Documenti legali

Privacy Policy

Ultimo aggiornamento: 15 aprile 2026

La presente informativa descrive come Contrax raccoglie, utilizza e protegge i dati personali degli utenti ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e della normativa italiana in materia di protezione dei dati personali (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018).

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è Contrax, con sede operativa in Italia. Per qualsiasi richiesta relativa al trattamento dei dati personali, l'utente può contattare il titolare all'indirizzo email privacy@contrax.dev.

2. Dati personali raccolti

Contrax raccoglie e tratta le seguenti categorie di dati personali:

  • Dati di registrazione: nome, cognome, indirizzo email, password (in forma crittografata tramite hash), ruolo professionale selezionato (utente o avvocato).
  • Dati di fatturazione: informazioni necessarie all'emissione delle fatture e alla gestione degli abbonamenti, gestite tramite il processore di pagamento Stripe (Contrax non memorizza i dati della carta di credito sui propri server).
  • Dati di utilizzo: log di accesso, indirizzo IP, tipo di browser, sistema operativo, pagine visitate, azioni effettuate sulla piattaforma.
  • Contenuti caricati: documenti contrattuali (PDF) caricati dall'utente per l'analisi — si veda la Sezione 5.
  • Comunicazioni: messaggi inviati tramite i canali di supporto, feedback, richieste di assistenza.

3. Finalità del trattamento

I dati personali sono trattati per le seguenti finalità:

  • Fornire il Servizio richiesto (analisi contrattuale, gestione account, generazione report);
  • Gestire gli abbonamenti, elaborare pagamenti ed emettere fatture;
  • Garantire la sicurezza della piattaforma e prevenire frodi o abusi;
  • Fornire assistenza tecnica e rispondere alle richieste dell'utente;
  • Adempiere a obblighi di legge (contabili, fiscali, di sicurezza);
  • Inviare comunicazioni di servizio (conferma registrazione, cambio piano, fatturazione);
  • Inviare, previo consenso specifico, comunicazioni di marketing su nuove funzionalità o offerte.

4. Base giuridica

Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche, ai sensi dell'art. 6 del GDPR:

  • Esecuzione di un contratto (art. 6.1.b GDPR): per fornire il Servizio richiesto dall'utente e gestire il rapporto contrattuale;
  • Obbligo legale (art. 6.1.c GDPR): per adempiere agli obblighi fiscali, contabili e di sicurezza previsti dalla normativa;
  • Legittimo interesse (art. 6.1.f GDPR): per garantire la sicurezza della piattaforma, prevenire frodi e migliorare il Servizio;
  • Consenso (art. 6.1.a GDPR): per l'invio di comunicazioni di marketing, sempre revocabile in qualsiasi momento.

5. Trattamento dei contratti caricati

Riservatezza dei contratti: i documenti contrattuali caricati dall'utente possono contenere informazioni riservate, sensibili o coperte da segreto professionale. Contrax si impegna a trattare tali contenuti con il massimo livello di riservatezza e sicurezza.

I contratti caricati NON vengono utilizzati per addestrare modelli di intelligenza artificiale, né condivisi con terzi a fini commerciali, né utilizzati per scopi diversi dalla generazione del report richiesto dall'utente.

Il contenuto testuale dei contratti viene trasmesso, in forma crittografata, al fornitore del modello di intelligenza artificiale (Anthropic) esclusivamente per il tempo necessario alla generazione del report. Anthropic agisce in qualità di responsabile del trattamento e si è impegnata contrattualmente a non utilizzare i dati degli utenti per l'addestramento dei propri modelli.

I contratti caricati sono archiviati in spazio di storage privato (Supabase Storage) con accesso protetto da Row Level Security: ogni utente può accedere esclusivamente ai propri documenti. L'utente può eliminare in qualsiasi momento i propri contratti dalla piattaforma.

6. Dati personali di terzi contenuti nei contratti

Ruolo dell'utente. I contratti caricati possono contenere dati personali di soggetti diversi dall'utente (controparti contrattuali, loro rappresentanti e dipendenti, soggetti citati nelle clausole). Rispetto a tali dati, l'utente agisce in qualità di titolare del trattamento ai sensi dell'art. 4, n. 7) del GDPR; Contrax interviene come responsabile del trattamento ai sensi dell'art. 28 GDPR, limitatamente alle operazioni necessarie a fornire il Servizio.

Caricando un contratto, l'utente dichiara e garantisce di disporre di una base giuridica idonea ex art. 6 GDPR per il trattamento dei dati personali di terzi ivi contenuti, di aver assolto agli obblighi informativi ex artt. 13-14 GDPR ove applicabili, e di non caricare categorie particolari di dati ex art. 9 GDPR (dati relativi alla salute, origine etnica, opinioni politiche, convicinzioni religiose, appartenenza sindacale, dati genetici, biometrici, vita sessuale) o dati relativi a condanne penali ex art. 10 GDPR salvo espressa idonea base giuridica.

