Informativa sulla privacy

Ultimo aggiornamento: 29 maggio 2026

1. Premessa

Questa informativa descrive il trattamento dei dati personali nell'ambito dell'utilizzo della piattaforma LexDay, accessibile all'indirizzo https://app.lexday.it e tramite i siti collegati. È redatta in conformità al Regolamento UE 2016/679 (GDPR) e al D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 (Codice Privacy).

LexDay è un software gestionale dedicato agli studi legali italiani: consente di organizzare pratiche, scadenze, allegati, time tracking e di analizzare automaticamente i documenti caricati per estrarre dati strutturati (parti, date, riferimenti processuali) tramite intelligenza artificiale.

La presente informativa va letta congiuntamente al Data Processing Agreement (DPA) ex art. 28 GDPR e alla Cookie Policy. I documenti formano un corpus unitario sulla gestione dei dati personali nella piattaforma.

Vi invitiamo a leggere con attenzione questa informativa prima di registrarvi al servizio e di caricare documenti.

2. Titolare del trattamento

Il titolare del trattamento è:

404 Name Not Found srls
Via G. Randaccio 78A, 37139 Verona (VR)
P.IVA IT04899100236 · info@lexday.it
Email: info@lexday.it

Alla data di pubblicazione della presente informativa, il Titolare non ha designato un Responsabile della protezione dei dati (DPO). Il Titolare monitora periodicamente la sussistenza dei presupposti di cui all'art. 37 GDPR, anche in relazione all'evoluzione del servizio, al volume dei dati trattati e alla natura dei trattamenti effettuati per conto degli utenti professionali. È disponibile a rispondere a ogni richiesta tramite i recapiti indicati.

3. Distinzione tra dati dell'utente e dati di terzi contenuti nelle pratiche

Per chiarezza è essenziale distinguere due categorie di dati personali trattati attraverso LexDay:

A. Dati personali dell'utente registrato (es. avvocato titolare di un account). Per questi dati 404 Name Not Found srls agisce in qualità di titolare del trattamento, gestendo l'account, l'abbonamento e i dati di fatturazione dell'utente.

B. Dati personali di terzi contenuti nei documenti e nelle pratiche caricate (es. parti coinvolte, controparti, periti, testimoni, dati estratti automaticamente dai documenti). Per questi dati l'utente avvocato è titolare del trattamento ai sensi del proprio incarico professionale, mentre 404 Name Not Found srls agisce esclusivamente come responsabile del trattamento (data processor) ai sensi dell'art. 28 GDPR. Il rapporto è disciplinato dal Data Processing Agreement accettato dall'utente al momento della registrazione o dell'abbonamento.

L'utente avvocato è tenuto, nei rapporti con i propri assistiti e con i soggetti i cui dati vengono caricati nella piattaforma, a fornire le informative previste dal GDPR e a individuare la propria base giuridica per il trattamento, nel rispetto del codice deontologico forense e degli obblighi di segreto professionale.

4. Tipologie di dati trattati

4.1 Dati di registrazione e account

Nome e cognome, indirizzo email, password (memorizzata mediante funzioni di hashing sicure e non reversibili, mai leggibile in chiaro), data di registrazione, preferenze di notifica, eventuale logo dello studio caricato dall'utente.

4.2 Dati di fatturazione

Solo per gli utenti che sottoscrivono un piano a pagamento: ragione sociale o intestazione, partita IVA o codice fiscale, indirizzo, codice destinatario SDI, eventuale PEC. Questi dati sono utilizzati esclusivamente per l'emissione dei documenti contabili e sincronizzati con il provider dei pagamenti.

4.3 Contenuti delle pratiche

Tutto ciò che l'utente carica o inserisce nella piattaforma: testi delle pratiche, tipo di procedimento, tribunale e numero di ruolo, parti coinvolte, scadenze, voci di time tracking, note, tag, allegati documentali (PDF, immagini, testi).

I documenti allegati possono contenere dati personali comuni, categorie particolari di dati ai sensi dell'art. 9 GDPR (quali dati relativi alla salute, alla vita familiare o ad altri aspetti sensibili) e dati relativi a condanne penali, reati o misure connesse ai sensi dell'art. 10 GDPR, a seconda della natura della pratica. Il trattamento di tali dati è effettuato per conto e su istruzioni documentate dell'utente avvocato, ai sensi del Data Processing Agreement applicabile.

