PRIVACY POLICY
Versione del 10 giugno 2026
Informativa resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e degli artt. 13 e122 del D.Lgs. 196/2003 (“Codice Privacy”), come novellato dal D.Lgs. 101/2018.
1. Titolare del trattamento
| Titolare del trattamento: Avv. Alessio D’Ascenzo | CF: DSCLSS94H05A345U |
| Sede legale: Roma (RM), Italia | PEC: legaless@pec.it |
| Email: a.dascenzo@legaless.it |
Non è designato un Responsabile della Protezione dei Dati (DPO) non ricorrendo i presupposti dell’art. 37 GDPR.
2. Ruoli e architettura del trattamento
La Piattaforma Legaless® mette in relazione l’Utente con avvocati indipendenti. È importante che l’Utente comprenda chi tratta i suoi dati e per quali finalità:
| Soggetto | Ruolo | Ambito di trattamento |
|---|---|---|
| Titolare di Legaless® | Titolare autonomo | Funzionamento della Piattaforma, gestione Account, hosting, sicurezza, fatturazione, adempimenti di legge a proprio carico |
| Avvocato incaricato | Titolare autonomo | Esecuzione del Mandato Professionale, redazione di atti, difesa in giudizio, obblighi deontologici e antiriciclaggio (AML) ai sensi del D.Lgs. 231/2007 |
| Provider Terzi (Stripe, Signaturit, Hostinger, ecc.) | Responsabili del trattamento o autonomi titolari (vedi § 9) | Esecuzione tecnica delle relative funzionalità |
Il Titolare di Legaless® non accede ai contenuti coperti dal segreto professionale dell’Avvocato, salvo nei limiti tecnici strettamente necessari per la gestione e sicurezza della Piattaforma. L’Avvocato è autonomo titolare e gestisce direttamente con l’Utente la propria informativa per le finalità professionali, deontologiche e antiriciclaggio. Le richieste di esercizio dei diritti devono essere indirizzate al titolare competente in base alla finalità del trattamento (vedi § 7 e § 10).
3. Categorie di dati trattati
In funzione dell’interazione con la Piattaforma, il Titolare tratta:
a) Dati anagrafici e di contatto: nome, cognome, email, telefono, residenza, codice fiscale, partita IVA;
b) Dati identificativi: copia documento d’identità, ove necessario all’esecuzione del Servizio o per adempimenti antiriciclaggio dell’Avvocato (in tal caso il dato è trasmesso all’Avvocato che lo tratta come autonomo titolare ai sensi del D.Lgs. 231/2007);
c) Dati di Account: credenziali di accesso (in forma cifrata), impostazioni, preferenze;
d) Dati relativi alla Pratica: descrizione del caso, documenti caricati, comunicazioni in chat, preventivi, mandati. Possono includere categorie particolari di dati (art. 9 GDPR) – es. dati relativi alla salute, alla vita sessuale, all’origine razziale o etnica, alle opinioni politiche, alla fede religiosa – quando rilevanti per il caso legale; e dati relativi a condanne penali e reati (art. 10 GDPR);
e) Dati di pagamento: gestiti integralmente da Stripe; il Titolare riceve solo dati transazionali (importo, esito, identificativo);
f) Dati di firma elettronica: gestiti da Signaturit (numero di telefono per OTP, log di firma);
g) Dati di utilizzo: indirizzo IP, log di accesso, tipo di browser, sistema operativo, pagine visitate, timestamp;
h) Dati di comunicazione: messaggi inviati tramite la chat interna e via email.
L’Utente è responsabile dell’esattezza, completezza e aggiornamento dei dati forniti, nonché della liceità della comunicazione di dati di terzi.
