Accordo sul trattamento dei dati (DPA)

Ultimo aggiornamento: 14 luglio 2026

Accordo sul trattamento dei dati (DPA)

ai sensi dell’art. 28, par. 3, del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, GDPR)

tra

l’utente del servizio Aegis, incluse l’estensione Chrome e la demo del sito web (di seguito il «Titolare del trattamento»)

e

Kaino GmbH
Grabenweg 68, 4° piano E5_2
6020 Innsbruck, Austria
P. IVA: ATU77867578 · FN: 573644w
E-mail: aegis@kaino.io
(di seguito il «Responsabile del trattamento»)

(di seguito congiuntamente le «Parti»)

§ 1 Oggetto e durata del trattamento

1.1 Oggetto

Il presente accordo disciplina i diritti e gli obblighi delle Parti in relazione al trattamento di dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento. Esso specifica gli obblighi delle Parti in materia di protezione dei dati derivanti dall’utilizzo del servizio Aegis, inclusi tutti i piani (FREE, PLUS, PRO ed ENTERPRISE) nonché la demo del sito web offerta sulla pagina del prodotto («Try It»).

Il Responsabile del trattamento tratta i dati personali esclusivamente per conto e su istruzione documentata del Titolare del trattamento (art. 28, par. 3, lett. a, GDPR), salvo che sia obbligato al trattamento dal diritto dell’Unione o dello Stato membro cui è soggetto. In tal caso, il Responsabile del trattamento informa il Titolare del trattamento di tale obbligo giuridico prima del trattamento, a meno che il diritto in questione vieti tale informazione per rilevanti motivi di interesse pubblico.

1.2 Durata

Per gli abbonati, il presente accordo entra in vigore con la conclusione dell’abbonamento (Aegis PLUS o Aegis PRO) e termina automaticamente con la cessazione dell’abbonamento, indipendentemente dal motivo. Per l’utilizzo della demo del sito web, il presente accordo entra in vigore con il caricamento di un documento e termina con la conclusione del rispettivo trattamento. Gli obblighi di cui ai §§ 5, 7, 8 e 10 permangono oltre la fine dell’accordo, fermo restando che il diritto di verifica di cui al § 8 è limitato a 60 giorni dalla fine dell’accordo.

§ 2 Natura e finalità del trattamento

2.1 Finalità

Rilevamento e pseudonimizzazione di dati personali nei documenti del Titolare del trattamento mediante trattamento basato sull’IA, prima che tali documenti vengano trasmessi a piattaforme di chat IA (come ChatGPT, Claude o Gemini).

2.2 Natura del trattamento

2.3 Nessuna memorizzazione

I contenuti dei documenti non vengono memorizzati dal Responsabile del trattamento dopo il trattamento. Il trattamento avviene esclusivamente nella memoria di lavoro (in-memory processing). Dopo la restituzione del risultato, tutti i dati dei documenti vengono immediatamente cancellati.

2.4 Nessun addestramento di modelli

I contenuti dei documenti non vengono utilizzati né dal Responsabile del trattamento né dai sub-responsabili indicati al § 6.1 per l’addestramento o il miglioramento di modelli di IA.

§ 3 Tipo di dati personali e categorie di interessati

3.1 Tipi di dati personali

I documenti del Titolare del trattamento possono contenere, in particolare, le seguenti categorie di dati personali:

Categorie particolari di dati personali (art. 9 GDPR): il Titolare del trattamento è responsabile di garantire che il trattamento di categorie particolari di dati personali (ad es. dati sanitari, dati biometrici) avvenga solo in presenza di una base giuridica ai sensi dell’art. 9, par. 2, GDPR. Il Responsabile del trattamento non può accertare tecnicamente in anticipo la presenza di tali dati.