4.4 Dati di pagamento

I dati di carta di credito o altri strumenti di pagamento non transitano e non sono mai memorizzati sui sistemi di LexDay: sono gestiti direttamente dal provider Stripe, certificato PCI DSS Livello 1.

4.5 Dati tecnici e di navigazione

Indirizzo IP, tipo di browser e dispositivo, pagine visitate, orario di accesso, identificativi tecnici di sessione, dati raccolti tramite cookie tecnici e (con consenso) cookie statistici o di marketing. Per il dettaglio sull'uso dei cookie si rinvia alla Cookie Policy.

5. Finalità e basi giuridiche del trattamento

TrattamentoBase giuridica / titoloRiferimento
Erogazione del servizio (account, pratiche, scadenze, allegati, time tracking)Esecuzione del contratto con l'utenteArt. 6.1.b
Analisi AI dei documenti caricatiEsecuzione del contratto, con possibilità di disattivazione caso per casoArt. 6.1.b
Fatturazione e adempimenti contabiliObbligo legaleArt. 6.1.c
Comunicazioni di servizio (avvisi tecnici, notifiche di sicurezza, modifiche al servizio)Esecuzione del contratto e legittimo interesseArt. 6.1.b e 6.1.f
Misurazioni di traffico e statistiche aggregate (strumenti analitici non tecnici)Consenso dell'interessatoArt. 6.1.a
Trattamento dei dati personali contenuti nelle praticheTrattamento effettuato da 404 Name Not Found srls in qualità di responsabile del trattamento, su istruzioni documentate dell'utente avvocatoArt. 28 GDPR

La base giuridica del trattamento dei dati personali contenuti nelle pratiche è individuata dall'utente professionale, in qualità di titolare del trattamento, nell'ambito del rapporto con i propri clienti, assistiti o altri interessati coinvolti. LexDay non determina autonomamente né le finalità né i mezzi del trattamento di tali dati.

6. Sezione speciale: analisi AI dei documenti

Considerata la sensibilità del tema per gli studi legali, dedichiamo una sezione specifica all'analisi automatica dei documenti tramite intelligenza artificiale.

6.1 Come funziona

Quando l'utente carica un documento e l'analisi automatica è attiva per quella pratica, il file (o le sue parti rilevanti) viene trasmesso al provider AI Anthropic PBC, una società statunitense che fornisce modelli linguistici accessibili tramite API. L'AI analizza il testo e restituisce a LexDay i dati strutturati estratti (es. nome delle parti, date di udienza, codici fiscali, riferimenti normativi), che vengono inseriti nella scheda della pratica.

6.2 Garanzie contrattuali con Anthropic

404 Name Not Found srls si avvale dei servizi Anthropic alle condizioni dei Commercial Terms, che incorporano il Data Processing Addendum (DPA) conforme al GDPR e le Clausole Contrattuali Standard approvate dalla Commissione Europea. Secondo la documentazione contrattuale applicabile ai servizi API commerciali:

  • Anthropic non utilizza i dati trasmessi tramite API per addestrare i propri modelli.
  • I dati possono essere conservati da Anthropic per un periodo limitato per finalità di sicurezza, prevenzione abusi e funzionamento del servizio, secondo quanto previsto dal DPA e dalla documentazione contrattuale vigente.
  • L'accesso ai dati durante il periodo di conservazione è limitato al personale autorizzato e soggetto a misure di sicurezza, audit interni e controlli SOC 2.
  • I dati in transito sono protetti tramite crittografia TLS; i dati a riposo sono cifrati secondo gli standard del fornitore.
  • Anthropic si è impegnata contrattualmente a notificare eventuali violazioni di sicurezza entro i termini previsti dal DPA.

Per la versione integrale e aggiornata del DPA Anthropic, si rinvia alla documentazione pubblicata dal fornitore.

6.3 Possibilità di disattivare l'analisi AI per la singola pratica

Per ogni pratica l'utente può disattivare l'analisi AI tramite l'apposito interruttore "Analisi AI" presente nella scheda della pratica. Quando l'analisi è disattivata, i documenti caricati in quella pratica non vengono inviati ad Anthropic: rimangono esclusivamente nei sistemi LexDay (Supabase, regione Irlanda) e sono accessibili solo all'utente che li ha caricati e ai membri del suo studio. L'estrazione manuale dei dati resta disponibile.

