La presente informativa è resa ai sensi dell’art. 13 del Regolamento UE 2016/679 (“GDPR”) all’Utente - inteso come la persona giuridica o la persona fisica che agisce nell’esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale - che accede e utilizza i servizi (“Servizi”) offerti dalla piattaforma Iusful, accessibile dal sito web www.iusful.it e dall’applicazione mobile (“Piattaforma”).
Il Titolare si riserva il diritto di aggiornare la presente informativa in qualsiasi momento. Le modifiche vengono comunicate mediante pubblicazione sulla Piattaforma con almeno 30 giorni di preavviso.
1. Titolare e Responsabile del trattamento
La Società opera in una duplice veste ai fini della normativa sulla protezione dei dati personali:
(a) Titolare autonomo del trattamento ai sensi dell’art. 4, n. 7, GDPR per i dati personali raccolti direttamente dalla Piattaforma e necessari alla creazione e gestione dell’account, all’autenticazione, alla fatturazione, alla sicurezza informatica e all’invio di comunicazioni commerciali (ove consentito). Per tali trattamenti il Titolare è:
FRM Layer S.r.l. - Startup Innovativa
Sede legale: Milano, Via Giosuè Carducci 8, CAP 20123
Codice fiscale / P. IVA: 14697420967
REA Milano: MI - 2801820
Email: privacy@iusful.it
(b) Responsabile del trattamento ai sensi dell’art. 28 GDPR per i dati personali contenuti nei documenti caricati dall’Utente sulla Piattaforma nell’ambito dell’erogazione dei Servizi. In tale contesto, l’Utente (o il soggetto per conto del quale l’Utente opera) mantiene la qualifica di Titolare del trattamento dei dati personali contenuti nei propri documenti. La Società tratta tali dati esclusivamente per l’erogazione dei Servizi richiesti, sulla base di un accordo ex art. 28 GDPR sottoscritto tra le parti ("Accordo sul Trattamento dei Dati" o "DPA").
Con riferimento ai dati trattati in qualità di Responsabile, la Società:
- tratta i dati esclusivamente secondo le istruzioni documentate dell’Utente-Titolare e per le finalità previste dal contratto di servizio;
- non utilizza i dati per finalità proprie, di profilazione o di marketing;
- adotta le misure tecniche e organizzative descritte all’art. 5 della presente informativa;
- assiste l’Utente-Titolare nell’adempimento degli obblighi relativi ai diritti degli interessati di cui all’art. 9;
- su richiesta dell’Utente-Titolare, cancella o restituisce tutti i dati personali al termine della prestazione dei Servizi.
2. Dati trattati
2.1 Dati identificativi e di contatto
Nome, cognome, codice fiscale, partita IVA, indirizzo email, numero di telefono, indirizzo di residenza o sede legale, dati del rappresentante legale per utenti business, dati di fatturazione.
2.2 Documenti caricati sulla Piattaforma
L’Utente può caricare sulla Piattaforma documenti commerciali e amministrativi nell’ambito dell’utilizzo dei Servizi, tra cui a titolo esemplificativo: fatture, contratti, ordini di acquisto, documenti di trasporto, comunicazioni commerciali. I contenuti di questi documenti sono trattati esclusivamente per erogare il Servizio richiesto e non vengono utilizzati per finalità di profilazione o marketing.
2.3 Dati di navigazione e utilizzo
Indirizzo IP, identificatori del dispositivo, tipo e versione del browser, sistema operativo, data e ora di accesso, pagine visitate, durata delle sessioni, URL di provenienza, cookie e strumenti di tracciamento analoghi. Ulteriori dettagli sono disponibili nella Cookie Policy della Piattaforma.
2.4 Dati generati dall’interazione con i Sistemi AI
Le interazioni dell’Utente con i sistemi di intelligenza artificiale della Piattaforma - descrizioni dei problemi, risposte ai questionari, output generati - vengono registrate per consentire l’erogazione del Servizio e il miglioramento dei sistemi interni di classificazione, nel rispetto delle condizioni descritte all’art. 5.
