Politica sulla riservatezza
Versione 2.1 | In vigore dal 15 maggio 2026 | La versione corrente è sempre disponibile all'indirizzo https://Perspectis.AI/privacy
Il presente Accordo sul trattamento dei dati ("DPA") è pubblicato da Perspectis AI, Inc. sul sito Perspectis.AI ed è incorporato per riferimento nel Contratto per i servizi SaaS (o contratto quadro equivalente) stipulato tra il Fornitore di servizi e il Cliente (il "Contratto principale"). Il presente DPA è incorporato nel Contratto principale per riferimento. Si applica la versione in vigore alla data di entrata in vigore del Contratto principale, fatte salve eventuali modifiche apportate in conformità alla Clausola 16.6.
In caso di conflitto tra il presente Accordo sul trattamento dei dati e l'Accordo principale in merito al trattamento dei dati personali, prevale il presente Accordo sul trattamento dei dati.
Approccio. Il presente Accordo sul trattamento dei dati (DPA) stabilisce un unico standard di riferimento elevato che soddisfa i requisiti più stringenti applicabili in tutte le giurisdizioni in cui le parti operano, tra cui il Regno Unito (GDPR/DPA 2018 del Regno Unito), lo Spazio economico europeo (GDPR dell'UE), il Canada (PIPEDA e Legge 25 del Quebec) e gli Stati Uniti (CCPA/CPRA e leggi statali applicabili). Laddove sia legalmente richiesto un meccanismo specifico, come le clausole contrattuali standard per i trasferimenti internazionali, questo viene trattato nella Clausola 8. Per tutti gli altri aspetti, si applica un unico obbligo indipendentemente dalla giurisdizione coinvolta.
Riservatezza professionale legale. I Dati del Cliente possono contenere informazioni soggette a riservatezza professionale legale, segreto professionale tra avvocato e cliente o segreto professionale tra avvocato e cliente. Gli obblighi rafforzati del Fornitore di Servizi in relazione a tale materiale sono indicati nella Clausola 12.
Definizioni
In questo DPA:
Per "Dati anonimizzati" si intendono i dati che sono stati resi irreversibilmente non identificabili in modo tale che nessun individuo possa essere ragionevolmente identificato a partire da essi, sia singolarmente che in combinazione con altre informazioni, in conformità con le norme applicabili in materia di privacy.
Per “Legge applicabile sulla protezione dei dati” si intendono tutte le leggi sulla privacy e sulla protezione dei dati applicabili al trattamento dei dati personali AI sensi del presente Accordo sul trattamento dei dati, incluse (a titolo esemplificativo): il GDPR del Regno Unito e il Data Protection Act 2018; il GDPR dell'UE (Regolamento (UE) 2016/679); il Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada e le relative normative provinciali, inclusa la Legge 25 del Quebec; e il California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) e altre leggi statali statunitensi applicabili in materia di privacy. Qualora due o più leggi impongano standard diversi per lo stesso obbligo, il Fornitore di servizi dovrà conformarsi allo standard più rigoroso.
Per “Dati del Cliente” si intende quanto definito nel Contratto Principale e si intendono tutti i Dati Personali ivi contenuti.
Per “Individuo” si intende qualsiasi persona fisica i cui Dati Personali siano trattati AI sensi del presente Accordo sul trattamento dei dati. I termini Interessato, Consumatore e Individuo sono usati in modo intercambiabile.
Per “Dati personali” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definita dalla normativa applicabile in materia di protezione dei dati nella giurisdizione di riferimento. I termini Dati personali e Informazioni personali sono utilizzati in modo intercambiabile.
Per “violazione dei dati personali” si intende qualsiasi violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso non autorizzato AI dati personali, in modo accidentale o illecito.
Per “Responsabile della protezione dei dati” si intende la persona designata dal Fornitore di servizi per sovrintendere al rispetto della normativa applicabile in materia di protezione dei dati.
Il termine “trattamento” (e i termini affini) ha il significato attribuitogli dalla normativa applicabile in materia di protezione dei dati.
Per “Trasferimento limitato” si intende qualsiasi trasferimento di Dati personali verso un Paese che non beneficia di una decisione di adeguatezza o di una constatazione equivalente AI sensi della Legge applicabile in materia di protezione dei dati.
Per “SCC” si intendono le clausole contrattuali standard dell’UE per il trasferimento di dati personali verso paesi terzi (Decisione della Commissione 2021/914/UE).
Per "Dati personali sensibili" si intendono le categorie speciali di dati personali AI sensi del GDPR del Regno Unito/GDPR dell'UE; le informazioni personali sensibili AI sensi del CCPA/CPRA; e le categorie equivalenti AI sensi di altre leggi applicabili in materia di protezione dei dati.
Per “Sub-responsabile del trattamento” si intende qualsiasi soggetto terzo incaricato dal Fornitore di servizi di elaborare i Dati personali per conto del Cliente.
Per “Elenco dei Sub-Responsabili del Trattamento” si intende l’elenco corrente dei Sub-Responsabili del Trattamento approvati, mantenuto dal Fornitore di Servizi sul proprio sito web e aggiornato di volta in volta in conformità alla Clausola 7.
Per “TOM” si intendono le misure tecniche e organizzative di cui all’allegato 2.
Per "UK IDTA" si intende l'accordo internazionale sul trasferimento dei dati del Regno Unito, emanato dall'ICO AI sensi della sezione 119A del Data Protection Act 2018.