6.4 Responsabilità professionale dell'utente

L'utente professionale è tenuto a valutare, sotto la propria responsabilità, se l'utilizzo dell'analisi AI sia compatibile con gli obblighi di riservatezza, segreto professionale, mandato ricevuto e normativa deontologica applicabile, anche in relazione alla natura dei documenti caricati e alla sensibilità dei dati in essi contenuti.

6.5 Cosa l'AI non fa

Alla data di pubblicazione della presente informativa, l'analisi AI è limitata all'estrazione di dati strutturati e alla classificazione di informazioni contenute nei documenti caricati dall'utente. Non è utilizzata per assumere decisioni automatizzate produttive di effetti giuridici o analogamente significativi sugli interessati ai sensi dell'art. 22 GDPR. L'avvocato resta l'unico responsabile delle decisioni professionali, dei contenuti prodotti e della verifica dei dati estratti.

Eventuali ampliamenti delle funzionalità AI (es. generazione di contenuti, riassunti automatici, suggerimenti) comporteranno aggiornamento tempestivo della presente informativa.

7. Sub-fornitori (sub-processor)

Per erogare il servizio, 404 Name Not Found srls si avvale dei seguenti fornitori, ciascuno legato da un contratto di trattamento conforme al GDPR:

FornitoreFunzioneConfigurazione e sedeTrasferimento extra-UE
SupabaseDatabase PostgreSQL e archivio documentiDatabase e storage configurati in regione UE (eu-west-1, Irlanda), salvo eventuali trattamenti tecnici o di supporto previsti dalla documentazione contrattuale del fornitoreDPA con SCC, valutazione documentata
VercelHosting applicazione, edge runtime e CDNEdge globale; servizi tecnici di hosting e distribuzioneDPA con SCC
AnthropicAnalisi AI dei documenti (solo se attivata per la pratica)Servizi API commerciali con processing multi-regioneDPA con SCC, valutazione documentata
StripeGestione pagamenti e fatturazioneTrattamento internazionale; PCI DSSDPF, SCC, DPA
ResendInvio email transazionali (inviti, notifiche)Secondo documentazione del fornitoreDPA con SCC
Google (Tag Manager)Contenitore di tag tecnici ed eventuali strumenti analitici/marketing previo consensoServer USADPA con SCC e Data Privacy Framework UE-USA

L'elenco completo e aggiornato dei sub-fornitori è disponibile su richiesta scrivendo a info@lexday.it. Eventuali nuovi sub-fornitori o sostituzioni saranno comunicati con un preavviso ragionevole agli utenti tramite email o avviso in piattaforma, lasciando agli stessi la possibilità di formulare obiezioni motivate secondo quanto previsto dal Data Processing Agreement.

8. Trasferimenti extra-UE

I dati personali sono trattati prevalentemente all'interno dell'Unione Europea (Irlanda, per quanto riguarda Supabase). Alcuni sub-fornitori comportano trasferimenti verso gli Stati Uniti o altre giurisdizioni extra-UE (in particolare Anthropic, Stripe, Google).

Per i trasferimenti verso paesi extra-UE, il Titolare si avvale, ove necessario, delle Clausole Contrattuali Standard approvate dalla Commissione Europea e svolge le valutazioni richieste dalla normativa applicabile (Transfer Impact Assessment), anche in relazione alle misure tecniche e organizzative adottate dai fornitori (crittografia, controllo degli accessi, minimizzazione dei dati, eventuale pseudonimizzazione). La documentazione delle valutazioni è disponibile su richiesta dell'interessato o dell'utente titolare nei limiti consentiti dalla riservatezza commerciale.