3.2 Categorie di interessati

A seconda dei documenti del Titolare del trattamento, possono essere interessati:

§ 4 Obblighi del Titolare del trattamento

Il Titolare del trattamento è l’unico responsabile della liceità del trattamento dei dati personali. Il Titolare del trattamento garantisce in particolare:

  1. di disporre di una base giuridica adeguata per la trasmissione al Responsabile del trattamento di dati personali di terzi (ad es. art. 6, par. 1, lett. f, GDPR: legittimo interesse alla pseudonimizzazione);
  2. di aver informato gli interessati in merito al trattamento, nella misura in cui ciò sia ragionevolmente esigibile e giuridicamente richiesto (artt. 13, 14 GDPR);
  3. di aver valutato autonomamente, prima della trasmissione, i rischi per i diritti e le libertà degli interessati;
  4. che le istruzioni impartite al Responsabile del trattamento siano conformi al GDPR.

§ 5 Obblighi del Responsabile del trattamento

5.1 Vincolo alle istruzioni

Il Responsabile del trattamento tratta i dati personali esclusivamente su istruzione documentata del Titolare del trattamento (anche per quanto riguarda il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale), salvo che sia obbligato al trattamento dal diritto dell’Unione o dello Stato membro cui è soggetto (art. 28, par. 3, lett. a, GDPR).

L’utilizzo del servizio Aegis conformemente ai termini di utilizzo applicabili costituisce l’istruzione documentata del Titolare del trattamento. Ulteriori istruzioni individuali richiedono la forma scritta (è sufficiente un’e-mail) all’indirizzo aegis@kaino.io.

5.2 Riservatezza

Il Responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di segretezza (art. 28, par. 3, lett. b, GDPR).

5.3 Misure tecniche e organizzative

Il Responsabile del trattamento adotta tutte le misure tecniche e organizzative richieste dall’art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio. Le misure sono descritte nell’Allegato 1 (alla fine del presente accordo).

5.4 Assistenza al Titolare del trattamento

Il Responsabile del trattamento assiste il Titolare del trattamento, tenendo conto della natura del trattamento:

  1. nell’adempimento dell’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del GDPR (art. 28, par. 3, lett. e, GDPR);
  2. nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 GDPR (sicurezza del trattamento, notifica di una violazione dei dati personali, valutazione d’impatto sulla protezione dei dati, consultazione preventiva) (art. 28, par. 3, lett. f, GDPR).

5.5 Notifica delle violazioni dei dati personali

Il Responsabile del trattamento informa il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali (art. 33, par. 2, GDPR). La notifica contiene almeno:

La notifica viene effettuata per e-mail all’indirizzo e-mail del Titolare del trattamento registrato al momento dell’abbonamento. Per gli utenti della demo del sito web il cui indirizzo e-mail non è noto al Responsabile del trattamento, la notifica avviene mediante pubblicazione sul sito web del Responsabile del trattamento.

5.6 Informazione in caso di istruzioni illecite

Il Responsabile del trattamento informa immediatamente il Titolare del trattamento qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati (art. 28, par. 3, secondo comma, GDPR).

§ 6 Sub-responsabili

6.1 Sub-responsabili autorizzati

Il Titolare del trattamento concede con il presente al Responsabile del trattamento un’autorizzazione scritta generale a ricorrere ai seguenti sub-responsabili (art. 28, par. 2, GDPR):

Sub-responsabileFinalitàUbicazione
OVHCloud SAS, Roubaix, FranciaPseudonimizzazione basata sull’IA ed elaborazione OCR dei contenuti dei documenti (Zero Data Retention)UE (Francia)
Scaleway SAS, Parigi, FranciaPseudonimizzazione basata sull’IA ed elaborazione OCR dei contenuti dei documenti (Zero Data Retention)UE (Francia)
Hetzner Online GmbH, Gunzenhausen, GermaniaHosting dei server e infrastruttura API (aegis.kaino.io), hosting del sito web e trattamento dei caricamenti di documenti della demoGermania

Il Responsabile del trattamento ha concluso con tutti i sub-responsabili contratti ai sensi dell’art. 28, par. 4, GDPR, che impongono loro gli stessi obblighi in materia di protezione dei dati stabiliti nel presente accordo.

