Il presente DPA è stipulato tra:

2.1. Oggetto del Trattamento:

Il Responsabile si impegna a trattare i dati personali solo per le finalità indicate nel contratto principale / nei Termini (gestione pratiche, documenti, scadenze, fatturazione, comunicazioni).

2.2. Durata del DPA:

Il presente DPA ha la stessa durata del rapporto contrattuale tra Titolare e Responsabile. Alla cessazione del servizio, si applica quanto previsto all’Art. 6 (Restituzione e Cancellazione dei dati).

4.1. Il Responsabile applica misure adeguate per garantire la riservatezza, integrità e disponibilità dei dati, compresa la crittografia end-to-end (E2EE).

• I documenti caricati dagli Utenti sono cifrati in modo da rendere impossibile al Responsabile l’accesso in chiaro.
• Si adottano: autenticazione sicura, controllo accessi, log di sistema, segmentazione ambienti, aggiornamenti software.
• Backup mensili con conservazione di 30 giorni; log di accesso conservati 10 giorni.
• In caso di aggiornamenti e manutenzioni essenziali, gli interventi saranno pianificati in orari non critici, con comunicazione preventiva.

In caso di violazione di dati personali, il Responsabile procederà come segue:

• Identificazione e contenimento della violazione;
• Valutazione dell’impatto sui dati e sugli interessati;
• Notifica al Titolare entro 48 ore dalla scoperta, con dettaglio su natura, categorie interessate, quantità, possibili conseguenze e misure adottate;
• Registrazione dell’evento nel registro interno dei data breach;
• Eventuale comunicazione al Garante, ove obbligatoria ai sensi dell’art. 33 GDPR.

Il Titolare ha diritto a ricevere copia della documentazione e del resoconto dell’accaduto.

Alla cessazione del rapporto contrattuale:

• I dati saranno cancellati in modo permanente e istantaneo, salvo copie tecniche di backup cifrate conservate per un massimo di 30 giorni.
• Non è possibile per l’Utente richiedere la restituzione di documenti cifrati, poiché il Responsabile non detiene le chiavi di decrittazione (E2EE).
• La restituzione, se prevista, riguarda esclusivamente metadati e dati gestionali.
• Eventuali dati soggetti a obblighi legali (es. fatture) saranno mantenuti solo per il periodo previsto dalla legge vigente.

Il Titolare ha il diritto di richiedere audit o ispezioni ragionevoli:

• Previa comunicazione scritta di almeno 15 giorni.
• Presso le sedi del Responsabile o tramite verifiche documentali.
• Gli audit non dovranno interferire indebitamente con le operazioni operative.

In caso di non conformità constatata, il Responsabile si impegna a porre rimedio entro un termine congruo, a proprie spese.

Il Responsabile non sarà ritenuto responsabile per:

• Dati cifrati che risultino illeggibili o danneggiati per cause non imputabili al Responsabile;
• Perdita di dati causata da errore dell’Utente o gestione impropria delle chiavi di cifratura;
• Eventi di forza maggiore o azioni di terzi.

La responsabilità complessiva del Responsabile non può eccedere l’importo corrisposto dall’Utente nei 12 mesi precedenti l’evento lesivo.

I dati personali sono ospitati in UE (Netcup GmbH, Germania).

Per l’attività di pagamento, il sub-responsabile Stripe potrebbe trasferire dati negli Stati Uniti secondo il EU–US Data Privacy Framework e le Clausole Contrattuali Standard.

Il Responsabile non risponde per eventuali inadempimenti dei sub-responsabili terzi.

Il presente DPA è parte integrante dei Termini e del contratto tra Utente e AvvoDesk.

In caso di conflitto tra DPA e termini contrattuali generali, prevalgono le disposizioni più restrittive per la protezione dati.