Glossario
Sovranità & Compliance

GDPR per l'inferenza AI

Il GDPR (General Data Protection Regulation) è la legge dell'EU che disciplina il trattamento dei dati personali. Per l'inferenza AI si applica nel momento in cui un prompt o una risposta contiene dati personali: tu agisci come titolare del trattamento (il Controller), il tuo provider di inferenza come responsabile del trattamento (il Processor), e un uso lecito richiede una base valida, un Data Processing Agreement e un trattamento che non esponga i dati ad accessi illeciti - anche attraverso un trasferimento internazionale.

Perché il GDPR si applica all'inferenza

I prompt sono raramente anonimi. Messaggi dei clienti, ticket di supporto, documenti, codice con credenziali, testi medici o legali - tutti portano abitualmente dati personali, e nel momento in cui la tua applicazione li invia a un'API di inferenza, il GDPR disciplina quel trattamento. Tu resti il Controller (decidi perché e come i dati vengono usati); il provider che esegue il modello è un Processor che agisce sulle tue istruzioni. Ne derivano i doveri fondamentali del GDPR: una base giuridica per il trattamento, la minimizzazione dei dati, la limitazione delle finalità e un Data Processing Agreement scritto ai sensi dell'Articolo 28.

È facile trascurarlo perché una chiamata API sembra un dettaglio tecnico più che un trasferimento di dati. Ma l'inferenza legge i tuoi dati di produzione reali a ogni richiesta - è uno dei flussi di dati più sensibili di un'applicazione moderna, non un servizio di secondo piano. Dove e da chi avviene quel trattamento è quindi una questione di GDPR, non solo di ingegneria.

La conformità al GDPR non è sovranità dei dati

La domanda difficile per l'AI non è se puoi essere conforme al GDPR, ma cosa ti garantisce davvero la conformità. Inviare dati personali a un provider al di fuori dell'EU è un trasferimento internazionale verso un paese terzo, che il GDPR consente solo con garanzie specifiche - le Standard Contractual Clauses, o una decisione di adeguatezza come l'EU-US Data Privacy Framework. Quelle garanzie possono rendere lecito un trasferimento. Ciò che non possono fare è renderlo sovrano: la regione europea di un hyperscaler statunitense può essere pienamente conforme al GDPR e lasciare comunque i tuoi dati raggiungibili dalle autorità statunitensi. Nella sentenza Schrems II la massima corte dell'EU ha invalidato il precedente framework sui trasferimenti proprio per questo motivo - la legge di sorveglianza statunitense (FISA Section 702, sostenuta dal CLOUD Act) può imporre a un provider controllato dagli Stati Uniti di divulgare i dati ovunque siano archiviati, qualunque cosa dica il contratto.

Conformità e sovranità sono quindi due soglie diverse. La conformità al GDPR riguarda il trattamento lecito dei dati personali - una base giuridica, un DPA, garanzie di trasferimento valide - e un provider sotto quasi qualsiasi giurisdizione può soddisfarla. La sovranità dei dati è qualcosa di più forte: che nessuna legge straniera possa raggiungere i tuoi dati. A deciderlo è la giurisdizione del provider, non il luogo in cui il modello è stato costruito - un modello open-weight di qualsiasi origine, eseguito da un provider EU su infrastruttura EU, è al tempo stesso conforme e sovrano, mentre lo stesso modello dietro un'API controllata dagli Stati Uniti può essere conforme ma mai sovrano. Data Residency, giurisdizione e DPA sono le dimensioni che, insieme, colmano quel divario.

Conforme e sovrano presso Infercom

Sui suoi modelli ospitati in EU, Infercom ti offre entrambe le cose. La tua inferenza viene eseguita nell'EU, sotto un'entità operativa EU senza società madre statunitense, con un DPA firmabile ai sensi dell'Articolo 28 e i sub-processor elencati nel nostro Trust Center - così il livello di inferenza è conforme e sovrano, non un'eccezione permanente che devi giustificare in un audit. Non ti rende conforme da solo: una base giuridica, la minimizzazione dei dati e i tuoi doveri di Controller restano a te. E siamo trasparenti sui margini, perché la sovranità è qualcosa da verificare, non da dare per scontato - il nostro catalogo offre anche un livello globale di modelli instradati al di fuori dell'EU, chiaramente etichettati come non-sovereign nel portale così puoi mantenere un workload solo-EU quando è necessario, e alcuni dati operativi vengono trattati da un sub-processor statunitense in base alle Standard Contractual Clauses: un trattamento lecito ai sensi del GDPR, ma pur sempre un trasferimento, motivo per cui lo dichiariamo nel DPA invece di nasconderlo.

Fonti

Termini correlati

Scopri come giurisdizione EU, Data Residency e un DPA firmabile si uniscono sulla nostra piattaforma AI sovrana EU - un controllo di cui puoi chiederci conto, non un bollino.

Pronto a Costruire il Futuro dell'AI in Europa?

Unisciti alle organizzazioni lungimiranti che implementano AI sovrana con prestazioni di livello mondiale