IurisNovaAccordo sul Trattamento dei Dati
Data Processing Agreement (DPA) — art. 28 Reg. UE 2016/679 (GDPR)
Versione 1.0 — Ultimo aggiornamento: marzo 2025
Perché questo documento
Utilizzando IurisNova, l'avvocato (Titolare del trattamento) tratta dati personali dei propri clienti tramite la piattaforma IurisNova (Responsabile del trattamento). Il presente Accordo è richiesto dall'art. 28 GDPR e regola le condizioni di tale trattamento.
1. Parti e Definizioni
Il presente Accordo è stipulato tra:
- IurisNova (di seguito "Responsabile del Trattamento" o "RT"), fornitore della piattaforma software accessibile tramite il sito web IurisNova, contattabile all'indirizzo supporto@iurisnova.it
- L'avvocato o professionista legale che utilizza il Servizio (di seguito "Titolare del Trattamento" o "TT"), il quale agisce in qualità di titolare del trattamento dei dati personali dei propri clienti.
Ai fini del presente Accordo si intende per:
- Dati Personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, ai sensi dell'art. 4(1) GDPR.
- Trattamento: qualsiasi operazione eseguita sui Dati Personali, inclusa la raccolta, l'archiviazione, la consultazione, la modifica e la cancellazione.
- Interessati: le persone fisiche i cui dati personali vengono trattati — principalmente i clienti del Titolare (l'avvocato).
- Violazione dei dati: qualsiasi violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali.
2. Oggetto e Durata del Trattamento
Il presente Accordo disciplina il trattamento di dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'erogazione del Servizio IurisNova.
Il trattamento ha inizio al momento dell'attivazione dell'account e cessa al momento della cancellazione dell'account o della risoluzione del contratto di servizio, fatti salvi gli obblighi di conservazione previsti dalla legge.
3. Natura e Finalità del Trattamento
Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità, su istruzione documentata del Titolare:
- Analisi di documenti legali e atti caricati dal Titolare sulla piattaforma
- Elaborazione tramite intelligenza artificiale per la generazione di bozze, strategie difensive e ricerche normative
- Archiviazione temporanea dei contenuti ai fini dell'erogazione del Servizio
- Supporto tecnico e risoluzione di problemi segnalati dal Titolare
Il Responsabile non tratterà i dati personali per finalità proprie, né li utilizzerà per addestrare modelli di intelligenza artificiale senza esplicito consenso del Titolare.
4. Tipologie di Dati Personali Trattati
Il Titolare può inserire nella piattaforma le seguenti categorie di dati personali riferiti ai propri clienti e alle controparti:
- Dati anagrafici (nome, cognome, data e luogo di nascita, codice fiscale)
- Dati di contatto (indirizzo, email, numero di telefono)
- Dati relativi a procedimenti giudiziari e contenziosi (numero di causa, giudice, udienze)
- Contenuto di atti, contratti e documenti legali
- Dati di categoria speciale ai sensi dell'art. 9 GDPR (es. dati sulla salute in cause di malpractice medica, dati relativi a condanne penali in cause penali)
Attenzione: Il Titolare è responsabile di inserire nella piattaforma esclusivamente i dati strettamente necessari (principio di minimizzazione, art. 5(1)(c) GDPR) e di avere una base giuridica valida per il trattamento.
5. Categorie di Interessati
Le categorie di interessati i cui dati possono essere trattati nell'ambito del Servizio includono:
- Clienti del Titolare (persone fisiche assistite dall'avvocato)
- Controparti in procedimenti giudiziari o stragiudiziali
- Testimoni e altre parti coinvolte nei procedimenti
- Terzi citati in atti e documenti legali
6. Obblighi del Responsabile del Trattamento
IurisNova, in qualità di Responsabile del Trattamento, si impegna a:
- Istruzioni documentate: trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, informandolo immediatamente qualora ritenga che una sua istruzione violi il GDPR o altre norme applicabili.
- Riservatezza: garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette ad un adeguato obbligo legale di riservatezza.
- Misure di sicurezza: adottare tutte le misure di sicurezza appropriate ai sensi dell'art. 32 GDPR (cfr. Articolo 7).
- Sub-responsabili: ricorrere a sub-responsabili del trattamento solo alle condizioni indicate nel presente Accordo (cfr. Articolo 8).
- Assistenza al Titolare: assistere il Titolare nell'adempimento dei propri obblighi di risposta alle richieste degli interessati di esercitare i propri diritti (cfr. Articolo 9).
- Assistenza per sicurezza e conformità: assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza, notifica delle violazioni, valutazione d'impatto e consultazione preventiva.
- Cancellazione o restituzione: su scelta del Titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi (cfr. Articolo 11).
- Audit: mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR (cfr. Articolo 12).
7. Misure di Sicurezza
IurisNova adotta le seguenti misure tecniche e organizzative per proteggere i dati personali:
- Crittografia dei dati in transito (TLS 1.2+) e a riposo
- Autenticazione sicura con hashing delle password
- Accesso ai dati limitato al personale strettamente necessario
- Infrastruttura database su server Supabase (EU-West Frankfurt)
- Monitoraggio degli errori tramite Sentry (dati anonimizzati)
- Aggiornamenti di sicurezza regolari dell'infrastruttura
- Procedure di backup e ripristino dei dati
8. Sub-Responsabili del Trattamento
Il Titolare autorizza IurisNova ad avvalersi dei seguenti sub-responsabili del trattamento, con i quali IurisNova ha stipulato accordi di trattamento dati conformi all'art. 28 GDPR:
| Fornitore | Ruolo | Localizzazione |
|---|---|---|
| Supabase Inc. | Database e autenticazione | UE (Frankfurt, Germania) |
| Google LLC | Elaborazione AI (Gemini API) | USA (con SCC ex art. 46 GDPR) |
| Sentry (Functional Software Inc.) | Monitoraggio errori tecnici | USA (con SCC ex art. 46 GDPR) |
IurisNova si impegna a informare il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, offrendo al Titolare la possibilità di opporsi a tali modifiche. La notifica avverrà via email all'indirizzo associato all'account con almeno 15 giorni di anticipo.
