Privacy Policy
Versione 1.0 · in vigore dal 25 maggio 2026
LexNova è uno strumento professionale per avvocati italiani. Trattiamo dati sensibili nel rispetto del Regolamento UE 2016/679 (GDPR), del D.Lgs. 196/2003 aggiornato e del segreto professionale ex art. 622 c.p.
1. Titolare del trattamento
Il Titolare del trattamento è LexNova (di seguito anche "LexNova", "noi"), con sede legale in Italia. Per qualunque richiesta relativa ai tuoi dati personali puoi contattarci all'indirizzo [email protected].
2. Dati che raccogliamo
2.1 — Dati di account
- Email: per l'identificazione e le comunicazioni di servizio.
- Password: memorizzata esclusivamente come hash Argon2 con sale. Non possiamo recuperarla o leggerla.
- Dati anagrafici dell'avvocato (solo per LexNova Studio): nome, cognome, foro, n. iscrizione Ordine, anno di iscrizione, dimensione studio.
2.2 — Contenuti caricati
- Documenti (atti, sentenze, contratti, ecc.) e relativi metadati.
- Anagrafica clienti e controparti dello Studio.
- Pratiche, scadenze, note, chat con l'AI sui documenti.
- Cifratura end-to-end: tutti i contenuti sensibili sono cifrati AES-256 con master key derivata dalla tua password tramite PBKDF2-HMAC-SHA256 (600.000 iterazioni). Nessun dipendente o sub-fornitore può leggerli in chiaro.
2.3 — Dati tecnici
- Indirizzo IP, user-agent del browser, timestamp di accesso.
- Log di sistema per sicurezza e diagnostica (conservati 90 giorni).
- Cookie tecnici di sessione (HTTPOnly, Secure, SameSite=Lax). Non utilizziamo cookie di profilazione.
3. Finalità del trattamento
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio (account, analisi AI, gestione pratiche) | Esecuzione del contratto (art. 6.1.b GDPR) | Durata abbonamento + 30 giorni |
| Sicurezza, fraud detection, diagnostica | Legittimo interesse (art. 6.1.f GDPR) | 90 giorni dai log |
| Fatturazione e adempimenti fiscali | Obbligo di legge (art. 6.1.c GDPR) | 10 anni (art. 2220 c.c.) |
| Comunicazioni di servizio (modifiche, sicurezza, scadenze) | Esecuzione del contratto | Durata account |
| Marketing su prodotti correlati (newsletter, novità) | Consenso esplicito e revocabile (art. 6.1.a GDPR) | Fino a revoca |
4. Destinatari e responsabili esterni (sub-processor)
I tuoi dati possono essere trattati da fornitori selezionati esclusivamente per le finalità sopra indicate, sulla base di accordi conformi all'art. 28 GDPR:
| Fornitore | Funzione | Localizzazione |
|---|---|---|
| Cloudflare, Inc. | Storage cifrato (R2), CDN, protezione DDoS | UE / EEA |
| Anthropic PBC | Modelli AI (Claude) per analisi documentale e chat | UE (Frankfurt region) / USA |
| OpenAI Inc. | Modelli AI di triage e fallback | UE (Dublin region) / USA |
| Google LLC | SMTP transazionale (Gmail), Google Meet per consulti | UE / USA |
| Hetzner Online GmbH | Server applicativo e database | Germania (Falkenstein/Norimberga) |
I trasferimenti verso paesi non-UE (USA) avvengono solo per i fornitori AI e sono protetti da clausole contrattuali standard (SCC). I contenuti dei documenti rimangono cifrati end-to-end e non sono mai accessibili in chiaro dai fornitori AI: vengono inviati al modello solo per la durata della singola richiesta e non sono utilizzati per addestramento.
5. I tuoi diritti
In qualunque momento puoi esercitare i diritti riconosciuti dagli articoli 15–22 GDPR:
- Accesso ai dati personali che ti riguardano
- Rettifica dei dati inesatti o incompleti
- Cancellazione ("diritto all'oblio") quando non sussistano obblighi di legge contrari
- Limitazione del trattamento
- Portabilità dei dati in formato strutturato e leggibile
- Opposizione a trattamenti basati su legittimo interesse
- Revoca del consenso per i trattamenti basati sul consenso
- Reclamo al Garante della Privacy (www.garanteprivacy.it)
Per esercitare i tuoi diritti scrivi a [email protected]. Risponderemo entro 30 giorni dalla ricezione della richiesta.
6. Conservazione e cancellazione
I dati sono conservati per il tempo strettamente necessario alle finalità (vedi tabella §3). Al termine dell'abbonamento, hai 30 giorni per esportare i dati prima della cancellazione definitiva. I dati di fatturazione sono conservati 10 anni come richiesto dalla normativa fiscale italiana.
7. Sicurezza
Adottiamo misure tecniche e organizzative adeguate:
- Cifratura AES-256 dei contenuti, hashing Argon2 delle password
- HTTPS obbligatorio su tutto il dominio (HSTS)
- Backup giornalieri cifrati su storage europeo
- Accesso ai sistemi di produzione limitato e tracciato
- Rate limiting e protezione DDoS
- Penetration test periodici
8. Minori
Il servizio è destinato esclusivamente a professionisti del settore legale. Non raccogliamo consapevolmente dati di minori di 18 anni.
9. Modifiche
Eventuali aggiornamenti alla presente informativa saranno comunicati via email almeno 15 giorni prima dell'entrata in vigore. La versione corrente è sempre disponibile su lex-nova.it/privacy.