Torna alla home

Accordo sul trattamento dei dati

Ultimo aggiornamento: marzo 2026

1. Ambito di applicazione

Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte integrante del contratto tra il cliente ("Titolare del trattamento") e Amphelyx ("Responsabile del trattamento") e si applica al trattamento dei dati personali nell'ambito del Servizio.

Il presente DPA è stipulato ai sensi dell'articolo 28 del Regolamento Generale sulla Protezione dei Dati (RGPD).

2. Dettagli del trattamento dei dati

  • Finalità: fornitura dei servizi della piattaforma IA come descritto nel contratto di servizio.
  • Natura del trattamento: archiviazione, recupero, vettorizzazione e inferenza IA su documenti caricati e interazioni via chat.
  • Categorie di interessati: dipendenti e utenti autorizzati del Titolare del trattamento.
  • Tipologie di dati personali: nomi, indirizzi e-mail, documenti caricati dagli utenti, messaggi di chat e output generati dall'IA.
  • Durata: per tutta la durata del contratto di servizio più il periodo di conservazione dei dati.

3. Misure di sicurezza

Amphelyx implementa le seguenti misure tecniche e organizzative:

  • Cifratura dei dati a riposo (AES-256) e in transito (TLS 1.3).
  • Controllo degli accessi basato sui ruoli con il principio del privilegio minimo.
  • Inferenza LLM sui nostri server europei per impostazione predefinita — i dati vengono inviati a fornitori IA terzi solo se il Titolare del trattamento lo configura esplicitamente.
  • Valutazioni di sicurezza e scansioni delle vulnerabilità regolari.
  • Registrazione audit di tutti gli accessi ai dati e delle attività di trattamento.
  • Controlli di sicurezza fisica presso le strutture dei data center (UE e Svizzera).

Se il Titolare del trattamento configura un fornitore IA terzo (ad es. OpenAI, Anthropic, Google), i prompt e gli output generati dall'IA possono essere elaborati da tale fornitore. In questo caso, il fornitore agisce come sub-responsabile aggiuntivo e il Titolare del trattamento è responsabile di garantire una base giuridica adeguata per il trasferimento.

4. Sub-responsabili

Per la nostra offerta in cloud, ci avvaliamo dei seguenti sub-responsabili, tutti situati all'interno dell'Unione Europea o della Svizzera:

  • Fornitore di infrastruttura: hosting cloud europeo per server e database (UE e Svizzera).
  • Supabase: servizi di autenticazione (regione UE).

Per le implementazioni on-premise, non sono coinvolti sub-responsabili — tutti i dati rimangono sull'infrastruttura del Titolare del trattamento.

5. Diritti degli interessati

Amphelyx assisterà il Titolare del trattamento nel rispondere alle richieste degli interessati che esercitano i propri diritti ai sensi del RGPD (accesso, rettifica, cancellazione, portabilità, limitazione e opposizione).

6. Notifica di violazione dei dati

In caso di violazione dei dati personali, Amphelyx informerà il Titolare del trattamento senza indebito ritardo e, in ogni caso, entro 48 ore dal momento in cui ne è venuta a conoscenza, fornendo tutte le informazioni necessarie affinché il Titolare possa adempiere ai propri obblighi di notifica ai sensi dell'articolo 33 del RGPD.

7. Cancellazione dei dati

Alla cessazione del contratto di servizio, Amphelyx cancellerà o restituirà tutti i dati personali al Titolare del trattamento entro 30 giorni, salvo che la conservazione sia richiesta dalla legge applicabile.

8. Contatti

Per richiedere una copia firmata del presente DPA o per discutere questioni relative al trattamento dei dati, La preghiamo di utilizzare il nostro modulo di contatto.