3. Categorie particolari di dati personali
Nell’ambito dell’utilizzo della Piattaforma, l’Utente potrebbe caricare documenti contenenti categorie particolari di dati ai sensi dell’art. 9, par. 1, GDPR e dati relativi a condanne penali e reati ai sensi dell’art. 10 GDPR, tra cui a titolo esemplificativo:
- Dati relativi allo stato di salute
- Dati che rivelano l’origine razziale o etnica
- Dati relativi a opinioni politiche o convinzioni religiose
- Dati relativi all’appartenenza sindacale
- Dati relativi alla vita sessuale o all’orientamento sessuale
Il Titolare tratta le categorie particolari di dati di cui all’art. 9 GDPR esclusivamente sulla base del consenso esplicito dell’Utente ai sensi dell’art. 9, par. 2, lett. a) GDPR, raccolto in modo specifico e separato dal consenso generale.
Il Titolare non utilizza le categorie particolari di dati per finalità di marketing, profilazione o statistica, salvo in forma anonimizzata e aggregata.
L’Utente è invitato a caricare documenti contenenti categorie particolari di dati solo quando strettamente necessario per il Servizio richiesto.
4. Finalità e basi giuridiche
| Finalità | Base giuridica | Obbligatorietà |
|---|---|---|
| Gestione dell’account e autenticazione | Esecuzione del contratto - art. 6(1)(b) GDPR | Obbligatorio - senza non è possibile utilizzare la Piattaforma |
| Erogazione dei Servizi (caricamento documenti, analisi AI, generazione documenti, repository) | Esecuzione del contratto - art. 6(1)(b) GDPR | Obbligatorio per i Servizi richiesti |
| Fatturazione e adempimenti fiscali | Obbligo legale - art. 6(1)(c) GDPR | Obbligatorio per legge |
| Sicurezza informatica e prevenzione frodi | Legittimo interesse - art. 6(1)(f) GDPR | Non comporta obblighi aggiuntivi per l’Utente |
| Trattamento di anonimizzazione di dati personali finalizzato al miglioramento dei sistemi interni | Legittimo interesse - art. 6(1)(f) GDPR | Facoltativo - dati sempre anonimizzati |
| Invio di comunicazioni commerciali e newsletter | Consenso - art. 6(1)(a) GDPR | Facoltativo - revocabile in qualsiasi momento |
| Trattamento di categorie particolari di dati (art. 9 GDPR) | Consenso esplicito - art. 9(2)(a) GDPR | Facoltativo - necessario solo per Servizi specifici |
5. Modalità del trattamento e sistemi di intelligenza artificiale
5.1 Misure tecniche e organizzative
I dati sono trattati con strumenti informatici nel rispetto dei principi di riservatezza, integrità e disponibilità. Le misure adottate includono:
- Cifratura at-rest con standard AES-256 per tutti i documenti e i dati dell’Utente
- Cifratura in transito con protocollo TLS 1.3
- Accesso ai dati limitato al personale autorizzato secondo il principio del minimo privilegio
- Conservazione dei log degli amministratori di sistema per almeno 6 mesi
- Procedure di backup e disaster recovery
5.2 Utilizzo di sistemi di intelligenza artificiale
La Piattaforma utilizza sistemi di intelligenza artificiale (“Sistemi AI”) per assistere l’Utente nelle seguenti attività: lettura e classificazione di documenti caricati, estrazione automatica di dati fattuali, strutturazione delle informazioni, generazione di bozze di documenti standard.
I Sistemi AI operano come strumenti di supporto. Non effettuano valutazioni giuridiche sul caso concreto dell’Utente e non producono pareri legali. Qualsiasi output dei Sistemi AI ha finalità organizzativa e strumentale.
L’Utente è informato in ogni fase del processo quando sta interagendo con un sistema automatizzato, in conformità con gli obblighi di trasparenza previsti dall’art. 50 del Regolamento (UE) 2024/1689 (AI Act).
5.3 Provider dei modelli AI - no-training clause
I dati dell’Utente trasmessi ai provider dei modelli linguistici sono trattati sulla base di accordi contrattuali che escludono esplicitamente l’utilizzo dei dati per finalità di addestramento dei modelli (“no-training clause”). I dati vengono elaborati e non conservati dai provider al termine dell’elaborazione.
6. Comunicazione a soggetti terzi
I dati non vengono diffusi a soggetti indeterminati. Possono essere comunicati alle seguenti categorie di destinatari, per le finalità indicate nell’art. 4.
- Provider di infrastruttura e servizi cloud (es. hosting, storage, database) - in qualità di Responsabili del trattamento ai sensi dell’art. 28 GDPR.
