Glossario
Sovranità & Compliance

Data Processing Agreement (DPA)

Un Data Processing Agreement (DPA) è il contratto richiesto dall'Articolo 28 del GDPR tra un titolare del trattamento (il Controller, cioè tu) e un responsabile del trattamento (il Processor, il tuo provider di inferenza) che regola come il provider può trattare i dati personali per tuo conto. Definisce gli obblighi del provider - istruzioni, riservatezza, sicurezza, sub-processor e cancellazione - ed è una precondizione per inviare lecitamente qualsiasi dato personale a un servizio AI.

Perché l'inferenza AI ha bisogno di un DPA

Quando la tua applicazione invia un prompt a un'API di inferenza, quel prompt contiene spesso dati personali - nomi, email, ticket di supporto, testi medici o legali. Ai sensi del GDPR tu sei il Controller e il provider di inferenza è un Processor che agisce sulle tue istruzioni, e l'Articolo 28 richiede che questo rapporto sia regolato da un contratto scritto: il DPA. Senza di esso, inviare dati personali al provider non ha alcuna base giuridica sul lato del trattamento, per quanto buona sia la sicurezza del provider.

Un DPA è quindi una delle prime cose che un acquirente enterprise o regolamentato verifica - "offrite un DPA firmabile?" è una domanda dirimente nella maggior parte delle valutazioni di procurement e di sicurezza. Un provider che non è in grado di fornire un adeguato DPA ai sensi dell'Articolo 28 non può essere usato per nulla che tocchi dati personali, il che lo esclude dalla maggior parte dei deployment EU seri.

Cosa deve coprire un DPA

L'Articolo 28 stabilisce cosa deve contenere l'accordo. Il Processor deve: trattare i dati personali solo sulla base delle istruzioni documentate del Controller; garantire che chiunque abbia accesso sia vincolato alla riservatezza; implementare misure di sicurezza tecniche e organizzative adeguate; non ricorrere a sub-processor senza autorizzazione, trasferendo loro gli stessi obblighi; assistere il Controller in materia di diritti degli interessati e notifica delle violazioni; e cancellare o restituire i dati al termine del servizio.

La clausola sui sub-processor è il punto in cui sovranità e DPA si incontrano. Ogni soggetto della catena che può toccare i dati - il datacenter, qualsiasi fornitore di managed-service o hardware con accesso - è un sub-processor che deve essere nominato e vincolato. Ecco perché la trasparenza conta: un DPA è forte solo quanto l'onestà del suo elenco di sub-processor, e un provider sotto giurisdizione straniera può comunque essere obbligato alla divulgazione nonostante un contratto firmato.

Il DPA presso Infercom

Infercom offre ai clienti enterprise un Data Processing Agreement firmabile ai sensi dell'Articolo 28 del GDPR, sostenuto da un'entità operativa EU e dall'elaborazione in EU. I nostri sub-processor e le nostre certificazioni sono elencati in modo trasparente nel nostro Trust Center, compreso dove un componente - come il fornitore di hardware - si trova al di fuori dell'EU, così puoi valutare l'intera catena invece di un bollino. Un DPA più la giurisdizione EU è ciò che trasforma "i tuoi dati restano nell'EU" da slogan di marketing in un contratto di cui puoi chiederci conto.

Fonti

Termini correlati

Scopri come giurisdizione EU, Data Residency e un DPA firmabile si uniscono sulla nostra piattaforma AI sovrana EU - un controllo di cui puoi chiederci conto, non un bollino.

Pronto a Costruire il Futuro dell'AI in Europa?

Unisciti alle organizzazioni lungimiranti che implementano AI sovrana con prestazioni di livello mondiale