Ruoli e nomine
Il Cliente è il Titolare del trattamento (o equivalente AI sensi della normativa applicabile in materia di protezione dei dati); il Fornitore di servizi è il Responsabile del trattamento o il Fornitore di servizi (o equivalente). Il Fornitore di servizi tratterà i Dati personali esclusivamente in base alle istruzioni documentate del Cliente.
AI fini del CCPA/CPRA, il Fornitore di servizi agisce in qualità di Fornitore di servizi (non di Terza parte o azienda) e certifica che: (a) non venderà né condividerà Dati personali; (b) non utilizzerà Dati personali per scopi diversi dalla fornitura dei Servizi; (c) non combinerà Dati personali ricevuti AI sensi del presente Accordo sul trattamento dei dati con dati personali provenienti da altre fonti, salvo quanto consentito dalla legge applicabile; e (d) comprende e rispetterà tali restrizioni.
Il Fornitore di servizi informerà tempestivamente il Cliente qualora, a suo ragionevole giudizio, una qualsiasi istruzione violasse la Legge applicabile in materia di protezione dei dati.
Obblighi del cliente
Il Cliente garantisce di avere, e di mantenere in ogni momento, una base giuridica valida AI sensi della Legge applicabile in materia di protezione dei dati per ciascuna categoria di Dati personali inviati alla Piattaforma, inclusi (ove richiesto) un consenso valido, una valutazione del legittimo interesse o altra base giuridica applicabile.
Il Cliente è l'unico responsabile dell'accuratezza, della qualità e della legalità di tutti i Dati Personali inviati alla Piattaforma e della liceità di tutte le istruzioni di trattamento impartite al Fornitore di Servizi. Il Fornitore di Servizi non è tenuto a verificare autonomamente la legalità delle istruzioni del Cliente, ma è tenuto a rispettare l'obbligo di notifica previsto dalla Clausola 2.3.
Il Cliente non dovrà inviare Dati Personali Sensibili alla Piattaforma senza previa comunicazione scritta al Fornitore di Servizi e accordo su adeguate misure di sicurezza aggiuntive. In assenza di tale comunicazione e accordo, il Fornitore di Servizi non avrà alcuna responsabilità in relazione AI Dati Personali Sensibili inviati alla Piattaforma.
Il Cliente si impegna a mantenere le proprie informative sulla privacy, i registri delle attività di trattamento e le procedure relative AI diritti individuali, come previsto dalla Legge applicabile in materia di protezione dei dati. Il Cliente riconosce che gli obblighi del Fornitore di servizi AI sensi del presente Accordo sul trattamento dei dati sono limitati alla fornitura di un'assistenza tecnica ragionevole e non si estendono all'adempimento degli obblighi di conformità del Cliente in qualità di Titolare del trattamento.
Il Cliente si impegna a indennizzare e tenere indenne il Fornitore di servizi da qualsiasi perdita, reclamo, danno, responsabilità, multa, sanzione, costo e spesa (incluse le ragionevoli spese legali) derivanti da o in connessione con: (a) l'inadempimento da parte del Cliente dei propri obblighi in qualità di Titolare del trattamento AI sensi della Legge applicabile sulla protezione dei dati; (b) la violazione da parte del Cliente delle garanzie di cui alla presente Clausola 3; o (c) qualsiasi istruzione di trattamento impartita dal Cliente che violi la Legge applicabile sulla protezione dei dati, a condizione che il Fornitore di servizi abbia rispettato il proprio obbligo di notifica AI sensi della Clausola 2.3 in relazione alla relativa istruzione.
Istruzioni per il trattamento dei dati e riservatezza
Il Fornitore di servizi tratterà i Dati personali esclusivamente in conformità alle istruzioni documentate del Cliente, come stabilito nel presente Accordo sul trattamento dei dati, nell'Accordo principale, nei Moduli d'ordine e in qualsiasi ulteriore istruzione scritta.
La configurazione della Piattaforma da parte del Cliente, incluse l'attivazione delle funzionalità, le impostazioni di conservazione, le autorizzazioni degli utenti, le selezioni di residenza dei dati, l'abilitazione delle funzionalità di intelligenza artificiale e le impostazioni di integrazione, costituisce istruzioni documentate AI fini del presente Accordo sul trattamento dei dati. Il Fornitore di servizi non sarà tenuto a ottenere un'istruzione scritta separata per ogni attività di trattamento che sia una naturale conseguenza dell'utilizzo della Piattaforma da parte del Cliente in conformità con la sua configurazione.
Il fornitore di servizi si impegna a garantire che il personale autorizzato al trattamento dei dati personali sia vincolato da adeguati obblighi di riservatezza e abbia ricevuto una formazione sui propri obblighi in materia di protezione dei dati.
L'accesso AI Dati Personali sarà limitato al personale che ne ha bisogno per l'erogazione dei Servizi, secondo il principio del minimo privilegio.
Il Fornitore di servizi non divulgherà i Dati personali a terzi (incluse le forze dell'ordine o le autorità governative) senza il previo consenso scritto del Cliente, salvo nei casi previsti dalla legge. Qualora la divulgazione sia legalmente obbligatoria, il Fornitore di servizi (nei limiti consentiti) informerà preventivamente il Cliente e collaborerà con l'adozione di qualsiasi misura di protezione ragionevole.
