Trust
Modello di DPA ai sensi dell'art. 28 GDPR e dell'art. 9 nLPD. Scarica il PDF per la firma.
Scarica PDF eseguibile
Per la firma richiedi copia controfirmata a privacy@legalaudit.ch. Le modifiche sostanziali sono notificate con almeno 30 giorni di preavviso.
Il presente DPA è stipulato tra il Cliente (Titolare) e LegalAudit SA, Lugano, Svizzera (Responsabile). Per materie soggette al GDPR LegalAudit agisce come Responsabile. Laddove LegalAudit definisca mezzi tecnici strettamente necessari per erogare il servizio, lo fa sulle istruzioni documentate del Titolare.
Dati Personali, Trattamento, Titolare, Responsabile, Sub-responsabile e Autorità di controllo hanno il significato di cui all'art. 4 GDPR e all'art. 5 nLPD. "Servizi" indica la Cyber Console LegalAudit, la generazione di dossier forensi, l'Expert Review e il monitoraggio Enterprise.
Oggetto: triage tecnico di artefatti forniti dal Cliente (URL, file, archivi, email) e generazione di dossier forensi. Durata: per la durata dell'accordo di servizio più i periodi di retention della Sezione 9. Natura: archiviazione, scansione, estrazione sandbox, analisi AI e rendering del dossier.
Interessati: utenti autorizzati del Cliente; soggetti citati nelle evidenze sottomesse (nomi, email, indirizzi IP, identificativi finanziari). Categorie: dati identificativi, contatti professionali, telemetria tecnica e qualsiasi dato personale contenuto nelle evidenze.
LegalAudit tratta i Dati solo su istruzioni documentate del Titolare, vincola il personale alla riservatezza, applica le misure della Sezione 7, assiste il Titolare negli adempimenti artt. 32-36 GDPR, cancella o restituisce i Dati al termine del rapporto e mette a disposizione le informazioni necessarie per dimostrare la conformità.
Il Titolare concede autorizzazione generale ai sub-responsabili elencati su legalaudit.ch/trust/subprocessors. LegalAudit notifica eventuali modifiche con almeno 30 giorni di anticipo e il Titolare può opporsi per motivi ragionevoli. I sub-responsabili attuali sono vincolati da contratti scritti che impongono obblighi sostanzialmente equivalenti.
Cifratura in transito (TLS 1.3 con HSTS preload), a riposo (AWS KMS SSE-KMS, percorsi segregati per cliente), audit log WORM hash-chained (SHA-256), IAM least-privilege, scansione ClamAV di ogni upload, estrazione archivi in sandbox bubblewrap, guardia SSRF su fetch esterni, MFA obbligatoria per lo staff con accesso produzione, RBAC e revisioni accessi trimestrali.
LegalAudit notifica al Titolare ogni violazione di Dati Personali senza ingiustificato ritardo e comunque entro 24 ore dalla scoperta, tramite security@legalaudit.ch. La notifica include natura della violazione, categorie e numero approssimativo di interessati, conseguenze probabili e misure adottate o proposte.
LegalAudit assiste il Titolare con adeguate misure tecniche e organizzative, nella misura del possibile, per adempiere agli obblighi del Capo III GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Le richieste degli utenti ricevute da LegalAudit sono inoltrate al Titolare entro 2 giorni lavorativi.
Chat free: 24 ore. Chat a pagamento: 30 giorni. Dossier forensi: conservati per la durata della relazione cliente più gli obblighi di archiviazione legali. Audit log: minimo 13 mesi (art. 958f CO). Alla cessazione LegalAudit cancella o restituisce tutti i Dati entro 30 giorni, salvo obblighi di legge.
Residenza primaria in Svizzera e UE. Quando un sub-responsabile tratta dati al di fuori di SEE/Svizzera, i trasferimenti si basano sulle Clausole Contrattuali Tipo UE (decisione 2021/914) e sull'addendum svizzero, con valutazioni di impatto archiviate.
Una volta all'anno, con preavviso scritto di 30 giorni, il Titolare può verificare la conformità al DPA tramite report di audit indipendenti (SOC 2, ISO 27001 quando disponibili) o tramite audit on-site condotto da terza parte concordata e vincolata alla riservatezza. I costi sono a carico del Titolare salvo non conformità sostanziali.
La responsabilità è soggetta alle limitazioni del master agreement. Il presente DPA entra in vigore alla firma, si applica per la durata dell'accordo sottostante e resta in vigore finché tutti i Dati Personali non sono stati cancellati o restituiti.
Il presente DPA è regolato dal diritto sostanziale svizzero. Foro competente Lugano, Svizzera, fatte salve norme imperative degli Stati Membri UE a tutela degli interessati.
Natura, finalità, durata, categorie di dati e interessati di cui alle Sezioni 3 e 4.
Lista attuale su legalaudit.ch/trust/subprocessors. Le modifiche sono notificate via trust center e via email ai contatti designati dal Titolare.
Dettagliate su legalaudit.ch/trust/security.
Documento informativo di LegalAudit SA. Le dichiarazioni riflettono lo stato attuale dei controlli e sono riviste trimestralmente. Non costituiscono garanzia contrattuale salvo recepimento in accordo firmato. Per termini vincolanti richiedi il DPA controfirmato a privacy@legalaudit.ch.