6.2 Modifiche dei sub-responsabili

Il Responsabile del trattamento informa preventivamente il Titolare del trattamento di ogni prevista aggiunta o sostituzione di sub-responsabili e dà al Titolare del trattamento la possibilità di opporsi a tali modifiche (art. 28, par. 2, GDPR).

L’informazione avviene mediante aggiornamento dell’elenco dei sub-responsabili sul sito web del Responsabile del trattamento (Informativa sulla privacy, sezione 12) nonché per e-mail al Titolare del trattamento almeno 30 giorni prima della modifica prevista.

Se il Titolare del trattamento solleva un’opposizione motivata entro 30 giorni dalla notifica, le Parti si adoperano per trovare una soluzione consensuale. Se non è possibile raggiungere un accordo, il Titolare del trattamento ha un diritto di risoluzione straordinaria dell’abbonamento.

6.3 Nessun trasferimento verso paesi terzi

L’intero trattamento dei documenti avviene esclusivamente all’interno dell’UE/del SEE. Il Responsabile del trattamento non trasferisce alcun contenuto dei documenti verso paesi terzi.

§ 7 Cancellazione e restituzione dei dati

7.1 Durante il trattamento

I contenuti dei documenti vengono cancellati immediatamente e automaticamente al termine della pseudonimizzazione. Non avviene alcuna memorizzazione permanente dei contenuti dei documenti.

7.2 Dopo la fine dell’accordo

Il Responsabile del trattamento cancella entro 30 giorni dalla cessazione dell’abbonamento tutti i dati personali connessi al trattamento per conto del Titolare del trattamento, salvo che la conservazione sia prescritta dal diritto dell’Unione o dello Stato membro (art. 28, par. 3, lett. g, GDPR).

Poiché nessun contenuto dei documenti viene memorizzato in modo permanente, la cancellazione si limita a:

§ 8 Diritti di controllo e di verifica

8.1 Diritto di verifica del Titolare del trattamento

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, svolte dal Titolare del trattamento o da un altro revisore da questi incaricato (art. 28, par. 3, lett. h, GDPR).

8.2 Svolgimento

Le verifiche vengono svolte alle seguenti condizioni:

  1. Preavviso scritto di almeno 30 giorni (è sufficiente un’e-mail)
  2. Svolgimento durante i normali orari di ufficio
  3. Il revisore è vincolato alla riservatezza
  4. La verifica non deve compromettere in modo sproporzionato l’attività del Responsabile del trattamento
  5. Al massimo una verifica per anno civile, salvo che un motivo concreto renda necessaria una verifica aggiuntiva

8.3 Prova della conformità

Il Responsabile del trattamento può dimostrare il rispetto dei propri obblighi anche mediante la presentazione di un certificato aggiornato, di un rapporto di verifica o di un suo estratto, rilasciato da un revisore indipendente.

§ 9 Responsabilità

La responsabilità delle Parti è disciplinata dall’art. 82 GDPR. Per il resto si applicano le disposizioni generali sulla responsabilità dei Termini di utilizzo di Aegis.

§ 10 Disposizioni finali

10.1 Prevalenza

In caso di contraddizioni tra il presente DPA e altri accordi tra le Parti (inclusi i Termini di utilizzo), il presente DPA prevale per quanto riguarda la protezione dei dati personali.

10.2 Modifiche

Le modifiche del presente accordo richiedono la forma testuale. Le modifiche sostanziali vengono comunicate al Titolare del trattamento almeno 30 giorni prima della loro entrata in vigore. Se il Titolare del trattamento non si oppone entro 30 giorni dalla notifica, la modifica si considera accettata.

10.3 Diritto applicabile e foro competente

Il presente accordo è soggetto al diritto austriaco. Il foro competente è Innsbruck, Austria, nella misura consentita dalla legge.

10.4 Clausola salvatoria

Qualora una disposizione del presente accordo sia invalida o inattuabile, le restanti disposizioni rimangono impregiudicate. La disposizione invalida deve essere sostituita da una valida che si avvicini il più possibile allo scopo economico.