Il Fornitore di servizi dovrà designare un Responsabile della privacy e un referente per la protezione dei dati (ove richiesto) e dovrà comunicare al Cliente i loro recapiti su richiesta.
Diritti individuali
Il Fornitore di servizi riconosce che gli individui possono avere diritti AI sensi della Legge applicabile sulla protezione dei dati, tra cui i diritti di: accesso; rettifica o correzione; cancellazione o eliminazione; limitazione o opposizione al trattamento; portabilità dei dati; opposizione; opposizione alla vendita o alla condivisione; limitazione dell'uso dei Dati personali sensibili; e il diritto di non essere soggetti a decisioni basate esclusivamente su processi automatizzati con effetti significativi.
Il Fornitore di servizi informerà il Cliente entro 3 giorni lavorativi dal ricevimento di qualsiasi richiesta relativa AI diritti direttamente da parte di un individuo e non risponderà direttamente senza l'autorizzazione del Cliente.
Il Fornitore di servizi fornirà l'assistenza tecnica (funzionalità di ricerca, esportazione, cancellazione e correzione) ragionevolmente necessaria al Cliente per rispondere a qualsiasi richiesta relativa AI diritti individuali entro i termini di legge applicabili. Il periodo di risposta previsto è di 30 giorni dal ricevimento della richiesta verificata.
Il fornitore di servizi non discriminerà alcun individuo per l'esercizio dei propri diritti AI sensi della legge applicabile in materia di protezione dei dati.
Sicurezza
Il Fornitore di servizi dovrà implementare e mantenere i TOM (Termini di Gestione) indicati nell'Allegato 2, progettati per soddisfare i requisiti della Legge applicabile in materia di protezione dei dati (inclusi gli standard di sicurezza ragionevoli previsti dal CCPA/CPRA, l'articolo 32 del GDPR del Regno Unito/UE e il Principio 7 del PIPEDA).
Il fornitore di servizi dovrà testare, valutare e verificare regolarmente l'efficacia dei TOM e aggiornarli secondo necessità, tenendo conto dello stato dell'arte, dei costi e della natura del trattamento.
Il Fornitore di servizi dovrà notificare tempestivamente al Cliente qualsiasi vulnerabilità, effettiva o presunta, che possa compromettere la sicurezza dei Dati personali e dovrà adottare immediatamente le misure correttive necessarie.
Sottoprocessori
Il Cliente concede l'autorizzazione generale ad avvalersi dei Sub-Responsabili del Trattamento elencati nell'Allegato 3. Il Fornitore di Servizi mantiene un elenco aggiornato dei Sub-Responsabili del Trattamento approvati sul proprio sito web (l'"Elenco dei Sub-Responsabili del Trattamento"), unitamente AI dettagli del trattamento effettuato da ciascuno di essi.
Il fornitore di servizi pubblicherà sul proprio sito web un avviso relativo alla proposta di nomina di un nuovo sub-responsabile del trattamento o a qualsiasi modifica sostanziale alle attività di un sub-responsabile del trattamento esistente, prima che la nomina o la modifica abbiano effetto. I clienti che si iscrivono alle notifiche di aggiornamento sui sub-responsabili del trattamento (inviando un'e-mAIl a [NUOVO INDIRIZZO EMAIL DPA]) riceveranno una notifica per ogni pubblicazione di questo tipo.
Qualora le parti non riescano a risolvere la controversia entro 30 giorni, il Fornitore di servizi si impegnerà a fondo per rendere disponibile una configurazione alternativa dei Servizi interessati che non preveda l'utilizzo del Sub-processore oggetto della controversia. Qualora non sia ragionevolmente disponibile alcuna configurazione alternativa di questo tipo e il Sub-processore oggetto della controversia sia essenziale per le funzionalità principali dei Servizi, come descritto nel Modulo d'ordine applicabile, il Cliente potrà recedere dal Modulo d'ordine interessato senza penali, previa comunicazione scritta con un preavviso di 30 giorni. A titolo di chiarimento, un Sub-processore sarà considerato essenziale per le funzionalità principali solo qualora la sua rimozione renda inoperative le caratteristiche sostanziali descritte nel Modulo d'ordine applicabile.
Il Fornitore di servizi imporrà a ciascun Sub-responsabile del trattamento, mediante contratto scritto, obblighi di protezione dei dati equivalenti a quelli previsti nel presente Accordo sul trattamento dei dati, inclusi obblighi conformi alla normativa applicabile in materia di protezione dei dati in ciascuna giurisdizione in cui vengono trattati i Dati personali.
Il Fornitore di servizi rimane pienamente responsabile nei confronti del Cliente per gli atti e le omissioni dei suoi Sub-responsabili del trattamento come se fossero propri.
Trasferimenti internazionali
Obbligo principale. Le parti disporranno di un meccanismo di trasferimento appropriato in relazione a qualsiasi trasferimento soggetto a restrizioni prima che tale trasferimento abbia luogo. Per "meccanismo di trasferimento" si intendono le clausole contrattuali standard, l'accordo internazionale sui trasferimenti di dati del Regno Unito (UK IDTA), una decisione di adeguatezza o qualsiasi altro meccanismo che abbia l'effetto di consentire il trasferimento in conformità con la normativa applicabile in materia di protezione dei dati.