4. Finalità e basi giuridiche del trattamento
| # | Finalità | Base giuridica (art. 6 GDPR) | Base giuridica per categorie particolari (art. 9) |
|---|---|---|---|
| 4.1 | Creazione e gestione dell’Account | Esecuzione del contratto (art. 6.1.b) | — |
| 4.2 | Erogazione delle funzionalità della Piattaforma (richieste, preventivi, chat, firma, pagamenti) | Esecuzione del contratto (art. 6.1.b) | Consenso esplicito quando ricorrono dati particolari (art. 9.2.a); ovvero accertamento, esercizio o difesa di un diritto in sede giudiziaria (art. 9.2.f) |
| 4.3 | Adempimento di obblighi di legge a carico del Titolare (fiscali, contabili, ordini autorità, DSA) | Obbligo legale (art. 6.1.c) | Art. 9.2.g (motivi di interesse pubblico rilevante) ove applicabile |
| 4.4 | Sicurezza della Piattaforma, prevenzione frodi, log di accesso | Legittimo interesse (art. 6.1.f) | — |
| 4.5 | Assistenza clienti e gestione reclami | Esecuzione del contratto / legittimo interesse | — |
| 4.6 | Invio di comunicazioni di servizio (notifiche, aggiornamenti sulla Pratica) | Esecuzione del contratto (art. 6.1.b) | — |
| 4.7 | Invio di newsletter / comunicazioni promozionali del Titolare | Consenso (art. 6.1.a), revocabile in qualsiasi momento | — |
| 4.8 | Soft spam su Servizi analoghi già richiesti (art. 130, c. 4, D.Lgs. 196/2003) | Legittimo interesse, con possibilità di opposizione | — |
| 4.9 | Difesa di un diritto in sede giudiziaria, anche stragiudiziale | Legittimo interesse (art. 6.1.f) | Art. 9.2.f |
| 4.10 | Statistiche aggregate e miglioramento del servizio | Legittimo interesse (art. 6.1.f) | — |
Conferimento obbligatorio o facoltativo. Il conferimento dei dati di cui ai punti 4.1–4.6 è necessario all’esecuzione del Servizio: il mancato conferimento impedisce l’utilizzo della Piattaforma. Il conferimento dei dati per la finalità 4.7 è facoltativo e non condiziona l’uso della Piattaforma.
Trattamenti AML. I trattamenti connessi agli obblighi di adeguata verifica, conservazione e segnalazione antiriciclaggio sono effettuati dall’Avvocato in qualità di soggetto obbligato e autonomo titolare ex D.Lgs. 231/2007 (vedi § 7). Il Titolare non assume il ruolo di soggetto obbligato AML.
5. Strumenti tecnologici e intelligenza artificiale
Il Titolare può utilizzare strumenti tecnologici di automazione e modelli di intelligenza artificiale esclusivamente per finalità interne di supporto editoriale, organizzativo e gestionale (es. redazione di bozze interne, classificazione di richieste, supporto alla scrittura di preventivi standard). Tali strumenti non sono utilizzati per assumere decisioni automatizzate produttive di effetti giuridici nei confronti dell’Utente, né per profilare l’Utente ai sensi dell’art. 22 GDPR. L’Avvocato resta unico responsabile delle valutazioni professionali e dei contenuti consegnati all’Utente.
6. Modalità del trattamento e sicurezza
I dati sono trattati con strumenti elettronici e procedure organizzative idonee a garantirne sicurezza, integrità e riservatezza, in conformità all’art. 32 GDPR. Le misure adottate includono, tra l’altro:
– cifratura in transito (TLS) e a riposo dei dati sensibili;
– autenticazione a due fattori per gli accessi privilegiati;
– segregazione dei ruoli e principio del minimo privilegio;
– firewall applicativo (WAF), sistemi di rilevamento intrusioni, antimalware;
– backup periodici e procedure di disaster recovery;
– procedure di gestione degli incidenti e di data breach notification ex artt. 33-34 GDPR;
– audit periodici di sicurezza.