Allegato 1: misure tecniche e organizzative (art. 32 GDPR)

Kaino GmbH non gestisce data center propri. Le misure di sicurezza fisica (controllo degli accessi, alimentazione elettrica, protezione antincendio, climatizzazione) sono garantite dai fornitori di infrastruttura Hetzner Online GmbH (Germania, ISO 27001), OVHCloud SAS (Francia, ISO 27001) e Scaleway SAS (Francia, ISO 27001). Per le loro misure tecniche e organizzative rimandiamo a:

Kaino GmbH è responsabile delle seguenti misure a livello applicativo:

1. Trattamento transitorio (caratteristica di sicurezza centrale)

I contenuti dei documenti vengono trattati esclusivamente nella memoria di lavoro (in-memory processing) e immediatamente scartati dopo la restituzione del risultato. Non avviene alcuna memorizzazione permanente dei contenuti dei documenti. Questo principio architetturale elimina rischi sostanziali legati alla conservazione dei dati: in caso di guasto del sistema non va perso alcun dato dei documenti, poiché nessun dato è memorizzato. Il principio Zero Data Retention si applica in modo coerente lungo l’intera catena di trattamento, inclusi i sub-responsabili OVHCloud e Scaleway.

Minimizzazione dei dati mediante pre-elaborazione basata su regole: prima della trasmissione al trattamento basato sull’IA, Kaino GmbH esegue lato server una pre-elaborazione basata su regole, nella quale i dati personali già identificati (ad es. nomi, indirizzi e-mail, numeri di telefono) vengono sostituiti con segnaposto. I contenuti trasmessi ai modelli di IA sono quindi già parzialmente pseudonimizzati, riducendo così la quantità di dati personali trattati dai sub-responsabili al minimo tecnicamente necessario.

2. Riservatezza (art. 32, par. 1, lett. b, GDPR)

MisuraAttuazione
Controllo degli accessiAccesso all’API esclusivamente con una chiave di prodotto valida; nessun accesso anonimo
Controllo delle autorizzazioniAccesso ai server limitato a una cerchia ristretta di persone; accesso tramite SSH con autenticazione a chiave; autenticazione a due fattori (2FA) per tutti i sistemi; principio del privilegio minimo
Controllo della separazioneSeparazione dei clienti mediante chiavi di prodotto individuali; nessun trattamento di dati tra clienti diversi
Obbligo di riservatezzaTutte le persone con accesso a dati personali sono vincolate alla riservatezza (§ 5.2 del presente accordo)

3. Integrità (art. 32, par. 1, lett. b, GDPR)

MisuraAttuazione
Controllo del trasferimentoTrasmissione esclusivamente cifrata (HTTPS/TLS); nessuna connessione non cifrata
Controllo degli inputRegistrazione degli accessi all’API (log di accesso ai server, conservazione per 30 giorni)

4. Disponibilità e resilienza (art. 32, par. 1, lett. b, c, GDPR)

La disponibilità e la resilienza sono garantite dai fornitori di infrastruttura (alimentazione elettrica ridondante, connettività di rete, climatizzazione). Poiché nessun contenuto dei documenti viene memorizzato in modo permanente, non sono necessarie procedure di backup e di ripristino per i dati dei documenti.

5. Cifratura e pseudonimizzazione (art. 32, par. 1, lett. a, GDPR)

MisuraAttuazione
Cifratura del trasportoHTTPS/TLS per tutta la comunicazione API
Cifratura dei dati memorizzatiEncryption-at-Rest per i dati anagrafici dei clienti (indirizzo e-mail, nome, nome dell’azienda)
PseudonimizzazioneFunzione centrale del servizio: sostituzione dei dati personali con segnaposto

6. Verifica (art. 32, par. 1, lett. d, GDPR)

MisuraAttuazione
Verifica periodicaValutazione annuale dell’efficacia delle misure tecniche e organizzative
Verifica in caso di eventi e modificheVerifica delle misure tecniche e organizzative in caso di modifiche all’infrastruttura, di incidenti di sicurezza e di modifiche dei sub-responsabili
Controllo degli incarichiDPA conclusi con tutti i sub-responsabili; verifica in caso di modifiche contrattuali o di cambio di fornitore

Kaino GmbH