Trasferimenti SEE. In caso di trasferimento soggetto a restrizioni SEE in cui i Dati Personali del Cliente vengono trasferiti dal Cliente in qualità di Titolare al Fornitore di Servizi in qualità di Responsabile del Trattamento, le parti si impegnano a rispettare le Clausole Contrattuali Standard dell'UE (Modulo 2, Titolare-Responsabile del Trattamento, Decisione della Commissione 2021/914), che sono incorporate nel presente Accordo sul Trattamento dei Dati per riferimento e si attivano automaticamente al verificarsi di tale trasferimento. Le scelte delle parti per le disposizioni facoltative sono: si applica la Clausola 7 (clausola di ancoraggio); si applica la Clausola 9(a) Opzione 2 (autorizzazione scritta generale) con un periodo di preavviso di 30 giorni in conformità con la clausola sui Sub-Responsabili del Trattamento del presente Accordo sul Trattamento dei Dati; non si applica il meccanismo di ricorso facoltativo della Clausola 11(a).
Trasferimenti nel Regno Unito. In caso di trasferimento soggetto a restrizioni nel Regno Unito, le parti si impegnano a rispettare l'Accordo interstatale sul trattamento dei dati (IDTA) del Regno Unito, che incorpora le Clausole Contrattuali Standard dell'UE (SCC) con l'Addendum per il Regno Unito (emesso dall'ICO AI sensi dell'art. 119A del Data Protection Act 2018), che sono incorporate nel presente Accordo sul trattamento dei dati per riferimento e si attivano automaticamente al verificarsi di tale trasferimento. I dettagli delle parti e le descrizioni del trattamento AI fini dell'IDTA del Regno Unito sono indicati rispettivamente nell'Accordo principale e nell'Allegato 1 del presente Accordo sul trattamento dei dati.
Luoghi di elaborazione scelti dal cliente. Tutti i processi vengono elaborati di default all'interno della giurisdizione selezionata dal cliente nel modulo d'ordine. Qualora il cliente attivi una funzionalità o selezioni un modello che richieda l'elaborazione in una giurisdizione diversa, la sua selezione esplicita costituisce un'istruzione documentata di trasferimento e un riconoscimento del luogo di elaborazione. Il fornitore di servizi indicherà al cliente la giurisdizione di elaborazione al momento della selezione della funzionalità o del modello. Il fornitore di servizi si assicurerà che il meccanismo di trasferimento applicabile sia attivo prima che tale trasferimento abbia luogo.
Trasferimenti a sub-responsabili del trattamento. Qualora il Fornitore di servizi si avvalga di un sub-responsabile del trattamento che richieda un trasferimento transfrontaliero, il Fornitore di servizi dovrà garantire che il meccanismo di trasferimento applicabile sia in essere tra il Fornitore di servizi e tale sub-responsabile del trattamento prima che il trasferimento abbia luogo. Per i trasferimenti da responsabile del trattamento a responsabile del trattamento nello Spazio economico europeo (SEE), si applicano le Clausole Contrattuali Standard dell'UE (Modulo 3). Per i trasferimenti da responsabile del trattamento a responsabile del trattamento nel Regno Unito, si applica il modulo applicabile dell'Addendum per il Regno Unito.
Canada. I trasferimenti di dati personali soggetti al PIPEDA o alla legge 25 del Quebec devono essere soggetti a tutele contrattuali che garantiscano uno standard di protezione paragonabile a quello richiesto dalla legge canadese, in conformità con l'articolo 10.3 del PIPEDA. Non è richiesto alcun meccanismo di trasferimento transfrontaliero laddove il Canada sia sia la giurisdizione di origine che quella di destinazione.
Stati Uniti. Non è richiesto alcun meccanismo di trasferimento transfrontaliero per i trattamenti che hanno origine e rimangono all'interno degli Stati Uniti. La designazione di fornitore di servizi CCPA di cui alla Clausola 2 si applica a tutti i trattamenti nazionali statunitensi.
Aggiornamento automatico. Qualora un meccanismo di trasferimento venga aggiornato, modificato o sostituito da un'autorità competente, il meccanismo aggiornato sostituirà automaticamente il meccanismo precedente AI sensi del presente Accordo sul trattamento dei dati personali a partire dalla data in cui il Fornitore di servizi invia la notifica al Cliente e sarà vincolante per le parti a partire dalla data specificata in tale notifica. Il Fornitore di servizi invierà tale notifica senza indebito ritardo a seguito della pubblicazione del meccanismo aggiornato.
Dettagli del trattamento AI fini delle Clausole Contrattuali Standard (CSS). Le informazioni richieste dall'Allegato I delle CSS dell'UE (elenco delle parti e descrizione del trasferimento) sono riportate come segue: i dettagli dell'esportatore dei dati sono quelli indicati nell'Accordo Principale e nel Modulo d'Ordine; i dettagli dell'importatore dei dati sono quelli indicati nell'intestazione del presente Accordo sul trattamento dei dati; la descrizione delle attività di trattamento e le categorie di dati personali sono quelle indicate nell'Allegato 1 del presente Accordo sul trattamento dei dati. Le misure tecniche e organizzative AI fini dell'Allegato II delle CSS dell'UE sono quelle indicate nell'Allegato 2 del presente Accordo sul trattamento dei dati.
Notifica di incidenti e violazioni della sicurezza
Il Fornitore di servizi dovrà notificare al Cliente senza indebito ritardo e, in ogni caso, entro 24 ore dal momento in cui viene a conoscenza di una violazione dei dati personali confermata o ragionevolmente sospetta. La notifica dovrà essere inviata al referente designato dal Cliente e dovrà includere tutte le informazioni disponibili al momento, necessarie al Cliente per adempiere AI propri obblighi di notifica AI sensi della normativa applicabile in materia di protezione dei dati.
