Contratto del Responsabile del Trattamento (CRT)
Ultimo aggiornamento: 6 luglio 2026
Versione: 6 Luglio 2026. Questa versione è in vigore dal 6 Luglio 2026. In caso di modifiche sostanziali al presente Contratto del Responsabile del Trattamento, sarai avvisato/a tempestivamente. Il presente Contratto del Responsabile del Trattamento ("CRT") disciplina gli obblighi delle parti in materia di protezione dei dati connessi al trattamento dei dati personali nell'ambito dell'utilizzo dei servizi LokBox. Soddisfa i requisiti legali previsti dall'Art. 28 del GDPR e dalla Legge federale svizzera sulla protezione dei dati (nLPD). Cronologia delle modifiche: Versione 2026-07-06 – Aggiunta delle categorie di dati personali e delle categorie di interessati (§ 2), precisazione sulla conservazione dei dati nell'UE (§ 5), inserimento di una clausola sul foro competente (§ 11), chiarimenti in merito alle istruzioni e ai sub-responsabili del trattamento (§§ 3, 4). Versione 2026-06-16 – Versione iniziale.
1. Parti
Titolare del trattamento (Cliente): L'utente dei servizi LokBox che tratta dati personali nell'ambito del proprio account. Responsabile del trattamento (Fornitore): bubloo, Kubilé, Lischenweg 7, 4915 St. Urban, Svizzera (IDI: CHE-190.821.402).
2. Oggetto, Natura e Finalità del Trattamento
Il Responsabile del trattamento tratta i dati personali per conto e secondo le istruzioni documentate del Titolare del trattamento al fine di fornire i servizi LokBox (automazione del browser basata su IA, elaborazione testi e integrazioni API). Il trattamento comprende la raccolta, la registrazione, la conservazione, l'estrazione, la consultazione e la cancellazione dei dati. Categorie di dati personali: dati anagrafici dei mandanti (nomi, indirizzi, recapiti, informazioni sulla società e sulla forma giuridica); identificativi (ad es. IDI, numeri di registro di commercio, fiscali e di assicurazione sociale, nella misura in cui sono inseriti dal Titolare del trattamento); nonché dati delle attività del portale (i testi delle attività conferiti dal Titolare del trattamento, i documenti caricati, il contesto di accesso e i dati di risultato e di registro generati dall'agente). Categorie di interessati: i mandanti del Titolare del trattamento e i loro rappresentanti autorizzati o persone di contatto, i collaboratori e gli utenti finali del Titolare del trattamento, nonché altre persone fisiche i cui dati il Titolare del trattamento inserisce nell'ambito di un'attività.
3. Istruzioni e Riservatezza
Il Responsabile del trattamento tratta i dati personali esclusivamente su istruzione documentata del Titolare del trattamento. Se il Responsabile del trattamento ritiene che un'istruzione violi il GDPR, la nLPD o altre disposizioni in materia di protezione dei dati, ne informa tempestivamente il Titolare del trattamento (Art. 28, par. 3, comma 2 del GDPR). Il Responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati (dipendenti) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
4. Sub-responsabili del Trattamento (Subprocessors)
Il Responsabile del trattamento si avvale in particolare dei seguenti sub-responsabili per la fornitura dei servizi: Hetzner Online GmbH (hosting Frontend & Backend, Germania/Falkenstein (fsn1)); Amazon Web Services (AWS) (inferenza LLM (Bedrock) – nessun addestramento, UE eu-central-1 Francoforte); Supabase (database e archiviazione, UE eu-central-1 Francoforte); Stripe (elaborazione dei pagamenti, UE/Irlanda); Sentry (monitoraggio degli errori, UE de.sentry.io). L'elenco completo e sempre aggiornato dei sub-responsabili del trattamento è disponibile su lokbox.ch/subprocessors ed è determinante per l'ambito del consenso prestato; il Titolare del trattamento acconsente con la presente all'utilizzo dei sub-responsabili ivi elencati. Il Responsabile del trattamento vincola contrattualmente ciascun sub-responsabile a obblighi in materia di protezione dei dati sostanzialmente equivalenti a quelli concordati nel presente CRT (Art. 28, par. 4 del GDPR). Il Responsabile del trattamento informerà tempestivamente il Titolare in merito a qualsiasi modifica prevista (aggiunta o sostituzione); il Titolare del trattamento può opporsi per validi motivi legati alla protezione dei dati.
5. Trasferimenti internazionali di dati (Verso paesi terzi)
LokBox è un fornitore svizzero; tuttavia, il trattamento e la conservazione dei dati avvengono su infrastruttura europea nell'UE/SEE (in particolare a Francoforte). Nell'ambito dei servizi cloud non ha luogo alcun hosting produttivo di dati personali in Svizzera. Qualora l'uso di determinate integrazioni (es. Notion) comporti il trasferimento di dati negli Stati Uniti, il Responsabile del trattamento si avvale delle Clausole Contrattuali Tipo (SCC) della Commissione Europea (e dei relativi adeguamenti svizzeri) e del Data Privacy Framework (DPF) per garantire un livello adeguato di protezione dei dati ai sensi dell'Art. 46 del GDPR.
6. Misure Tecniche e Organizzative (MTO)
Il Responsabile del trattamento ha adottato adeguate misure tecniche e organizzative ai sensi dell'Art. 32 del GDPR per garantire un livello di sicurezza adeguato al rischio. Tali misure includono: Crittografia: Tutti i trasferimenti di dati (TLS/SSL) e i dati archiviati (Data at Rest) sono crittografati; Isolamento: Le automazioni del browser vengono eseguite in ambienti sandbox isolati ed effimeri; Controllo degli accessi: L'accesso fisico e logico è rigorosamente limitato.
7. Obblighi di assistenza e Notifica delle violazioni dei dati (Breach Notification)
Il Responsabile del trattamento assiste in modo adeguato il Titolare del trattamento per rispondere alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, ecc.). In caso di violazione dei dati personali (Data Breach), il Responsabile del trattamento informa tempestivamente il Titolare del trattamento dopo esserne venuto a conoscenza e lo assiste nei suoi obblighi legali di notifica e comunicazione (Art. 33, 34 GDPR) e nelle valutazioni d'impatto sulla protezione dei dati.
8. Diritti di controllo e audit
Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente CRT. Il Titolare del trattamento (o un revisore indipendente da lui incaricato) ha il diritto di effettuare verifiche e ispezioni ragionevoli, con un preavviso adeguato.
9. Conservazione e Cancellazione dei dati (Retention)
Al termine della fornitura dei servizi di trattamento o in caso di risoluzione, il Responsabile del trattamento cancella o restituisce (esporta) tutti i dati personali, a scelta del Titolare del trattamento, a meno che non esista un obbligo legale di conservazione. Può essere applicata una fase tecnica di "soft-delete" di 30 giorni per evitare perdite accidentali di dati prima della cancellazione fisica irrevocabile.
10. Durata del Contratto
Il presente CRT è stipulato a tempo indeterminato e termina automaticamente con la risoluzione del contratto principale relativo all'utilizzo dei servizi LokBox.
11. Legge applicabile e Foro competente
Il presente CRT è disciplinato esclusivamente dal diritto svizzero, con esclusione delle norme sui conflitti di legge e della Convenzione delle Nazioni Unite sui contratti di compravendita internazionale di merci. Il foro esclusivo per tutte le controversie derivanti dal presente CRT o ad esso connesse è Lucerna, Svizzera, salvo fori imperativi previsti dalla legge.