Informativa sul Trattamento dei Dati Personali

1. Identità e Dati di Contatto del Titolare

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma LexReport (accessibile all'indirizzo www.lexreport.it) è:

Property Finder & Financial, con sede legale in Via Andrea Maffei n. 1 - 20135 Milano, P.IVA 03079490649.

Per qualsiasi comunicazione relativa al trattamento dei dati personali, è possibile contattare il Titolare ai seguenti recapiti:

• Email: supporto@lexreport.it
• PEC: legal@pec.lexreport.it

Il Titolare non ha nominato un Data Protection Officer (DPO) in quanto non ricorrono i presupposti di cui all'art. 37 del GDPR.

2. Tipologie di Dati Trattati

2.1 Dati forniti direttamente dall'Utente

In fase di registrazione e utilizzo del servizio, l'Utente fornisce i seguenti dati:

• Nome e cognome
• Indirizzo email
• Password (conservata in forma crittografata — non accessibile in chiaro al Titolare)
• Dati di fatturazione (nome, cognome o ragione sociale, indirizzo, codice fiscale/P.IVA) — raccolti e gestiti da Stripe Inc. per conto del Titolare
• Dati relativi ai casi giuridici inseriti nei form di analisi ("Dati del Caso")

2.2 Dati relativi ai Casi Giuridici — Regime Speciale

I Dati del Caso inseriti nei form di analisi sono trattati in modalità "Stateless". Nello specifico:

• I dati vengono elaborati esclusivamente per la generazione del report richiesto
• Una volta scaricato il report, i dati del caso vengono eliminati dai server del Titolare
• Il Titolare non conserva archivi permanenti dei dati dei casi trattati
• I dati dei casi non vengono mai utilizzati per addestrare modelli di intelligenza artificiale
• I dati dei casi non vengono mai ceduti a terzi per finalità commerciali

Importante:i Dati del Caso possono contenere dati personali di terzi (es. parti lese, testimoni). L'Utente, in qualità di professionista legale che inserisce tali dati, è responsabile di aver ottenuto le necessarie basi giuridiche per il relativo trattamento, ai sensi dell'art. 28 GDPR.

2.3 Dati di navigazione e tecnici

I sistemi informatici acquisiscono automaticamente alcuni dati necessari al funzionamento del servizio:

• Indirizzo IP
• Tipo di browser e sistema operativo
• Date e orari delle richieste
• Identificatori di sessione

Tali dati sono conservati per il tempo strettamente necessario e comunque non oltre 30 giorni, salvo necessità di accertamento di illeciti.

2.4 Cookie

LexReport utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio (autenticazione, sessione, preferenze UI). Non vengono utilizzati cookie di profilazione, cookie di terze parti a scopo pubblicitario o strumenti di tracciamento comportamentale.

3. Finalità e Basi Giuridiche del Trattamento

Il trattamento dei dati personali è effettuato per le seguenti finalità:

3.1 Erogazione del servizio

Base giuridica: Esecuzione del contratto (art. 6, par. 1, lett. b GDPR).

Comprende: registrazione account, autenticazione, generazione report, gestione abbonamento, assistenza tecnica.

3.2 Gestione dei pagamenti

Base giuridica: Esecuzione del contratto (art. 6, par. 1, lett. b GDPR) e obbligo legale (art. 6, par. 1, lett. c GDPR).

I dati di pagamento sono gestiti direttamente da Stripe Inc., certificato PCI-DSS. Il Titolare non ha accesso ai dati della carta di credito o degli strumenti di pagamento dell'Utente.

3.3 Adempimenti fiscali e contabili

Base giuridica: Obbligo legale (art. 6, par. 1, lett. c GDPR).

Conservazione delle fatture e dei documenti fiscali nei termini previsti dalla normativa italiana (10 anni).

3.4 Sicurezza e prevenzione delle frodi

Base giuridica: Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR).

Monitoraggio tecnico per prevenire accessi non autorizzati, abusi del servizio e violazioni dei Termini di Servizio.

3.5 Comunicazioni di servizio

Base giuridica: Esecuzione del contratto (art. 6, par. 1, lett. b GDPR).

Invio di email transazionali: conferma registrazione, notifica report completato, avvisi scadenza abbonamento, recupero password. Tali comunicazioni non richiedono consenso in quanto funzionali al servizio contrattuale.

3.6 Marketing e comunicazioni promozionali

Base giuridica: Consenso dell'interessato (art. 6, par. 1, lett. a GDPR).

Solo previa raccolta di consenso esplicito e separato. L'Utente puòrevocare il consenso in qualsiasi momento senza pregiudizio per l'utilizzo del servizio.

