Privacy SaaS

Informativa privacy specifica per l’uso del portale SaaS LexAura da parte di studi legali, professionisti e utenti autorizzati dai tenant clienti.

1. Ambito della presente informativa

Questa informativa riguarda l’uso operativo di LexAura come piattaforma SaaS: accesso all’area riservata, gestione tenant, documenti, fascicoli, analisi, drafting, knowledge base, scadenze e funzionalità AI.

Il sito corporate NexStudio ha informative privacy e cookie dedicate ai visitatori del sito, ai contatti commerciali e alle richieste demo. Per LexAura prevalgono questa informativa, i termini SaaS, il DPA e gli eventuali accordi contrattuali sottoscritti con il cliente.

2. Ruoli privacy

Nel contesto del tenant LexAura, lo studio legale o l’organizzazione cliente determina normalmente finalità e mezzi del trattamento dei dati caricati nel proprio ambiente e agisce come Titolare del trattamento.

NexStudio/LexAura opera normalmente come Responsabile del trattamento per i dati trattati nel tenant, secondo il contratto, il DPA e le istruzioni documentate del cliente.

NexStudio può agire come Titolare autonomo per trattamenti propri e limitati, come sicurezza infrastrutturale, prevenzione abusi, gestione account amministrativi, metriche aggregate non riconducibili al singolo interessato, adempimenti legali e tutela dei propri diritti.

3. Categorie di dati trattati

LexAura può trattare le seguenti categorie di dati, in base alle funzioni utilizzate dal tenant:

• dati account e profilo degli utenti autorizzati, come nome, email, ruolo, tenant e identificativi di autenticazione;
• dati tecnici e di sicurezza, come log, timestamp, indirizzi IP, sessioni, eventi di audit e operazioni rilevanti;
• dati organizzativi del tenant, come clienti, pratiche, fascicoli, staff, permessi e configurazioni;
• documenti, testi, metadati, allegati, bozze, note operative e output generati o caricati dagli utenti;
• dati personali di clienti dello studio, controparti, testimoni, consulenti, soggetti coinvolti nei fascicoli e altri terzi presenti nei documenti;
• dati giudiziari e, se presenti nei documenti caricati, categorie particolari di dati ai sensi del GDPR.

Il cliente è responsabile di caricare nel tenant solo dati pertinenti, necessari e trattati su adeguata base giuridica.

4. Finalità del trattamento

I dati sono trattati per:

• erogare il servizio SaaS LexAura e consentire l’accesso agli utenti autorizzati;
• archiviare, organizzare, ricercare e consultare documenti e fascicoli del tenant;
• fornire analisi, sintesi, drafting, comparazione, knowledge search, scadenziario e altre funzionalità operative;
• gestire sicurezza, audit, prevenzione abusi, continuità del servizio e supporto tecnico;
• adempiere obblighi contrattuali, amministrativi, fiscali o legali;
• migliorare affidabilità, qualità e sicurezza del servizio nei limiti consentiti dal contratto e dalla normativa.

5. Funzionalità AI e dati del tenant

Le funzionalità AI possono trattare documenti, estratti di testo, prompt, metadati e output necessari a generare analisi, bozze, ricerche semantiche, classificazioni o suggerimenti operativi.

Gli output AI sono strumenti di supporto e devono essere verificati dal professionista prima dell’uso. Per maggiori dettagli sui limiti e sull’uso responsabile dell’intelligenza artificiale, consulta l’AI Disclaimer.

Salvo diversa previsione contrattuale o istruzione documentata, i dati del cliente non sono utilizzati per addestrare modelli generalisti esterni.

6. Base giuridica

Per i dati trattati nel tenant come Responsabile, la base giuridica è determinata dal cliente Titolare, che impartisce istruzioni a NexStudio/LexAura tramite contratto, DPA e configurazioni del servizio.

Per i trattamenti in cui NexStudio opera come Titolare autonomo, le basi giuridiche possono includere esecuzione del contratto, adempimento di obblighi legali, legittimo interesse alla sicurezza e alla prevenzione abusi, tutela dei diritti e gestione del rapporto commerciale.

7. Sicurezza e segregazione dei dati

LexAura adotta misure tecniche e organizzative proporzionate al rischio, tra cui:

• autenticazione tramite provider OAuth e gestione sicura delle sessioni;
• controlli di accesso per tenant, utente e ruolo;
• segregazione logica dei dati tra tenant;
• trasmissione cifrata tramite HTTPS/TLS;
• logging e audit trail delle operazioni rilevanti ove previsto;
• misure di backup, continuità operativa e gestione incidenti in funzione dell’architettura e del piano di servizio.

Ulteriori dettagli sono disponibili nella pagina Sicurezza e dati.

8. Fornitori e sub-responsabili

Per erogare LexAura possono essere utilizzati fornitori infrastrutturali e applicativi, inclusi servizi cloud, storage, database, autenticazione, pagamenti, monitoraggio, comunicazione e AI.

Quando tali fornitori trattano dati personali per conto del cliente, sono inquadrati come sub-responsabili ove applicabile. L’elenco aggiornato dei fornitori rilevanti può essere reso disponibile nei canali contrattuali o su richiesta, secondo quanto previsto dal DPA.

9. Trasferimenti internazionali

Alcuni fornitori o trattamenti possono comportare trasferimenti di dati fuori dallo Spazio Economico Europeo. Quando richiesto, tali trasferimenti avvengono sulla base di garanzie adeguate, come clausole contrattuali standard, misure tecniche e organizzative supplementari o altri strumenti riconosciuti dalla normativa applicabile.

10. Conservazione dei dati

I dati del tenant sono conservati per la durata del rapporto contrattuale e secondo le impostazioni del servizio, il DPA, le istruzioni del cliente e gli obblighi legali applicabili.

Alla cessazione del rapporto, dati e documenti possono essere esportati, restituiti, conservati per tempi tecnici o cancellati secondo contratto, obblighi normativi, backup e istruzioni documentate del cliente.

11. Diritti degli interessati

Per i dati contenuti nei tenant LexAura, il primo punto di contatto per l’esercizio dei diritti privacy è normalmente il cliente Titolare, ad esempio lo studio legale che utilizza il servizio.

NexStudio/LexAura, in qualità di Responsabile, supporta il cliente nella gestione delle richieste degli interessati nei limiti tecnici e contrattuali previsti.

Per i trattamenti in cui NexStudio opera come Titolare autonomo, le richieste possono essere inviate tramite i canali privacy indicati nei documenti contrattuali, nel portale corporate NexStudio o nelle comunicazioni ufficiali.

12. Aggiornamenti

La presente informativa può essere aggiornata per evoluzioni del servizio, modifiche normative, cambiamenti organizzativi o introduzione di nuove funzionalità. La versione aggiornata sarà pubblicata su questa pagina.