9. Tempi di conservazione

Categoria di datiPeriodo di conservazione
Dati di registrazione e accountPer tutta la durata del rapporto contrattuale
Contenuti delle pratiche (dopo cessazione dell'account o disdetta del piano)Conservati per 180 giorni dalla cessazione, durante i quali l'utente può esportare o richiedere la cancellazione. Decorso tale termine i dati saranno cancellati o anonimizzati, salvo obblighi di legge o esigenze di tutela dei diritti del Titolare
Dati di fatturazione10 anni dall'emissione del documento (art. 2220 c.c. e normativa fiscale)
Log tecnici applicativi (accessi, eventi sistema)Massimo 30 giorni
Backup dei dati operativiMassimo 30 giorni
Log presso Anthropic (analisi AI)Periodo limitato secondo DPA Anthropic in essere
Cookie tecniciDurata della sessione
Cookie statistici o di marketing (con consenso)Massimo 13 mesi, salvo durata inferiore configurata dal fornitore o dal Titolare

10. Modalità del trattamento e misure di sicurezza

Il trattamento è effettuato con strumenti elettronici e con l'adozione di misure tecniche e organizzative adeguate, fra cui: comunicazioni protette da TLS 1.2 o superiore; cifratura dei dati a riposo presso i fornitori cloud; hashing delle password tramite funzioni crittografiche sicure e non reversibili; controllo degli accessi basato sul principio del minimo privilegio; autenticazione multi-fattore per gli accessi amministrativi; backup periodici e procedure di disaster recovery; monitoraggio degli accessi anomali e tracciamento degli eventi rilevanti; selezione di fornitori con certificazioni di sicurezza (SOC 2, ISO 27001, PCI DSS dove applicabile); valutazioni periodiche di rischio e, ove necessario, valutazioni d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR.

In caso di violazione di sicurezza che comporti un rischio per i diritti e le libertà degli interessati, 404 Name Not Found srls notificherà l'evento al Garante della privacy entro 72 ore dalla conoscenza e, ove previsto, comunicherà l'evento agli interessati senza ingiustificato ritardo.

11. Diritti dell'interessato

11.1 Diritti degli utenti registrati

In qualunque momento è possibile esercitare i seguenti diritti previsti dal GDPR sui propri dati di account: diritto di accesso (art. 15); diritto di rettifica (art. 16); diritto alla cancellazione (art. 17); diritto di limitazione (art. 18); diritto alla portabilità (art. 20); diritto di opposizione (art. 21); diritto di non essere sottoposto a decisioni automatizzate (art. 22, non sussistenti in LexDay); diritto di revocare il consenso ove il trattamento si fondi sul consenso, senza pregiudizio per il trattamento effettuato prima della revoca.

Le richieste possono essere inoltrate scrivendo a info@lexday.it. Risponderemo entro 30 giorni, salvo casi di complessità che richiedano una proroga (con comunicazione preventiva).

11.2 Diritti dei terzi interessati i cui dati sono contenuti nelle pratiche

Per i dati personali contenuti nelle pratiche caricate dagli utenti professionali, 404 Name Not Found srls opera quale responsabile del trattamento e non determina autonomamente i mezzi e le finalità del trattamento. Eventuali richieste di esercizio dei diritti GDPR provenienti da interessati diversi dall'utente registrato saranno, ove possibile, inoltrate all'utente titolare del trattamento competente, ai sensi del Data Processing Agreement, salvo obblighi di legge che impongano una risposta diretta. L'interessato è invitato a rivolgersi direttamente all'avvocato/studio che gestisce la pratica.

11.3 Reclamo all'Autorità di controllo

È sempre riconosciuto il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) o ad altra autorità di controllo competente nello Stato membro di residenza.

12. Cookie

L'utilizzo di cookie sul sito e sulla piattaforma è descritto in dettaglio nella Cookie Policy. Al primo accesso viene mostrato un banner che consente di accettare, rifiutare o personalizzare l'uso dei cookie non strettamente necessari. Gli strumenti di tracciamento non tecnici sono attivati esclusivamente previo consenso dell'interessato, in conformità al provvedimento del Garante sui cookie del 10 giugno 2021.

13. Modifiche

Questa informativa può essere aggiornata in caso di modifiche al servizio, ai sub-fornitori, alle funzionalità AI o alla normativa applicabile. Le versioni precedenti restano consultabili su richiesta. Gli aggiornamenti rilevanti saranno comunicati agli utenti registrati tramite email o avviso nella piattaforma con ragionevole preavviso.

14. Documenti collegati

15. Contatti

404 Name Not Found srls
Via G. Randaccio 78A, 37139 Verona (VR)
P.IVA IT04899100236 · info@lexday.it
Email: info@lexday.it