Perché l'inferenza AI ha bisogno di un DPA
Quando la tua applicazione invia un prompt a un'API di inferenza, quel prompt contiene spesso dati personali - nomi, email, ticket di supporto, testi medici o legali. Ai sensi del GDPR tu sei il Controller e il provider di inferenza è un Processor che agisce sulle tue istruzioni, e l'Articolo 28 richiede che questo rapporto sia regolato da un contratto scritto: il DPA. Senza di esso, inviare dati personali al provider non ha alcuna base giuridica sul lato del trattamento, per quanto buona sia la sicurezza del provider.
Un DPA è quindi una delle prime cose che un acquirente enterprise o regolamentato verifica - "offrite un DPA firmabile?" è una domanda dirimente nella maggior parte delle valutazioni di procurement e di sicurezza. Un provider che non è in grado di fornire un adeguato DPA ai sensi dell'Articolo 28 non può essere usato per nulla che tocchi dati personali, il che lo esclude dalla maggior parte dei deployment EU seri.
Cosa deve coprire un DPA
L'Articolo 28 stabilisce cosa deve contenere l'accordo. Il Processor deve: trattare i dati personali solo sulla base delle istruzioni documentate del Controller; garantire che chiunque abbia accesso sia vincolato alla riservatezza; implementare misure di sicurezza tecniche e organizzative adeguate; non ricorrere a sub-processor senza autorizzazione, trasferendo loro gli stessi obblighi; assistere il Controller in materia di diritti degli interessati e notifica delle violazioni; e cancellare o restituire i dati al termine del servizio.
La clausola sui sub-processor è il punto in cui sovranità e DPA si incontrano. Ogni soggetto della catena che può toccare i dati - il datacenter, qualsiasi fornitore di managed-service o hardware con accesso - è un sub-processor che deve essere nominato e vincolato. Ecco perché la trasparenza conta: un DPA è forte solo quanto l'onestà del suo elenco di sub-processor, e un provider sotto giurisdizione straniera può comunque essere obbligato alla divulgazione nonostante un contratto firmato.
Il DPA presso Infercom
Infercom offre ai clienti enterprise un Data Processing Agreement firmabile ai sensi dell'Articolo 28 del GDPR, sostenuto da un'entità operativa EU e dall'elaborazione in EU. I nostri sub-processor e le nostre certificazioni sono elencati in modo trasparente nel nostro Trust Center, compreso dove un componente - come il fornitore di hardware - si trova al di fuori dell'EU, così puoi valutare l'intera catena invece di un bollino. Un DPA più la giurisdizione EU è ciò che trasforma "i tuoi dati restano nell'EU" da slogan di marketing in un contratto di cui puoi chiederci conto.
Fonti
Termini correlati
GDPR per l'inferenza AI
Cosa richiede la legge europea sulla protezione dei dati quando i tuoi prompt contengono dati personali - una base giuridica, un accordo con il responsabile del trattamento e un trattamento che resta alla portata del diritto EU.
Data Residency
Dove i tuoi dati sono fisicamente archiviati ed elaborati - una parte necessaria della sovranità, ma non la stessa cosa del controllo su chi può raggiungerli legalmente.
Zero Data Retention (ZDR)
Quando un provider di inferenza non archivia i tuoi prompt o output dopo aver servito una richiesta, e non li usa mai per l'addestramento - riducendo la tua esposizione dei dati al solo momento dell'elaborazione.
Inferenza
Eseguire un modello AI addestrato per produrre output - il carico di lavoro di produzione dell'AI, quello i cui costi e velocità si accumulano con l'utilizzo.
Scopri come giurisdizione EU, Data Residency e un DPA firmabile si uniscono sulla nostra piattaforma AI sovrana EU - un controllo di cui puoi chiederci conto, non un bollino.