Perché il GDPR si applica all'inferenza
I prompt sono raramente anonimi. Messaggi dei clienti, ticket di supporto, documenti, codice con credenziali, testi medici o legali - tutti portano abitualmente dati personali, e nel momento in cui la tua applicazione li invia a un'API di inferenza, il GDPR disciplina quel trattamento. Tu resti il Controller (decidi perché e come i dati vengono usati); il provider che esegue il modello è un Processor che agisce sulle tue istruzioni. Ne derivano i doveri fondamentali del GDPR: una base giuridica per il trattamento, la minimizzazione dei dati, la limitazione delle finalità e un Data Processing Agreement scritto ai sensi dell'Articolo 28.
È facile trascurarlo perché una chiamata API sembra un dettaglio tecnico più che un trasferimento di dati. Ma l'inferenza legge i tuoi dati di produzione reali a ogni richiesta - è uno dei flussi di dati più sensibili di un'applicazione moderna, non un servizio di secondo piano. Dove e da chi avviene quel trattamento è quindi una questione di GDPR, non solo di ingegneria.
La conformità al GDPR non è sovranità dei dati
La domanda difficile per l'AI non è se puoi essere conforme al GDPR, ma cosa ti garantisce davvero la conformità. Inviare dati personali a un provider al di fuori dell'EU è un trasferimento internazionale verso un paese terzo, che il GDPR consente solo con garanzie specifiche - le Standard Contractual Clauses, o una decisione di adeguatezza come l'EU-US Data Privacy Framework. Quelle garanzie possono rendere lecito un trasferimento. Ciò che non possono fare è renderlo sovrano: la regione europea di un hyperscaler statunitense può essere pienamente conforme al GDPR e lasciare comunque i tuoi dati raggiungibili dalle autorità statunitensi. Nella sentenza Schrems II la massima corte dell'EU ha invalidato il precedente framework sui trasferimenti proprio per questo motivo - la legge di sorveglianza statunitense (FISA Section 702, sostenuta dal CLOUD Act) può imporre a un provider controllato dagli Stati Uniti di divulgare i dati ovunque siano archiviati, qualunque cosa dica il contratto.
Conformità e sovranità sono quindi due soglie diverse. La conformità al GDPR riguarda il trattamento lecito dei dati personali - una base giuridica, un DPA, garanzie di trasferimento valide - e un provider sotto quasi qualsiasi giurisdizione può soddisfarla. La sovranità dei dati è qualcosa di più forte: che nessuna legge straniera possa raggiungere i tuoi dati. A deciderlo è la giurisdizione del provider, non il luogo in cui il modello è stato costruito - un modello open-weight di qualsiasi origine, eseguito da un provider EU su infrastruttura EU, è al tempo stesso conforme e sovrano, mentre lo stesso modello dietro un'API controllata dagli Stati Uniti può essere conforme ma mai sovrano. Data Residency, giurisdizione e DPA sono le dimensioni che, insieme, colmano quel divario.
Conforme e sovrano presso Infercom
Sui suoi modelli ospitati in EU, Infercom ti offre entrambe le cose. La tua inferenza viene eseguita nell'EU, sotto un'entità operativa EU senza società madre statunitense, con un DPA firmabile ai sensi dell'Articolo 28 e i sub-processor elencati nel nostro Trust Center - così il livello di inferenza è conforme e sovrano, non un'eccezione permanente che devi giustificare in un audit. Non ti rende conforme da solo: una base giuridica, la minimizzazione dei dati e i tuoi doveri di Controller restano a te. E siamo trasparenti sui margini, perché la sovranità è qualcosa da verificare, non da dare per scontato - il nostro catalogo offre anche un livello globale di modelli instradati al di fuori dell'EU, chiaramente etichettati come non-sovereign nel portale così puoi mantenere un workload solo-EU quando è necessario, e alcuni dati operativi vengono trattati da un sub-processor statunitense in base alle Standard Contractual Clauses: un trattamento lecito ai sensi del GDPR, ma pur sempre un trasferimento, motivo per cui lo dichiariamo nel DPA invece di nasconderlo.
Fonti
Termini correlati
Data Residency
Dove i tuoi dati sono fisicamente archiviati ed elaborati - una parte necessaria della sovranità, ma non la stessa cosa del controllo su chi può raggiungerli legalmente.
Data Processing Agreement (DPA)
Il contratto previsto dall'Articolo 28 del GDPR che regola come un provider di inferenza può trattare i dati personali contenuti nei tuoi prompt - e un test di base per capire se un provider è pronto per l'enterprise.
Zero Data Retention (ZDR)
Quando un provider di inferenza non archivia i tuoi prompt o output dopo aver servito una richiesta, e non li usa mai per l'addestramento - riducendo la tua esposizione dei dati al solo momento dell'elaborazione.
Inferenza
Eseguire un modello AI addestrato per produrre output - il carico di lavoro di produzione dell'AI, quello i cui costi e velocità si accumulano con l'utilizzo.
Scopri come giurisdizione EU, Data Residency e un DPA firmabile si uniscono sulla nostra piattaforma AI sovrana EU - un controllo di cui puoi chiederci conto, non un bollino.