- Provider dei modelli di intelligenza artificiale - vincolati contrattualmente alla no-training clause e al rispetto del GDPR.
- Provider di pagamenti certificati PSD2 (es. Stripe) - per la gestione delle transazioni economiche. Il Titolare non acquisisce né trattiene fondi dell’Utente direttamente.
- Provider di servizi email e notifiche push - per le comunicazioni operative e i reminder.
- Provider di analisi e statistica - esclusivamente su dati aggregati e anonimizzati.
- Consulenti e fornitori del Titolare per attività tecniche, contabili, legali e amministrative - nei limiti strettamente necessari.
- Avvocati del Network.
- Autorità pubbliche - nei casi previsti dalla legge o su richiesta motivata delle autorità competenti.
- Legal Business Partner assegnato all’Utente - per l’erogazione dei Servizi di cui all’art. 4 della presente informativa. Il Legal Business Partner opera in qualità di soggetto autorizzato al trattamento ai sensi dell’art. 29 GDPR, vincolato a specifici obblighi di riservatezza.
Gli Avvocati del Network che ricevono l’Incarico Professionale dall’Utente agiscono in qualità di Titolari autonomi del trattamento per i dati personali trattati nell’ambito del mandato professionale. Il conferimento dei dati agli Avvocati del Network avviene sotto la responsabilità dell’Utente e dell’Avvocato incaricato, conformemente alla disciplina del mandato professionale e della normativa forense applicabile.
L’elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta scritta al Titolare ai recapiti indicati all’art. 1.
7. Trasferimenti di dati extra-SEE
Alcuni provider terzi indicati all’art. 6 hanno sede o effettuano trattamenti al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. I trasferimenti avvengono esclusivamente in presenza di garanzie adeguate ai sensi del Capo V del GDPR:
- Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework)
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
- Misure tecniche supplementari (cifratura, pseudonimizzazione) valutate tramite Transfer Impact Assessment (TIA)
L’Utente può richiedere informazioni sulle garanzie adottate e ottenerne copia contattando il Titolare ai recapiti indicati all’art. 1.
8. Periodo di conservazione
| Categoria dati | Periodo di conservazione |
|---|---|
| Dati account e Servizi attivi | Per tutta la durata del rapporto contrattuale |
| Documenti caricati dall’Utente | Per la durata del rapporto, salvo diversa previsione di legge |
| Dati di fatturazione e contabili | 10 anni dall’emissione del documento (obbligo fiscale) |
| Dati di navigazione e log di sistema | 6–12 mesi |
| Dati per marketing (previo consenso) | Fino alla revoca del consenso, comunque non oltre 24 mesi salvo rinnovo |
| Dati account dopo cancellazione | Non oltre 24 mesi per finalità amministrative, poi cancellazione definitiva. L’accesso attivo ai dati e documenti è garantito per 60 giorni dalla data di efficacia del recesso o della disdetta. |
Al termine del periodo di conservazione i dati vengono cancellati o resi definitivamente anonimi.
9. Diritti dell’interessato
L’Utente ha il diritto di esercitare in qualsiasi momento i seguenti diritti, contattando il Titolare ai recapiti indicati all’art. 1. Le richieste sono gratuite e il Titolare risponde entro 30 giorni, prorogabili a 90 in caso di complessità.
| Diritto | Contenuto |
|---|---|
| Accesso (art. 15) | Ottenere conferma che i propri dati siano trattati e riceverne copia con informazioni sulle finalità, categorie, destinatari e periodo di conservazione. |
| Rettifica (art. 16) | Ottenere la correzione di dati inesatti o l’integrazione di dati incompleti. |
| Cancellazione (art. 17) | Ottenere la cancellazione dei propri dati nei casi previsti dalla legge - c.d. diritto all’oblio. |
| Limitazione (art. 18) | Ottenere la limitazione del trattamento nei casi previsti dalla legge. |
| Opposizione (art. 21) | Opporsi al trattamento basato sul legittimo interesse del Titolare per motivi connessi alla propria situazione particolare. L’opposizione al marketing diretto è sempre accolta senza necessità di motivazione. |
| Portabilità (art. 20) | Ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico, e richiederne il trasferimento a un altro titolare. |
| Revoca del consenso | Revocare il consenso in qualsiasi momento senza pregiudizio per la liceità del trattamento precedente. |
| Reclamo al Garante | Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o ricorrere all’autorità giudiziaria. |
10. Processi decisionali automatizzati
I dati dell’Utente possono essere trattati mediante processi automatizzati, inclusi i Sistemi AI descritti all’art. 5. Tali trattamenti non comportano l’adozione di decisioni basate unicamente su processi automatizzati che producano effetti giuridici nei confronti dell’Utente o che incidano in modo analogo significativamente sulla sua persona, ai sensi dell’art. 22 GDPR.
