momento è possibile esercitare i seguenti diritti previsti dal GDPR sui propri dati di account: diritto di accesso (art. 15); diritto di rettifica (art. 16); diritto alla cancellazione (art. 17); diritto di limitazione (art. 18); diritto alla portabilità (art. 20); diritto di opposizione (art. 21); diritto di non essere sottoposto a decisioni automatizzate (art. 22, non sussistenti in LexDay); diritto di revocare il consenso ove il trattamento si fondi sul consenso, senza pregiudizio per il trattamento effettuato prima della revoca.
Le richieste possono essere inoltrate scrivendo a info@lexday.it. Risponderemo entro 30 giorni, salvo casi di complessità che richiedano una proroga (con comunicazione preventiva).
11.2 Diritti dei terzi interessati i cui dati sono contenuti nelle pratiche
Per i dati personali contenuti nelle pratiche caricate dagli utenti professionali, 404 Name Not Found srls opera quale responsabile del trattamento e non determina autonomamente i mezzi e le finalità del trattamento. Eventuali richieste di esercizio dei diritti GDPR provenienti da interessati diversi dall'utente registrato saranno, ove possibile, inoltrate all'utente titolare del trattamento competente, ai sensi del Data Processing Agreement, salvo obblighi di legge che impongano una risposta diretta. L'interessato è invitato a rivolgersi direttamente all'avvocato/studio che gestisce la pratica.
11.3 Reclamo all'Autorità di controllo
È sempre riconosciuto il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) o ad altra autorità di controllo competente nello Stato membro di residenza.
12. Cookie
L'utilizzo di cookie sul sito e sulla piattaforma è descritto in dettaglio nella Cookie Policy. Al primo accesso viene mostrato un banner che consente di accettare, rifiutare o personalizzare l'uso dei cookie non strettamente necessari. Gli strumenti di tracciamento non tecnici sono attivati esclusivamente previo consenso dell'interessato, in conformità al provvedimento del Garante sui cookie del 10 giugno 2021.
13. Modifiche
Questa informativa può essere aggiornata in caso di modifiche al servizio, ai sub-fornitori, alle funzionalità AI o alla normativa applicabile. Le versioni precedenti restano consultabili su richiesta. Gli aggiornamenti rilevanti saranno comunicati agli utenti registrati tramite email o avviso nella piattaforma con ragionevole preavviso.
14. Documenti collegati
15. Contatti
404 Name Not Found srls
Via G. Randaccio 78A, 37139 Verona (VR)
P.IVA IT04899100236 · info@lexday.it
Email: info@lexday.it
