Data: 27 marzo 2026
Accordo sul trattamento dei dati (DPA)
ai sensi dell'art. 28, par. 3 del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati — GDPR)
tra
all’utente del servizio Aegis — inclusa l’estensione Chrome e la demo del sito web (di seguito “Titolare del trattamento”)
e
Kaino GmbH
Grabenweg 68, 4. OG E5_2
6020 Innsbruck, Austria
P.IVA: ATU77867578 · FN: 573644w
E-mail: aegis@kaino.io
(di seguito “Responsabile del trattamento”)
— di seguito congiuntamente le “Parti” —
§ 1 Oggetto e durata del trattamento
1.1 Oggetto
Il presente contratto disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento. Esso specifica gli obblighi di protezione dei dati delle parti derivanti dall'uso del servizio Aegis — inclusi tutti i piani (PLUS, PRO ed ENTERPRISE) e la demo del sito web offerta sulla pagina del prodotto (“Try It”).
Il Responsabile tratta i dati personali esclusivamente per conto e secondo le istruzioni documentate del Titolare (art. 28, par. 3, lett. a GDPR), a meno che non sia tenuto a farlo a norma del diritto dell'Unione o dello Stato membro cui è soggetto. In tal caso, il Responsabile informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che tale diritto non vieti tale informazione per importanti motivi di interesse pubblico.
1.2 Durata
Per gli abbonati, il presente contratto entra in vigore con la sottoscrizione dell'abbonamento (Aegis PLUS o Aegis PRO) e termina automaticamente con la cessazione dell'abbonamento, per qualsiasi motivo. Per l'utilizzo della demo del sito web, il presente contratto entra in vigore con il caricamento di un documento e termina con il completamento del rispettivo trattamento. Gli obblighi di cui ai §§ 5, 7, 8 e 10 continuano a sussistere oltre la scadenza del contratto, con il diritto di verifica ai sensi del § 8 limitato a 60 giorni dopo la scadenza del contratto.
§ 2 Natura e finalità del trattamento
2.1 Finalità
Rilevamento e anonimizzazione dei dati personali nei documenti del titolare del trattamento tramite elaborazione basata su IA, prima che tali documenti vengano trasmessi a piattaforme di chat IA (come ChatGPT, Claude o Gemini).
2.2 Natura del trattamento
- Ricezione di contenuti di documenti crittografati (HTTPS/TLS)
- Riconoscimento dei dati personali basato su IA (Named Entity Recognition)
- Elaborazione OCR per file immagine (PNG, JPEG, TIFF)
- Rimozione dei metadati incorporati nei file immagine
- Sostituzione dei dati personali rilevati con segnaposto
- Restituzione del testo anonimizzato e dell'assegnazione dei segnaposto al Titolare
2.3 Nessuna archiviazione
I contenuti dei documenti non vengono memorizzati dal Responsabile dopo l'elaborazione. Il trattamento avviene esclusivamente nella memoria volatile (In-Memory-Processing). Dopo la restituzione del risultato, tutti i dati dei documenti vengono immediatamente cancellati.
2.4 Nessun addestramento dei modelli
I contenuti dei documenti non vengono utilizzati né dal responsabile del trattamento né dai sub-responsabili del trattamento indicati al § 6.1 per l’addestramento o il miglioramento di modelli di IA.
§ 3 Tipo di dati personali e categorie di interessati
3.1 Tipi di dati personali
I documenti del Titolare possono contenere, in particolare, le seguenti categorie di dati personali:
- Nomi (nome e cognome, titoli accademici)
- Dati di contatto (indirizzi e-mail, numeri di telefono, indirizzi postali)
- Numeri di identificazione (numeri di previdenza sociale, numeri di documenti d'identità)
- Informazioni finanziarie (numeri di carta di credito, coordinate bancarie)
- Date di nascita
- Indirizzi IP
- Altri dati personali contenuti nei documenti
Categorie particolari di dati personali (Art. 9 GDPR): Il Titolare è responsabile di garantire che il trattamento di categorie particolari di dati personali (ad es. dati sanitari, dati biometrici) avvenga solo in presenza di una base giuridica ai sensi dell'art. 9, par. 2 GDPR. Il Responsabile non può determinare tecnicamente in anticipo la presenza di tali dati.