Nonostante l’adozione di tali misure, nessun sistema informatico è totalmente esente da rischi. Il Titolare si impegna a notificare al Garante e — quando previsto — all’Utente eventuali violazioni di dati ai sensi della normativa applicabile.
7. Tempi di conservazione
Il Titolare e l’Avvocato sono titolari autonomi con obblighi di conservazione distinti. La presente sezione disciplina la conservazione operata dal Titolare; per la conservazione operata dall’Avvocato si rinvia alla relativa informativa, che l’Avvocato fornisce direttamente all’Utente.
7.1 Conservazione da parte del Titolare
| Categoria | Durata di conservazione |
|---|---|
| Dati di Account in uso | Per la durata del rapporto |
| Dati relativi a Pratiche concluse (lato Piattaforma) | 10 anni dalla conclusione della Pratica (in coerenza con i termini di prescrizione ex art. 2946 c.c. e con gli obblighi di conservazione documentale ex art. 2220 c.c.) |
| Documenti fiscali e contabili del Titolare | 10 anni (art. 2220 c.c. e art. 22 D.P.R. 600/1973) |
| Log tecnici e di sicurezza | Fino a 12 mesi, salvo necessità di conservazione per accertamenti |
| Dati di marketing (consenso) | Fino a revoca del consenso, e comunque non oltre 24 mesi dall’ultima interazione |
| Account inattivo | Al raggiungimento di 24 mesi di inattività, l’Utente è invitato a confermare l’interesse a mantenere l’Account; in mancanza di riscontro entro 30 giorni dalla comunicazione, l’Account viene chiuso e i dati cancellati o anonimizzati (salvi gli obblighi di conservazione di cui sopra) |
7.2 Conservazione da parte dell’Avvocato. L’Avvocato, in qualità di autonomo titolare, conserva i dati dell’Utente per i tempi e nei limiti previsti dai propri obblighi normativi, in particolare:
– documentazione del fascicolo professionale: per il tempo necessario alla difesa del diritto del cliente e dell’Avvocato, in coerenza con i termini di prescrizione applicabili (in via generale, almeno 10 anni dalla conclusione del mandato, ex art. 2946 c.c.);
– documentazione AML (adeguata verifica, conservazione, segnalazioni): 10 anni dalla cessazione del rapporto continuativo o dall’esecuzione della prestazione occasionale, ai sensi dell’art. 31 D.Lgs. 231/2007;
– documentazione fiscale e contabile: 10 anni ai sensi dell’art. 2220 c.c. e dell’art. 22 D.P.R. 600/1973.
7.3 Effetti della cessazione del rapporto sui titolari distinti. La cessazione del rapporto con il Titolare, o la richiesta di cancellazione rivolta al Titolare, non incide automaticamente sui termini di conservazione cui è tenuto l’Avvocato e viceversa. Per ottenere la cancellazione integrale dei dati l’Utente deve esercitare i propri diritti separatamente nei confronti di ciascun titolare. In ogni caso, restano fermi i limiti previsti dalla legge per la conservazione obbligatoria (es. AML, fiscali, difesa di un diritto).
8. Destinatari dei dati
I dati possono essere comunicati a:
a) Avvocati incaricati, in qualità di autonomi titolari, per l’esecuzione del Mandato Professionale e per gli adempimenti AML, deontologici, fiscali a loro carico;
b) Collaboratori e personale autorizzato del Titolare, designati come autorizzati al trattamento e vincolati a riservatezza;
c) Fornitori di servizi tecnici designati responsabili del trattamento ex art. 28 GDPR (hosting, manutenzione, sicurezza, assistenza, strumenti di automazione);
d) Provider Terzi per pagamenti (Stripe), firma elettronica (Signaturit), hosting (Hostinger), come specificato al § 9;
e) Consulenti (commercialista, legale del Titolare) per adempimenti professionali e difesa;
f) Autorità giudiziarie e amministrative in caso di richieste legittime (inclusa UIF e Guardia di Finanza per finalità AML, su richiesta legittima). I dati non sono diffusi e non sono ceduti a terzi per finalità di marketing diretto di soggetti terzi.
