I tuoi dati non sono il nostro prodotto: sono materiale di lavoro che ci affidi. Per questo il loro perimetro è definito prima di iniziare — dove risiedono, chi può accedervi, per quanto tempo, cosa succede quando il rapporto finisce.
UEresidenza dei data center
100%azioni dell'IA registrate
72hnotifica violazioni al Garante
Residenza e trasferimenti
L'infrastruttura risiede in data center nell'Unione Europea. I fornitori esterni entrano solo con contratti ex art. 28 GDPR, e un eventuale trasferimento extra-UE è ammesso solo con le garanzie del capo V del regolamento, come le clausole contrattuali standard. Nessun flusso di dati implicito: ogni passaggio è dichiarato e documentato.
Accessi e minimizzazione
Vale il principio del minimo indispensabile: ogni persona — e ogni agente di IA — accede solo ai dati necessari al proprio compito. Connessioni cifrate, accessi nominali, privilegi amministrativi ridotti e registrati.
Tracciabilità e supervisione
Ogni azione rilevante dell'IA finisce in un registro: cosa è stato chiesto, cosa è stato fatto, chi ha approvato. Le operazioni con effetti reali passano da un via libera umano. È questo che rende la conformità dimostrabile — anche nel caso peggiore, quando il GDPR impone di notificare una violazione al Garante entro 72 ore.
Titolarità e uscita
I dati restano tuoi: conservazione limitata allo scopo, diritti degli interessati sempre esercitabili — accesso, rettifica, cancellazione, portabilità (artt. 15–22). E a fine rapporto, restituzione o cancellazione documentata, come prevede l'art. 28.
riferimenti · GDPR artt. 5, 6, 15–22, 25, 28, 32–34, 44 ss.