Il fornitore di servizi dovrà fornire al cliente un rapporto scritto sull'incidente entro 30 giorni dal contenimento, che includa: la causa principale; le categorie di dati e i volumi stimati interessati; le misure correttive adottate e pianificate; e qualsiasi modifica AI TOM.
Il Fornitore di servizi dovrà tenere un registro di tutti gli incidenti di sicurezza (compresi quelli al di sotto delle soglie di segnalazione) e renderlo disponibile al Cliente su richiesta.
La notifica di una violazione non costituisce ammissione di colpa o responsabilità da parte di nessuna delle parti.
Valutazioni d'impatto sulla privacy
Il Fornitore di servizi dovrà fornire al Cliente un'assistenza ragionevole per effettuare qualsiasi valutazione d'impatto sulla privacy o sulla protezione dei dati richiesta dalla Legge applicabile in materia di protezione dei dati, incluse descrizioni delle attività di trattamento, termini e condizioni, dettagli sui sub-responsabili del trattamento e altre informazioni pertinenti.
Qualora il Fornitore di servizi introduca un nuovo sistema, tecnologia o servizio che comporti il trattamento di dati personali, il Fornitore di servizi dovrà effettuare una propria valutazione d'impatto sulla privacy e fornirne un riepilogo al Cliente su richiesta.
Il Fornitore di servizi assisterà il Cliente in qualsiasi consultazione preventiva necessaria con un'autorità di controllo o un'autorità per la protezione dei dati.
diritti di audit
Il fornitore di servizi dovrà rendere disponibili tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente Accordo sul trattamento dei dati e alla legge applicabile in materia di protezione dei dati.
Non più di una volta all'anno solare (in assenza di fondati motivi per sospettare una violazione sostanziale) e previo preavviso scritto di 30 giorni, il Cliente può: (a) richiedere al Fornitore di servizi di compilare un questionario di conformità scritto; o (b) a spese del Cliente, condurre o commissionare un audit indipendente delle attività di trattamento e dei TOM del Fornitore di servizi.
Il fornitore di servizi può adempiere al proprio obbligo di audit fornendo report di audit di terze parti aggiornati (SOC 2 Tipo II, certificato ISO 27001 o equivalente) qualora tali report siano sufficienti a dimostrare la conformità al relativo obbligo.
Segreto professionale legale
Il Fornitore di servizi riconosce che i Dati del Cliente possono includere informazioni soggette al segreto professionale, al segreto professionale tra avvocato e cliente o al segreto professionale tra avvocato e cliente (collettivamente, "Materiale Riservato").
In relazione al Materiale Riservato, il Fornitore di Servizi dovrà: (a) non accedervi, utilizzarlo, divulgarlo o elaborarlo se non nella misura strettamente necessaria per fornire i Servizi; (b) mantenere controlli di accesso e registri di accesso; (c) non divulgarlo a terzi senza il previo consenso scritto del Cliente; e (d) notificare immediatamente al Cliente qualsiasi divulgazione forzata effettiva o minacciata.
Il Fornitore di servizi supporterà il Cliente nel rispetto delle norme di condotta professionale e dei requisiti normativi applicabili al Cliente nelle giurisdizioni in cui opera.
Gli obblighi previsti dalla presente Clausola 12 restano validi anche dopo la risoluzione del Contratto Principale, fintanto che il Materiale Riservato rimane in possesso o sotto il controllo del Fornitore di Servizi e per un minimo di 7 anni successivi alla risoluzione.
Intelligenza artificiale ed elaborazione automatizzata
Il Fornitore di servizi non utilizzerà i Dati del Cliente per addestrare, perfezionare o migliorare alcun modello di intelligenza artificiale o di apprendimento automatico senza il previo consenso scritto del Cliente. Per maggiore chiarezza, tale divieto non si applica AI Dati anonimizzati che non possono essere ragionevolmente utilizzati per identificare alcun individuo. Tale divieto si applica in egual misura al Feedback (come definito nel Contratto principale) e AI Dati del Fornitore di servizi generati dall'utilizzo della Piattaforma da parte del Cliente.
Il Fornitore di servizi può utilizzare dati di utilizzo aggregati, completamente anonimizzati e non reversibili (inclusi parametri di prestazione del sistema, modelli di utilizzo delle funzionalità e registri degli errori che non contengono Dati personali e dAI quali non è possibile identificare alcun Cliente o Individuo) per migliorare le prestazioni, l'affidabilità e la funzionalità dei Servizi. Tale utilizzo non costituisce Trattamento di Dati personali o Dati del Cliente, non costituisce addestramento di alcun modello di IA o di apprendimento automatico sui Dati del Cliente e non è soggetto alle restrizioni di cui alla Clausola 13.1. Il Cliente può richiedere in qualsiasi momento conferma scritta che i propri Dati del Cliente e Dati personali non siano stati utilizzati per l'addestramento del modello.
Il Fornitore di servizi dovrà, su richiesta e almeno una volta all'anno, comunicare l'identità e la versione di qualsiasi modello di intelligenza artificiale che elabori Dati personali, confermare se i Dati del cliente siano stati utilizzati per l'addestramento e fornire informazioni su qualsiasi processo decisionale automatizzato con effetti significativi sugli individui.