4. Destinatari dei Dati

I dati personali non vengono venduti a terzi. Possono essere comunicati esclusivamente nelle seguenti circostanze:

4.1 Responsabili del trattamento

Il Titolare si avvale di fornitori di servizi tecnologici selezionati che agiscono in qualità di Responsabili del trattamento ex art. 28 GDPR, con i quali sono stipulati appositi accordi di trattamento dati. Tali fornitori sono selezionati tra operatori che offrono garanzie adeguate di conformità al GDPR e di sicurezza delle infrastrutture.

I principali fornitori operano nei settori: hosting e infrastruttura cloud (con server in territorio europeo o con garanzie equivalenti), elaborazione pagamenti, invio email transazionali, elaborazione AI.

L'elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta inviata a supporto@lexreport.it.

4.2 Trasferimenti verso Paesi terzi

Alcuni fornitori di servizi tecnologici hanno sede o operano in paesi extra-UE (inclusi gli Stati Uniti). In tali casi, il trasferimento è garantito da:

• Clausole contrattuali standard approvate dalla Commissione europea (SCC)
• Certificazioni di adeguatezza riconosciute (es. EU-US Data Privacy Framework)
• Altre garanzie appropriate ai sensi dell'art. 46 GDPR

4.3 Autorità competenti

I dati possono essere comunicati ad autorità giudiziarie o amministrative nei casi previsti dalla legge.

5. Periodo di Conservazione

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

• Dati del Caso (form di analisi): eliminati al download del report o, in assenza di download, entro 48 ore dalla generazione
• Dati account (nome, email): per tutta la durata del rapporto contrattuale e, successivamente, per 10 anni ai fini di adempimenti fiscali e legali, salvo esercizio del diritto di cancellazione
• Dati di fatturazione: 10 anni dalla data della fattura, in conformità alla normativa fiscale italiana
• Log di sicurezza e navigazione: massimo 30 giorni, salvo necessità di conservazione per accertamento di illeciti
• Dati di consenso al marketing: fino alla revoca del consenso e comunque per un periodo non superiore a 3 anni dall'ultima interazione

6. Diritti dell'Interessato

In qualità di interessato, l'Utente ha il diritto di:

1. Accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei dati personali
2. Rettifica (art. 16 GDPR): correggere dati inesatti o completare dati incompleti
3. Cancellazione (art. 17 GDPR): ottenere l'eliminazione dei dati, nei casi previsti dalla norma
4. Limitazione (art. 18 GDPR): richiedere la sospensione del trattamento in determinati casi
5. Portabilità (art. 20 GDPR): ricevere i dati in formato strutturato e leggibile da macchina
6. Opposizione (art. 21 GDPR): opporsi al trattamento basato su legittimo interesse
7. Revoca del consenso: in qualsiasi momento, senza effetti retroattivi
8. Reclamo all'Autorità di controllo: presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it)

Per esercitare i propri diritti, l'Utente può inviare richiesta scritta a: supporto@lexreport.it. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta.

7. Sicurezza dei Dati

Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione illecita, tra cui:

• Cifratura delle comunicazioni tramite protocollo HTTPS/TLS
• Hashing sicuro delle password (bcrypt)
• Autenticazione sicura tramite token JWT con scadenza
• Infrastruttura cloud con standard di sicurezza certificati
• Accesso ai dati limitato al personale autorizzato
• Procedure di incident response per la gestione delle violazioni dei dati

In caso di violazione dei dati personali che presenti rischi per i diritti e le libertà degli interessati, il Titolare notificheràl'evento al Garante entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR, e informeràgli interessati coinvolti ove previsto dall'art. 34 GDPR.

8. Minori

Il servizio LexReport è destinato esclusivamente a professionisti legali maggiorenni. Il Titolare non raccoglie consapevolmente dati personali di minori di 18 anni. Qualora venisse rilevata una registrazione di un minore, i relativi dati saranno prontamente eliminati.

9. Modifiche alla Presente Informativa

Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, per adeguarla a modifiche normative, tecnologiche o operative. Le modifiche saranno comunicate agli Utenti registrati tramite email e pubblicate sulla pagina www.lexreport.it/privacy con l'aggiornamento della data di versione.

L'utilizzo continuato del servizio dopo la comunicazione delle modifiche costituisce accettazione della nuova versione dell'Informativa.

10. Normativa Applicabile e Foro Competente

La presente Informativa è redatta in conformità al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle linee guida dell'EDPB e del Garante per la protezione dei dati personali.

Per qualsiasi controversia relativa al trattamento dei dati personali, è competente l'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) e, in sede giudiziaria, il foro del luogo di residenza o domicilio abituale dell'interessato.