9. Provider Terzi e trasferimenti extra-UE
| Provider | Funzione | Sede e trasferimenti |
|---|---|---|
| Stripe Payments Europe Ltd. | Pagamenti online | Sede UE (Irlanda). Eventuali trasferimenti verso Stripe Inc. (USA) avvengono sulla base delle Clausole Contrattuali Standard della Commissione UE (decisione 2021/914) e, ove applicabile, del Data Privacy Framework UE-USA. |
| Signaturit Solutions S.L. | Firma elettronica eIDAS | Sede UE (Spagna). |
| Hostinger International Ltd. | Hosting e infrastruttura | Sede UE/SEE (data center europei). |
Eventuali altri fornitori potranno essere indicati su richiesta dell’Utente scrivendo a supporto@legaless.it. Per i trasferimenti extra-UE/SEE, ove necessari, il Titolare adotta le garanzie previste dagli artt. 44-49 GDPR (decisioni di adeguatezza, Clausole Contrattuali Standard, misure supplementari).
10. Diritti dell’Utente
L’Utente può esercitare in qualsiasi momento, nei limiti di legge, i seguenti diritti:
– Accesso (art. 15 GDPR) – conoscere quali dati sono trattati e ottenerne copia;
– Rettifica (art. 16) – correggere dati inesatti o integrarli;
– Cancellazione / diritto all’oblio (art. 17) – chiedere la rimozione dei dati, nei limiti previsti;
– Limitazione (art. 18) – limitare temporaneamente il trattamento;
– Portabilità (art. 20) – ricevere i dati in formato strutturato, leggibile, comunemente usato e trasmetterli ad altro titolare;
– Opposizione (art. 21) – opporsi al trattamento per legittimo interesse o marketing diretto;
– Revoca del consenso (art. 7.3) – in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca;
– Reclamo all’autorità di controllo – Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, garante@gpdp.it, www.garanteprivacy.it;
– Non essere sottoposto a decisioni automatizzate (art. 22) – il Titolare non effettua decisioni automatizzate produttive di effetti giuridici significativi.
– Esercizio nei confronti di titolari autonomi. Per i dati trattati dal Titolare di Legaless®, le richieste vanno indirizzate a supporto@legaless.it. Per i dati trattati dall’Avvocato (esecuzione del Mandato, AML, deontologia), le richieste vanno indirizzate direttamente all’Avvocato, che fornisce propria informativa.
I limiti normativi (es. obblighi di conservazione AML, fiscali, di difesa di un diritto) possono comportare il diniego o il differimento di alcune richieste, con motivazione dell’esito.
Il Titolare riscontra entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 in casi complessi (art. 12 GDPR).
11. Cookie
L’uso dei cookie e tecnologie analoghe è disciplinato dall’apposita Cookie Policy disponibile su legaless.it, redatta in conformità al Provvedimento del Garante del 10 giugno 2021.
12. Difesa in giudizio
I dati dell’Utente possono essere utilizzati dal Titolare, anche dopo la cessazione del rapporto, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, nei limiti dell’art. 9.2.f GDPR e degli obblighi di legge.
13. Modifiche all’informativa
Il Titolare si riserva di aggiornare la presente informativa. Le modifiche saranno comunicate all’Utente tramite Account e/o email. La versione vigente è sempre disponibile su legaless.it/privacy-policy/.
14. Minori
La Piattaforma è rivolta esclusivamente a maggiorenni. Il Titolare non raccoglie consapevolmente dati di minori. Ove venga rilevato il trattamento di dati di un minore, il Titolare provvederà alla cancellazione, salvo diversa autorizzazione del titolare della responsabilità genitoriale ai sensi dell’art. 8 GDPR.
“`