Il Fornitore di servizi dovrà tenere un registro dell'IA e renderlo disponibile al Cliente su richiesta.
Ritorno ed eliminazione
In caso di cessazione o scadenza del Contratto Principale, il Fornitore di Servizi dovrà:
(a) per 30 giorni successivi alla cessazione o alla scadenza, rendere i Dati del Cliente disponibili per l'esportazione in formati standard del settore (CSV, JSON, Excel) senza costi aggiuntivi, in conformità con le modalità di esportazione stabilite nel Contratto Principale;
(b) dopo la scadenza della finestra di esportazione di 30 giorni, eliminare in modo sicuro tutti i Dati del Cliente, comprese tutte le copie detenute dAI Sub-Responsabili del trattamento e tutti i backup applicabili, sovrascrivendo o rendendo altrimenti i dati permanentemente inaccessibili, a meno che: (i) diversamente concordato per iscritto dal Cliente; (ii) la conservazione sia necessaria per risolvere controversie legali in corso o procedimenti normativi; o (iii) la legge applicabile richieda un'ulteriore conservazione - nel qual caso il Fornitore di servizi dovrà: (A) notificare per iscritto al Cliente in anticipo la sua intenzione di conservare tali dati e la base giuridica per farlo; (B) conservare solo i dati minimi richiesti per il periodo minimo richiesto dalla legge; e (C) applicare AI dati conservati le stesse misure di protezione applicate durante il Periodo di validità;
(c) fornire proattivamente al Cliente una certificazione scritta dell'eliminazione, inclusa la conferma che le copie e i backup del Sub-Processor siano stati eliminati, entro 30 giorni dal completamento e, inoltre, su richiesta scritta del Cliente in qualsiasi momento;
d) su richiesta scritta del Cliente, fornire prove ragionevoli della metodologia di cancellazione applicata.
Il Fornitore di servizi dovrà elaborare le richieste di cancellazione individuali verificabili entro il termine previsto dalla normativa applicabile in materia di protezione dei dati, applicando lo standard più rigoroso applicabile e in ogni caso non superiore a 45 giorni.
Gli obblighi previsti dalla presente Clausola 14 rimangono validi anche dopo la risoluzione del Contratto Principale, fino al completamento e alla certificazione della sua cancellazione.
Durata e risoluzione
Il presente Accordo di differimento del trattamento entra in vigore alla data di entrata in vigore dell'Accordo principale e ha la stessa durata dell'Accordo principale.
I seguenti obblighi restano validi anche dopo la cessazione del contratto: Clausola 4 (Riservatezza) — 5 anni; Clausola 9 (Notifica di violazione) — 7 anni; Clausola 12 (Privilegio) — per tutto il tempo in cui il Materiale Riservato rimane in possesso o sotto il controllo del Fornitore di Servizi e per un minimo di 7 anni successivi alla cessazione del contratto; Clausola 14 (Cancellazione) — fino al completamento e alla certificazione.
Ciascuna delle parti può risolvere il presente Accordo di protezione dei dati personali in caso di violazione sostanziale da parte dell'altra, con un preavviso scritto di 30 giorni, e qualora la violazione sia sanabile ma non venga sanata entro tale periodo.
Generale
Limitazione di responsabilità. (a) La responsabilità complessiva del Fornitore di servizi AI sensi o in relazione al presente Accordo sul trattamento dei dati (inclusa qualsiasi violazione dei dati personali) non potrà superare il limite di responsabilità stabilito nell'Accordo principale. (b) Tale limite si applica indipendentemente dal fatto che la richiesta sia presentata in base a contratto, illecito civile (inclusa la negligenza), legge o altro, ed è comprensiva (non aggiuntiva) di qualsiasi responsabilità derivante dall'Accordo principale. (c) Qualora un'autorità di controllo, un individuo o altra terza parte presenti una richiesta di risarcimento nei confronti di una delle parti in relazione al trattamento dei dati personali AI sensi del presente Accordo sul trattamento dei dati, le parti coopereranno in buona fede e ciascuna parte sarà responsabile per i propri atti od omissioni. Nulla nella presente Clausola 16.1 esclude o limita la responsabilità che non può essere esclusa o limitata AI sensi della Legge applicabile in materia di protezione dei dati.
Il Fornitore di servizi dovrà mantenere una copertura assicurativa per la responsabilità informatica e la protezione dei dati per importi commercialmente ragionevoli per tutta la durata del Contratto principale e dovrà fornire al Cliente, su richiesta scritta, la prova di tale copertura.
Legge applicabile e giurisdizione. Il presente Accordo sul trattamento dei dati (DPA) è regolato dalla stessa legge dell'Accordo principale. Qualora l'Accordo principale non specifichi una legge applicabile, il presente DPA sarà regolato dalle leggi dello Stato di New York, senza riferimento alle sue norme sul conflitto di leggi. Le parti si sottopongono alla giurisdizione non esclusiva dei tribunali dello Stato di New York. Nulla di quanto contenuto nella presente clausola pregiudica i diritti o gli obblighi di ciascuna parte AI sensi della legge applicabile in materia di protezione dei dati in qualsiasi altra giurisdizione.
Il presente Accordo sul trattamento dei dati, unitamente AI suoi allegati, costituisce l'intero accordo tra le parti in relazione al trattamento dei dati personali AI sensi dell'Accordo principale e sostituisce tutti gli accordi precedenti sullo stesso oggetto.
