Accordo sul trattamento dei dati (DPA)
Documento di riferimento
Questo è l'accordo sul trattamento dei dati predefinito, EU-first di niil (art. 28 GDPR), fornito per la tua revisione. Per il servizio niil ospitato (niil.ai / app.niil.ai), il Responsabile è Gradient Zero Deutschland GmbH (gzero.ai), che fornisce la versione vincolante. Per un'installazione self-hosted, l'organizzazione che opera l'istanza è il Responsabile e fornisce la versione vincolante — con la propria entità giuridica che opera, i recapiti e gli eventuali valori specifici del deployment — revisionata da un legale qualificato. Questa pagina non costituisce consulenza legale.
Art. 28 GDPR · Versione 1.0
Questo DPA disciplina il trattamento dei dati personali da parte del Responsabile (per il servizio niil ospitato, Gradient Zero Deutschland GmbH, gzero.ai; per un'installazione self-hosted, l'entità che opera la tua istanza niil) per conto del Cliente (tu) durante l'uso di niil (i «Servizi»). Integra l'accordo principale e prevale su di esso per le questioni relative al trattamento dei dati personali.
1. Oggetto & ruoli
Il Responsabile tratta i dati personali per conto del Cliente esclusivamente per fornire i Servizi e solo su istruzioni documentate del Cliente (anche tramite le funzionalità del Servizio). Quando il Cliente è a sua volta responsabile del trattamento, il Responsabile agisce come sub-responsabile.
2. Natura, finalità & durata
- Finalità — la fornitura di un servizio di chat sicura e chat documentale multi-modello.
- Natura del trattamento — archiviazione, recupero, trasmissione a sub-responsabili di IA per l'inferenza ed eliminazione.
- Durata — la durata dell'accordo principale; il trattamento termina alla cessazione ai sensi del §8.
3. Categorie di interessati & di dati (Allegato 1)
- Interessati — gli utenti autorizzati del Cliente e le persone menzionate nei contenuti che essi inviano.
- Tipi di dati — nomi e indirizzi e-mail; il contenuto delle chat e dei documenti caricati; i metadati di utilizzo e fatturazione.
- Categorie particolari — solo se inviate dagli utenti del Cliente; il Cliente è responsabile della base giuridica.
4. Istruzioni del Cliente
Il Responsabile tratta i dati personali solo su istruzioni documentate e informa il Cliente se un'istruzione sembra violare la normativa sulla protezione dei dati. Il Responsabile non utilizza i dati del Cliente per addestrare modelli di IA e, ove supportato, contrattualizza la Zero Data Retention con i sub-responsabili di IA (vedi Zero Data Retention).
5. Sub-responsabili
Il Cliente concede un'autorizzazione generale a impiegare i sub-responsabili elencati nell'allegato Sub-responsabili. Il Responsabile impone a ciascuno obblighi di protezione dei dati equivalenti, notifica al Cliente le modifiche previste con almeno 15 giorni di anticipo e consente un'obiezione motivata.
6. Trasferimenti internazionali
Il trattamento avviene all'interno dell'UE/SEE. Qualsiasi trasferimento verso un paese terzo si basa su una decisione di adeguatezza, sulle clausole contrattuali tipo dell'UE o su un'altra garanzia del Capo V. I punti di inferenza sono ancorati regionalmente all'UE — vedi Sovranità & residenza UE.
7. Misure tecniche & organizzative
Il Responsabile mantiene le misure indicate nelle Misure tecniche & organizzative, inclusi cifratura AES-256-GCM a riposo, TLS in transito, isolamento dei tenant, accesso a privilegio minimo e registrazione di audit. Le misure possono essere sostituite da altre equivalenti o più rigorose.
8. Assistenza, notifica delle violazioni, audit
- Il Responsabile assiste il Cliente con le richieste degli interessati — il Servizio offre l'esportazione dell'accesso e la cancellazione self-service — e con gli obblighi di cui agli artt. 32–36.
- Il Responsabile notifica al Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione di dati personali.
- Il Responsabile mette a disposizione le informazioni necessarie a dimostrare la conformità e consente audit (al massimo una volta l'anno con ragionevole preavviso, o tramite certificazioni e report ove disponibili).
9. Cancellazione & restituzione
Alla cessazione, il Responsabile cancella o restituisce i dati del Cliente a scelta del Cliente entro 30 giorni, fatti salvi gli obblighi di conservazione di legge. La cancellazione include la cancellazione crittografica dei contenuti cifrati — vedi Cifratura.
10. Responsabilità & durata
La responsabilità segue l'accordo principale. Questo DPA ha effetto con l'accordo principale e termina quando il trattamento si conclude.
Allegati: Allegato 1 (dettagli del trattamento — §3 sopra), Allegato 2 (Sub-responsabili), Allegato 3 (Misure tecniche & organizzative — TOM).