Ai sensi dell'Articolo 28 del Regolamento (UE) 2016/679 (GDPR)
1.1 Il presente DPA disciplina il trattamento dei dati personali effettuato da Keplera S.r.l. ("Responsabile") per conto dell'Utente ("Titolare") nell'ambito dell'utilizzo della Piattaforma LexHero.
2.1 Il trattamento ha per oggetto i dati contenuti nei documenti caricati o generati dall'Utente. Le finalità includono la redazione assistita, l'analisi documentale tramite intelligenza artificiale, la firma elettronica e l'archiviazione in cloud.
3.1. Il Responsabile garantisce che i dati inseriti (Input) e gli output generati non verranno utilizzati per l'addestramento di modelli di intelligenza artificiale di terze parti né per il miglioramento dei modelli proprietari a beneficio di altri utenti.
3.2. L'elaborazione tramite AI avviene in ambienti isolati forniti da partner tecnologici di classe Enterprise, con garanzia contrattuale di "zero-retention" o "no-training" per finalità diverse dalla fornitura del servizio.
4.1. Il Titolare autorizza il Responsabile ad avvalersi di Sub-Responsabili per la fornitura di servizi critici, quali:
Servizi di Hosting e Infrastruttura Cloud: Fornitori leader mondiali con data center situati all'interno dello Spazio Economico Europeo (SEE).
Servizi di Elaborazione AI (API): Fornitori di modelli linguistici avanzati (LLM) in configurazione Enterprise.
4.2. Elenco dei Sub-Responsabili: Al fine di tutelare il segreto commerciale e la sicurezza dell'infrastruttura, l'identità analitica dei Sub-Responsabili non è indicata nel presente testo pubblico. L'elenco completo e aggiornato è disponibile per il Titolare all'interno dell'area riservata della Piattaforma o può essere richiesto inviando una comunicazione a support@lexhero.com.
4.3. Il Responsabile garantisce di aver stipulato con ciascun Sub-Responsabile accordi conformi all'Art. 28 del GDPR, imponendo loro i medesimi obblighi di protezione dei dati previsti dal presente DPA.
5.1. I dati risiedono primariamente su server situati nel SEE. Qualora l'utilizzo di specifiche tecnologie (es. API AI) comporti il transito tecnico di dati verso paesi terzi (es. USA), il Responsabile garantisce che tale trasferimento avvenga esclusivamente verso soggetti aderenti al Data Privacy Framework (DPF) o sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.
6.1. Il Responsabile adotta misure tecniche adeguate, tra cui:
7.1. In caso di violazione, il Responsabile informerà il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, fornendo assistenza per gli adempimenti verso l'Autorità Garante.
8.1. Alla cessazione del rapporto, il Responsabile garantisce un periodo di 30 giorni per il download dei dati. Successivamente, procederà alla cancellazione definitiva di tutte le copie dei dati personali, salvo diversi obblighi di legge.