Tutte le comunicazioni AI sensi del presente Accordo sul trattamento dei dati devono essere in forma scritta e inviate AI recapiti specificati nell'Accordo principale o, per questioni relative alla protezione dei dati, all'indirizzo e-mAIl support@Perspectis.AI.
Termini standard e modifiche. (a) Il presente Accordo sul trattamento dei dati (DPA) costituisce i termini standard di trattamento dei dati del Fornitore di servizi, pubblicati sul suo sito web e incorporati per riferimento nell'Accordo principale. (b) Il Fornitore di servizi può aggiornare il presente DPA di volta in volta pubblicando una versione rivista sul proprio sito web, con un preavviso di almeno 30 giorni al Cliente tramite e-mAIl o notifica in-product. (c) La versione rivista entra in vigore al termine del periodo di preavviso, a meno che il Cliente non notifichi al Fornitore di servizi un'obiezione sostanziale per iscritto entro tale periodo. (d) Se il Cliente solleva un'obiezione e le parti non riescono a risolverla entro ulteriori 14 giorni, ciascuna delle parti può risolvere i Servizi interessati con un preavviso ragionevole senza penali. (e) Il Fornitore di servizi può apportare modifiche senza preavviso laddove richiesto da modifiche alla Legge applicabile sulla protezione dei dati, dalle linee guida dell'autorità di controllo o da un'ordinanza del tribunale, a condizione che tali modifiche non riducano sostanzialmente le tutele del Cliente AI sensi del presente DPA. (f) Le modifiche al presente DPA specifiche per il cliente sono vincolanti solo se firmate per iscritto da un direttore o da un firmatario autorizzato del Fornitore di servizi e se dichiarano espressamente di sostituire la disposizione pertinente del presente DPA.
Descrizione standard del trattamento. (a) La descrizione standard del trattamento riportata nell'Allegato 1 riflette le attività di trattamento standard della piattaforma del Fornitore di servizi effettuate nell'ambito della fornitura dei Servizi. (b) Qualora le attività di trattamento specifiche del Cliente differiscano sostanzialmente da tale descrizione, le parti dovranno registrare le differenze nel Modulo d'ordine o in un addendum scritto al presente Accordo sul trattamento dei dati. (c) Il Cliente è responsabile della tenuta dei propri registri delle attività di trattamento (compresi i registri richiesti AI sensi dell'articolo 30 del GDPR del Regno Unito/UE e dei requisiti equivalenti previsti da altre leggi applicabili in materia di protezione dei dati) in qualità di Titolare del trattamento.
ALLEGATO 1
Descrizione delle attività di elaborazione
La presente Descrizione Standard del Processo riflette le attività di elaborazione svolte dal Fornitore di Servizi nell'erogazione dei Servizi stessi. Eventuali variazioni specifiche per il Cliente, ove applicabili, sono riportate nel relativo Modulo d'Ordine.
A. Argomento trattato
Fornitura di servizi di tecnologia legale basati su SaaS, tra cui monitoraggio autonomo del tempo, gestione delle pratiche, revisione documentale assistita dall'intelligenza artificiale, fatturazione conforme a LEDES e servizi correlati, come descritto nel Contratto Principale e nei Moduli d'Ordine applicabili.
B. Durata
Per tutta la durata del Contratto Principale e di qualsiasi Modulo d'Ordine o Dichiarazione di Lavoro applicabile, più qualsiasi periodo di conservazione previsto dalla legge.
C. Natura e scopo
Hosting, archiviazione ed elaborazione dei Dati del Cliente per la fornitura dei Servizi; controllo degli accessi e gestione delle identità; analisi e reportistica per uso interno del Cliente; supporto tecnico (solo su richiesta del Cliente); elaborazione opzionale tramite IA/LLM, se abilitata dal Cliente; monitoraggio della sicurezza e risposta agli incidenti.
D. Categorie di individui
Il personale del Cliente (avvocati, assistenti legali, personale amministrativo); i clienti e le controparti del Cliente (nella misura in cui sono inclusi nei Dati del Cliente); gli utenti finali dei Servizi; e altri individui i cui dati personali vengono inviati alla Piattaforma.
E. Categorie di dati personali
Dati di contatto e di identificazione (nomi, indirizzi e-mAIl, numeri di telefono, qualifiche professionali); dati di utilizzo e di accesso (orari di accesso, utilizzo delle funzionalità, registri delle sessioni); dati relativi all'inserimento del tempo e alle pratiche (incluse descrizioni narrative del lavoro legale); metadati dei documenti (e, laddove siano abilitate le funzionalità di intelligenza artificiale, il contenuto dei documenti); dati di fatturazione; e altri dati personali che il Cliente invia alla Piattaforma di volta in volta.
F. Categorie sensibili/speciali
Il Fornitore di servizi non tratta intenzionalmente Dati personali sensibili. Qualora i Dati del Cliente contengano incidentalmente tali dati, si applicano le disposizioni della Clausola 3.3.
ALLEGATO 2
Misure tecniche e organizzative
Queste misure sono progettate per soddisfare i requisiti di sicurezza della normativa applicabile in materia di protezione dei dati, tra cui lo standard di sicurezza ragionevole (CCPA/CPRA), l'articolo 32 (GDPR Regno Unito/UE) e il principio di salvaguardia (PIPEDA). Sono conformi AI controlli CIS e allo standard NIST SP 800-53.