Nota su Google Gemini API: IurisNova utilizza Google Gemini API su piano a pagamento. Google, in tale configurazione, non utilizza i dati degli utenti per addestrare i propri modelli e ha stipulato un Data Processing Agreement conforme al GDPR con Standard Contractual Clauses (SCC) per i trasferimenti extra-UE.
9. Assistenza per i Diritti degli Interessati
IurisNova assiste il Titolare nell'adempimento degli obblighi di risposta alle richieste degli interessati che esercitano i propri diritti ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
Il Titolare che riceva una richiesta da parte di un proprio cliente o di un interessato può contattare IurisNova all'indirizzo supporto@iurisnova.it per ricevere assistenza tecnica nell'esecuzione della richiesta. IurisNova risponderà entro 72 ore lavorative.
10. Notifica di Violazioni dei Dati (Data Breach)
In caso di violazione dei dati personali, IurisNova notificherà al Titolare del Trattamento la violazione senza ingiustificato ritardo e, ove possibile, entro 72 oredalla scoperta, ai sensi dell'art. 33 GDPR.
La notifica includerà, nella misura in cui le informazioni siano disponibili:
- Natura della violazione e categorie di dati e di interessati coinvolti
- Dati di contatto del referente DPO o responsabile privacy di IurisNova
- Probabili conseguenze della violazione
- Misure adottate o proposte per porre rimedio alla violazione
Spetta al Titolare valutare se notificare la violazione all'Autorità di controllo (Garante per la protezione dei dati personali) e, ove necessario, agli interessati, ai sensi degli artt. 33-34 GDPR.
11. Restituzione e Cancellazione dei Dati
Al termine del rapporto contrattuale, o su richiesta del Titolare in qualsiasi momento, IurisNova provvederà, a scelta del Titolare:
- Cancellazione: eliminazione definitiva e sicura di tutti i dati personali dei clienti del Titolare presenti sui sistemi IurisNova, entro 30 giorni dalla richiesta.
- Restituzione: fornitura di un'esportazione dei dati in formato leggibile, previo accordo tecnico sulle modalità.
La cancellazione si estende ai backup, salvo che la conservazione sia imposta da obblighi di legge, nel qual caso i dati saranno isolati e conservati per il solo tempo necessario.
12. Audit e Verifiche
IurisNova mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un revisore da questi incaricato.
Le richieste di audit devono essere trasmesse via email a supporto@iurisnova.it con un preavviso di almeno 30 giorni. Le verifiche devono essere condotte in modo da non interferire con l'operatività del Servizio e nel rispetto della riservatezza dei dati di altri clienti di IurisNova.
13. Obblighi del Titolare del Trattamento
Il Titolare del Trattamento (l'avvocato) si impegna a:
- Avere una base giuridica valida ai sensi dell'art. 6 GDPR (e, ove applicabile, art. 9 GDPR per categorie speciali) per il trattamento dei dati inseriti nella piattaforma.
- Informare i propri clienti (interessati) che i loro dati saranno trattati tramite IurisNova nell'ambito della prestazione del servizio legale, e aggiornare la propria informativa privacy di conseguenza.
- Inserire nella piattaforma esclusivamente i dati personali strettamente necessari (principio di minimizzazione dei dati).
- Non inserire dati personali di categoria speciale (dati sanitari, biometrici, relativi a condanne penali, ecc.) se non strettamente necessari per la gestione del mandato professionale.
- Mantenere riservate le proprie credenziali di accesso alla piattaforma e non condividere l'account con terzi non autorizzati.
14. Responsabilità
Ciascuna parte è responsabile del rispetto degli obblighi posti a proprio carico dal presente Accordo e dal GDPR. Il Responsabile del Trattamento è responsabile nei confronti del Titolare per i danni causati da trattamenti effettuati in violazione degli obblighi del presente Accordo o del GDPR imputabili al Responsabile stesso.
Il Titolare resta il soggetto giuridicamente responsabile del trattamento nei confronti degli interessati e delle autorità di controllo. IurisNova non è responsabile per violazioni del GDPR derivanti da istruzioni illecite impartite dal Titolare o dall'uso improprio della piattaforma.
15. Disposizioni Finali
Il presente Accordo è parte integrante dei Termini e Condizioni d'Uso di IurisNova e si applica a tutti gli utenti che utilizzano il Servizio in qualità di titolari del trattamento dei dati dei propri clienti.
Il presente Accordo è regolato dal diritto italiano e dal Regolamento (UE) 2016/679 (GDPR). Per qualsiasi controversia si applicano le disposizioni contenute nei Termini e Condizioni d'Uso relativamente alla legge applicabile e al foro competente.
IurisNova si riserva il diritto di aggiornare il presente Accordo per adeguarlo a modifiche normative o tecniche. Gli aggiornamenti saranno comunicati via email con almeno 15 giorni di anticipo. L'utilizzo continuato del Servizio dopo tale periodo costituisce accettazione delle modifiche.
Per qualsiasi questione relativa al presente Accordo o al trattamento dei dati personali, contattare: supporto@iurisnova.it