Accordo sul trattamento dei dati (DPA art. 28). Per i piani Business e Pro è disponibile, su richiesta, un Data Processing Agreement che disciplina nel dettaglio i ruoli delle parti, la natura e la finalità del trattamento, le misure di sicurezza adottate, il ricorso a sub-responsabili, i tempi di conservazione e l'assistenza nell'esercizio dei diritti degli interessati. Per richiederlo è sufficiente scrivere a privacy@contrax.dev.

Contrax non risponde delle violazioni della normativa privacy commesse a monte dall'utente titolare (es. assenza di base giuridica, mancata informativa ai terzi, caricamento di categorie particolari di dati senza adeguati presupposti). Eventuali richieste di esercizio dei diritti degli interessati di terzi devono essere indirizzate, in prima battuta, all'utente titolare.

7. Periodo di conservazione

I dati personali sono conservati per i seguenti periodi:

  • Dati dell'account e contratti caricati: per tutta la durata del rapporto contrattuale. In caso di cancellazione dell'account, i dati sono eliminati entro 30 giorni, salvo obblighi legali di conservazione.
  • Dati di fatturazione: 10 anni dalla data di emissione della fattura, ai sensi dell'art. 2220 del Codice Civile.
  • Log di accesso e sicurezza: massimo 12 mesi, salvo necessità di accertamento di eventuali illeciti.
  • Comunicazioni di supporto: 24 mesi dalla risoluzione della richiesta.

8. Destinatari e responsabili esterni

Per erogare il Servizio, Contrax si avvale di fornitori esterni che trattano i dati personali in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR:

  • Supabase (hosting database, autenticazione e storage) — server collocati in Europa.
  • Anthropic (elaborazione del testo contrattuale tramite modello Claude) — si veda la Sezione 8 per i trasferimenti extra-UE.
  • Stripe (processore di pagamento certificato PCI-DSS Livello 1) — gestione abbonamenti e fatturazione.
  • Vercel (hosting applicazione e CDN) — infrastruttura di delivery.

Tutti i fornitori sono stati selezionati tra soggetti che garantiscono adeguate misure tecniche e organizzative di sicurezza, e sono stati vincolati da contratti di data processing agreement (DPA). Contrax non vende né concede in licenza i dati personali degli utenti a terze parti.

9. Trasferimenti extra-UE

Alcuni fornitori (in particolare Anthropic e Stripe) hanno sede negli Stati Uniti d'America. I trasferimenti di dati personali verso tali paesi sono effettuati sulla base di:

  • EU-US Data Privacy Framework per i fornitori che vi hanno aderito;
  • Clausole contrattuali standard (SCC) approvate dalla Commissione Europea con Decisione 2021/914, per gli altri casi;
  • Ulteriori misure tecniche e organizzative (cifratura, pseudonimizzazione, controlli di accesso) per garantire un livello di protezione sostanzialmente equivalente a quello europeo.

10. Diritti dell'interessato

Ai sensi degli articoli 15-22 del GDPR, l'utente ha il diritto di:

  • Accesso (art. 15): ottenere conferma del trattamento e copia dei propri dati;
  • Rettifica (art. 16): correggere dati inesatti o incompleti;
  • Cancellazione (art. 17): richiedere l'eliminazione dei propri dati (“diritto all'oblio”);
  • Limitazione (art. 18): chiedere la limitazione del trattamento in determinate circostanze;
  • Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile;
  • Opposizione (art. 21): opporsi al trattamento fondato sul legittimo interesse;
  • Revoca del consenso: revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente.

Per esercitare i propri diritti, l'utente può scrivere a privacy@contrax.dev. La risposta sarà fornita entro 30 giorni dalla ricezione della richiesta.

12. Sicurezza dei dati

Contrax adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione indebita, tra cui:

  • Cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256);
  • Hashing delle password con algoritmi crittografici moderni;
  • Row Level Security (RLS) a livello di database per garantire l'isolamento tra utenti;
  • Autenticazione basata su cookie di sessione sicuri (HttpOnly, Secure, SameSite);
  • Log di accesso e monitoraggio degli eventi di sicurezza;
  • Backup periodici del database con retention limitata.

In caso di violazione dei dati personali (data breach), Contrax notificherà l'evento al Garante per la Protezione dei Dati Personali e agli interessati entro 72 ore, ove richiesto ai sensi degli artt. 33-34 del GDPR.

13. Minori

Il Servizio non è destinato a minori di 18 anni. Contrax non raccoglie consapevolmente dati personali di minori. Qualora venisse rilevata la registrazione di un minore, i relativi dati saranno cancellati tempestivamente.

14. Modifiche alla presente informativa

Contrax si riserva il diritto di aggiornare la presente informativa in qualsiasi momento per adeguarla a modifiche normative, tecniche o organizzative. Le modifiche sostanziali saranno comunicate all'utente con adeguato preavviso. La data dell'ultimo aggiornamento è indicata in cima alla pagina.

15. Contatti e reclami

Per qualsiasi domanda o richiesta relativa al trattamento dei dati personali, l'utente può contattare il titolare all'indirizzo privacy@contrax.dev.

Qualora l'utente ritenga che il trattamento dei propri dati personali violi il GDPR, ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'autorità di controllo del proprio Stato di residenza abituale.