3.2 Categorie di interessati
A seconda dei documenti del Titolare, possono essere interessati:
- Dipendenti e candidati del Titolare
- Clienti e partner commerciali del Titolare
- Pazienti, assistiti, clienti
- Altre persone fisiche menzionate nei documenti
§ 4 Obblighi del Titolare del trattamento
Il Titolare è l'unico responsabile della liceità del trattamento dei dati personali. Egli garantisce in particolare:
- di disporre di un'idonea base giuridica per la trasmissione di dati personali di terzi al Responsabile (ad es. art. 6, par. 1, lett. f GDPR — legittimo interesse all'anonimizzazione);
- di aver informato gli interessati sul trattamento, nella misura in cui ciò sia ragionevole e legalmente richiesto (artt. 13, 14 GDPR);
- di aver valutato autonomamente i rischi per i diritti e le libertà degli interessati prima della trasmissione;
- che le istruzioni impartite al Responsabile siano conformi al GDPR.
§ 5 Obblighi del Responsabile del trattamento
5.1 Vincolo alle istruzioni
Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare — anche per quanto riguarda il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale —, a meno che non sia tenuto a farlo a norma del diritto dell'Unione o dello Stato membro cui è soggetto (art. 28, par. 3, lett. a GDPR).
L'utilizzo del servizio Aegis in conformità alle condizioni d'uso vigenti costituisce l'istruzione documentata del Titolare. Ulteriori istruzioni specifiche richiedono la forma scritta (è sufficiente l'e-mail) all'indirizzo aegis@kaino.io.
5.2 Riservatezza
Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza (art. 28, par. 3, lett. b GDPR).
5.3 Misure tecniche e organizzative
Il Responsabile adotta tutte le misure tecniche e organizzative richieste ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio. Le misure sono descritte nell'Allegato 1 (alla fine del presente contratto).
5.4 Supporto al Titolare del trattamento
Il Responsabile assiste il Titolare, tenuto conto della natura del trattamento:
- nell'adempimento dell'obbligo di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al Capo III del GDPR (art. 28, par. 3, lett. e GDPR);
- nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 GDPR (sicurezza del trattamento, notifica di una violazione dei dati personali, valutazione d'impatto sulla protezione dei dati, consultazione preventiva) (art. 28, par. 3, lett. f GDPR).
5.5 Notifica di violazioni dei dati
Il Responsabile informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali (art. 33, par. 2 GDPR). La notifica contiene almeno:
- una descrizione della natura della violazione;
- le categorie e il numero approssimativo di interessati e di record di dati;
- una descrizione delle probabili conseguenze;
- una descrizione delle misure adottate o proposte.
La notifica avviene tramite e-mail all'indirizzo del Titolare indicato al momento dell'abbonamento. Per gli utenti della demo del sito web la cui e-mail non è nota al responsabile del trattamento, la notifica avviene tramite pubblicazione sul sito web del responsabile del trattamento.
5.6 Informazione in caso di istruzioni illegittime
Il Responsabile informa immediatamente il Titolare se ritiene che un'istruzione violi il GDPR o altre disposizioni sulla protezione dei dati (art. 28, par. 3, comma 2 GDPR).
§ 6 Sub-responsabili del trattamento
6.1 Sub-responsabili autorizzati
Il Titolare autorizza con la presente il Responsabile, tramite autorizzazione scritta generale, a ricorrere ai seguenti sub-responsabili (art. 28, par. 2 GDPR):
| Sub-responsabile | Scopo | Sede |
|---|---|---|
| OVHCloud SAS, Roubaix, Francia | Anonimizzazione basata su IA ed elaborazione OCR dei contenuti dei documenti (Zero Data Retention) | UE (Francia) |
| Scaleway SAS, Parigi, Francia | Anonimizzazione basata su IA ed elaborazione OCR del contenuto dei documenti (Zero Data Retention) | UE (Francia) |
| Hetzner Online GmbH, Gunzenhausen, Germania | Hosting server e infrastruttura API (aegis.kaino.io) |
Germania |
| Raidboxes GmbH, Münster, Germania | Hosting del sito web e trattamento dei caricamenti di documenti demo | Germania |
Il responsabile del trattamento ha stipulato contratti con tutti i sub-responsabili del trattamento ai sensi dell'Art. 28 par. 4 GDPR, che impongono loro gli stessi obblighi di protezione dei dati stabiliti nel presente contratto.
6.2 Modifica dei sub-responsabili
Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare l'opportunità di opporsi a tali modifiche (art. 28, par. 2 GDPR).
L'informazione avviene tramite l'aggiornamento dell'elenco dei sub-responsabili sul sito web del Responsabile (kaino.io/aegis/privacy, sezione 7) e tramite e-mail al Titolare almeno 30 giorni prima della modifica prevista.
