Accordo sul trattamento dei dati
Per una copia controfirmata, scrivi a [email protected].
1. Oggetto
TempusLex (“Responsabile”) tratta dati personali per conto del cliente (“Titolare”) nell'ambito del servizio di calcolo dei termini processuali, gestione fascicoli e invio promemoria. Il presente DPA è parte integrante dei Termini di Servizio.
2. Natura e finalità del trattamento
Autenticare gli utenti del Titolare (avvocati e collaboratori di studio); conservare i dati dei fascicoli e delle scadenze inseriti dal Titolare; calcolare le scadenze processuali in base al registro deterministico di regole; inviare promemoria via email e ricevute; generare PDF promemoria ed esportazioni iCalendar; fornire assistenza.
3. Categorie di interessati e di dati personali
Interessati: avvocati e collaboratori del Titolare che utilizzano il Servizio; eventualmente nominativi delle parti, controinteressati e altri soggetti indicati nei fascicoli (solo se il Titolare li inserisce). Dati personali: indirizzo email, nome (facoltativo), riferimenti causa e parti inseriti nel fascicolo. Il Titolare resta responsabile della minimizzazione dei dati inseriti rispetto alla finalità di gestione delle scadenze.
4. Sub-responsabili
Consulta la pagina dei sub-responsabili per l'elenco aggiornato. Il Titolare autorizza i sub-responsabili in elenco sottoscrivendo il presente DPA; nuovi inserimenti saranno comunicati con almeno 30 giorni di preavviso, con facoltà per il Titolare di opporsi motivatamente.
5. Misure di sicurezza
- Cifratura in transito (TLS 1.2+) su tutti gli endpoint.
- Cifratura a riposo per i PDF su Cloudflare R2 e per i backup del database.
- Autenticazione tramite magic-link senza password persistenti.
- Controlli di accesso basati su ruolo per il personale interno; audit log delle modifiche amministrative.
- Backup giornalieri del database con rotazione di 90 giorni.
- Revisione annuale dello stato di sicurezza e dei sub-responsabili.
6. Diritti degli interessati
Il Responsabile assiste il Titolare nell'evasione delle richieste degli interessati. Per i dati direttamente accessibili dal Titolare (fascicoli, scadenze, anagrafica), il Titolare provvede in autonomia tramite il pannello. Per esportazioni o cancellazioni complete, scrivere a [email protected]: prime due richieste all'anno gratuite.
7. Notifica di violazione
Il Responsabile notifica al Titolare entro 48 ore dalla conoscenza di una violazione di dati personali che lo riguardi, fornendo le informazioni necessarie all'eventuale notifica al Garante ai sensi dell'art. 33 GDPR.
8. Conservazione e cancellazione
Alla cessazione del rapporto, il Responsabile mantiene i dati del Titolare accessibili in sola lettura per 30 giorni, poi li cancella o li restituisce in formato esportabile su richiesta scritta. Restano salvi gli obblighi legali di conservazione (fatturazione, contabilità: di norma 10 anni).
9. Trasferimenti internazionali
Quando i dati sono trasferiti al di fuori del SEE (es. backoffice Stripe negli USA, R2 dual-region), il Responsabile si avvale delle Clausole Contrattuali Tipo della Commissione europea (Decisione 2021/914) con i pertinenti sub-responsabili.
10. Audit
Il Responsabile fornisce, su richiesta scritta motivata, le informazioni ragionevolmente necessarie a dimostrare la conformità (architettura di sicurezza, elenco sub-responsabili aggiornato, esiti dei test). Audit on-site sono ammessi previa pianificazione con almeno 30 giorni di preavviso e a spese del Titolare, salvo casi di violazione conclamata.