Dominio di controllo
Misure attuate
Controllo degli accessi
Controllo degli accessi basato sui ruoli (RBAC); principio del minimo privilegio; autenticazione a più fattori (MFA) obbligatoria per tutti gli account privilegiati; revisioni periodiche degli accessi; ID utente univoci; nessuna credenziale condivisa; strumenti PAM.
Crittografia — A riposo
AES-256 per tutti i dati dei clienti archiviati; backup crittografati; AWS S3 SSE; chiavi di crittografia tramite AWS KMS con rotazione annuale.
Crittografia in transito
TLS 1.2 minimo (TLS 1.3 preferibile); HTTPS obbligatorio; AWS Certificate Manager; HSTS abilitato.
Sicurezza di rete
Firewall e WAF; segmentazione di rete; isolamento VPC; IDS/IPS; mitigazione degli attacchi DDoS; scansioni regolari delle porte e valutazioni delle vulnerabilità.
Gestione delle vulnerabilità e delle patch
Scansione automatizzata delle vulnerabilità; applicazione di patch critiche/di alto livello entro 30 giorni; penetration testing annuale da parte di terzi; tracciamento dei risultati fino alla risoluzione.
Rilevamento e risposta agli incidenti
Monitoraggio e allerta SIEM 24 ore su 24, 7 giorni su 7; piano di risposta agli incidenti documentato; team di risposta dedicato; esercitazioni pratiche; notifica al cliente entro 72 ore dalla conferma della violazione.
Continuità operativa e backup
Backup automatici giornalieri; conservazione dei dati per 30 giorni; storage georidondante; RTO < 4 ore, RPO < 24 ore per i servizi di livello 1; test di continuità annuali.
Sicurezza fisica
Infrastruttura di produzione nei data center AWS con controlli fisici certificati ISO 27001 e SOC 2 Type II (guardie 24 ore su 24, 7 giorni su 7, videosorveglianza, accesso biometrico, controlli ambientali).
Sicurezza del personale
Verifiche dei precedenti prima dell'assunzione; accordi di riservatezza; formazione annuale obbligatoria sulla protezione dei dati; accesso revocato entro 24 ore dalla cessazione del rapporto di lavoro.
Gestione dei fornitori
Due diligence prima dell'incarico; obblighi contrattuali in materia di protezione dei dati estesi a tutti i subappaltatori; revisione annuale del livello di sicurezza.
Programmi sulla privacy
Responsabile della protezione dei dati designato; programma di gestione della privacy; privacy by default implementata nella Piattaforma.
Certificazioni
Il Fornitore di servizi sta attualmente implementando un programma di gestione della sicurezza delle informazioni conforme AI principi ISO/IEC 27001. Il Fornitore di servizi intende ottenere la certificazione SOC 2 Tipo II e informerà il Cliente non appena la certificazione sarà conseguita. I report di valutazione della sicurezza di terze parti sono disponibili su richiesta scritta, previo obbligo di riservatezza.
Minimizzazione e conservazione dei dati
Raccolta limitata a quanto necessario; cancellazione automatica entro 30 giorni dalla finestra di esportazione; impostazioni di conservazione configurabili nella Piattaforma.
ALLEGATO 3
Sub-processori approvati
I seguenti sub-responsabili del trattamento sono approvati a partire dalla data di entrata in vigore del Contratto Principale e sono pubblicati nell'elenco dei sub-responsabili del trattamento sul sito web del Fornitore di Servizi. Il Fornitore di Servizi si impegna a garantire che ciascuno di essi sia vincolato da obblighi di protezione dei dati equivalenti a quelli previsti dal presente Accordo sul trattamento dei dati. I clienti possono iscriversi per ricevere notifiche di aggiornamento sui sub-responsabili del trattamento inviando un'e-mAIl all'indirizzo dataprivacy@Perspectis.AI.
Sottoprocessore
Servizio / Scopo
Luogo/i di elaborazione
Salvaguardia
Amazon Web Services (AWS)
Hosting cloud primario, archiviazione, elaborazione, database
Canada (ca-central-1) — predefinito; Regno Unito (eu-west-2); Stati Uniti (us-east-1) se abilitato
AWS DPA; ISO 27001, SOC 2 Tipo II; SCC / UK IDTA / accordo di trasferimento PIPEDA, ove applicabile.
OpenAI, LLC.
Elaborazione AI/LLM (opzionale - disattivata per impostazione predefinita)
Stati Uniti
Nessuna formazione sui modelli relativi AI dati dei clienti; SCC / accordo UK IDTA / PIPEDA, ove applicabile.
Microsoft Azure (Azure OpenAI)
Intelligenza artificiale aziendale / LLM — opzione di residenza
Canada, Regno Unito o UE (configurabile)
Accordo sul trattamento dei dati (DPA) di Microsoft; ISO 27001 / SOC 2; residenza selezionabile nel modulo d'ordine.
Microsoft Azure (Servizi vocali)
Trascrizione vocale/del parlato (facoltativa)
Configurabile (preferibilmente per Canada, Regno Unito e Stati Uniti)
Accordo sul trattamento dei dati di Microsoft (DPA); abilitato solo se il cliente attiva la funzionalità.
Confido Legal (se abilitato)
Elaborazione dei pagamenti per le integrazioni di fatturazione
Canada / Stati Uniti
Conforme allo standard PCI-DSS; da utilizzare solo se è abilitata l'integrazione dei pagamenti.