In ogni caso l’Utente mantiene il controllo sulle proprie scelte operative - nessuna azione viene intrapresa automaticamente senza la sua approvazione esplicita.
11. Integrazione con Google Calendar
La Piattaforma consente al Legal Business Partner (l’avvocato che segue il cliente) di collegare, in modo facoltativo, il proprio account Google per gestire gli appuntamenti tramite Google Calendar. L’integrazione viene attivata esclusivamente previo consenso dell’interessato, attraverso il flusso di autorizzazione (OAuth) di Google.
11.1 Dati di Google trattati e finalità
- Disponibilità (free/busy) - lettura degli intervalli occupati del calendario principale per proporre gli orari liberi in fase di prenotazione (ambito https://www.googleapis.com/auth/calendar.readonly).
- Eventi del calendario - creazione, aggiornamento ed eliminazione degli eventi relativi agli appuntamenti prenotati tramite Iusful, inclusa la generazione del link Google Meet (ambito https://www.googleapis.com/auth/calendar.events).
Tali dati vengono utilizzati esclusivamente per creare e mantenere sincronizzati gli appuntamenti tra il cliente e il Legal Business Partner. Non vengono utilizzati per finalità pubblicitarie né per addestrare modelli di intelligenza artificiale generalizzati.
11.2 Conservazione e revoca
Per mantenere attiva l’integrazione conserviamo, in forma protetta, il token di aggiornamento (refresh token) rilasciato da Google. L’utente può revocare l’accesso in qualsiasi momento dalle impostazioni della Piattaforma, dalla pagina myaccount.google.com/permissions o scrivendo a privacy@iusful.it; alla revoca il token conservato viene eliminato.
11.3 Comunicazione a terzi
I dati del Google Calendar non vengono ceduti o venduti a terzi, né condivisi, se non con i fornitori tecnici strettamente necessari all’erogazione del Servizio (responsabili del trattamento) e nei limiti di legge.
11.4 Uso limitato (Google API Services User Data Policy)
L’uso e il trasferimento da parte di Iusful delle informazioni ricevute dalle API di Google aderiscono alla Google API Services User Data Policy, inclusi i requisiti di uso limitato (Limited Use).
12. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione all’Utente tramite pubblicazione sulla Piattaforma con almeno 30 giorni di preavviso e, ove tecnicamente fattibile, tramite notifica via email.
Le modifiche hanno efficacia dalla data indicata nella comunicazione. Per i trattamenti basati sul consenso, il Titolare raccoglie nuovamente il consenso dell’Utente prima dell’applicazione delle modifiche. L’utilizzo continuato della Piattaforma dopo la data di efficacia implica l’accettazione delle modifiche per i trattamenti non basati su consenso.
13. Definizioni
- Dati personali - Qualsiasi informazione che renda identificata o identificabile una persona fisica.
- Interessato- La persona fisica cui si riferiscono i dati - nell’ambito della presente informativa, l’Utente della Piattaforma.
- Titolare- Il soggetto che determina le finalità e i mezzi del trattamento. Nell’ambito della presente informativa: FRM Layer S.r.l.
- Responsabile - Il soggetto che tratta dati per conto del Titolare sulla base di un accordo ex art. 28 GDPR.
- Trattamento - Qualsiasi operazione effettuata sui dati personali, incluse raccolta, registrazione, organizzazione, conservazione, elaborazione, comunicazione, cancellazione.
- Sistemi AI - I sistemi di intelligenza artificiale utilizzati dalla Piattaforma per finalità di supporto operativo. Non effettuano valutazioni giuridiche sul caso concreto e non emettono pareri legali.
- GDPR - Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
- SEE- Spazio Economico Europeo - comprende i Paesi dell’Unione Europea più Norvegia, Islanda e Liechtenstein.