Se il Titolare solleva un'obiezione motivata entro 30 giorni dalla notifica, le parti cercheranno una soluzione amichevole. Se non si raggiunge un accordo, il Titolare ha il diritto di recedere straordinariamente dall'abbonamento.
6.3 Nessun trasferimento verso paesi terzi
L'intera elaborazione dei documenti avviene esclusivamente all'interno dell'UE/SEE. Il Responsabile non trasmette alcun contenuto di documenti a paesi terzi.
§ 7 Cancellazione e restituzione dei dati
7.1 Durante il trattamento
I contenuti dei documenti vengono cancellati immediatamente e automaticamente al termine dell'anonimizzazione. Non avviene alcuna archiviazione permanente dei contenuti dei documenti.
7.2 Dopo la fine del contratto
Il Responsabile cancella entro 30 giorni dalla cessazione dell'abbonamento tutti i dati personali relativi al trattamento per conto del Titolare, a meno che la conservazione non sia prescritta dal diritto dell'Unione o dello Stato membro (art. 28, par. 3, lett. g GDPR).
Poiché non vengono memorizzati permanentemente contenuti di documenti, la cancellazione si limita a:
- Dati anagrafici del cliente (indirizzo e-mail, nome, ragione sociale): anonimizzazione irreversibile entro 30 giorni dalla cessazione dell'abbonamento
- Statistiche d'uso: anonimizzazione entro 30 giorni dalla cessazione dell'abbonamento
- Log di accesso al server: cancellazione automatica dopo 30 giorni
§ 8 Diritti di controllo e verifica
8.1 Diritto di verifica del Titolare
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce alle attività di revisione — comprese le ispezioni — realizzate dal Titolare o da un altro soggetto da questi incaricato (art. 28, par. 3, lett. h GDPR).
8.2 Esecuzione
Le verifiche vengono effettuate alle seguenti condizioni:
- Preavviso scritto di almeno 30 giorni (è sufficiente l'e-mail)
- Esecuzione durante il normale orario di lavoro
- Il revisore è tenuto alla riservatezza
- La verifica non deve interferire in modo sproporzionato con le attività del Responsabile
- Massimo una verifica per anno solare, a meno che un motivo specifico non richieda una verifica supplementare
8.3 Dimostrazione di conformità
Il Responsabile può dimostrare il rispetto dei propri obblighi anche presentando un certificato aggiornato, un rapporto di audit o un estratto dello stesso redatto da un revisore indipendente.
§ 9 Responsabilità
La responsabilità delle parti è disciplinata dall'art. 82 GDPR. Per il resto, si applicano le disposizioni generali sulla responsabilità contenute nelle condizioni d'uso di Aegis.
§ 10 Disposizioni finali
10.1 Prevalenza
In caso di discrepanze tra il presente DPA e altri accordi tra le parti — comprese le condizioni d'uso — il presente DPA prevale per quanto riguarda la protezione dei dati personali.
10.2 Modifiche
Le modifiche al presente contratto richiedono la forma testuale. Le modifiche sostanziali saranno comunicate al Titolare almeno 30 giorni prima della loro entrata in vigore. Se il Titolare non si oppone entro 30 giorni dalla notifica, la modifica si intende accettata.
10.3 Legge applicabile e foro competente
Il presente contratto è soggetto alla legge austriaca. Il foro competente è Innsbruck, Austria, nella misura consentita dalla legge.
10.4 Clausola salvataria
Qualora una disposizione del presente contratto fosse inefficace o inapplicabile, le restanti disposizioni rimarranno invariate. La disposizione inefficace deve essere sostituita da una efficace che si avvicini il più possibile allo scopo economico.
Allegato 1: Misure tecniche e organizzative (Art. 32 GDPR)
Kaino GmbH non gestisce propri data center. Le misure di sicurezza fisiche (accesso, alimentazione elettrica, protezione antincendio, climatizzazione) sono garantite dai fornitori di infrastrutture Hetzner Online GmbH (Germania, ISO 27001), OVHCloud SAS (Francia, ISO 27001) e Scaleway SAS (Francia, ISO 27001). Per le loro misure tecniche e organizzative, si rimanda a:
- Hetzner Online GmbH: hetzner.com/de/legal/privacy-policy
- OVHCloud SAS: ovhcloud.com/de/personal-data-protection
- Scaleway SAS: scaleway.com/en/privacy-policy
Kaino GmbH è responsabile delle seguenti misure a livello applicativo:
1. Elaborazione transitoria (caratteristica di sicurezza principale)
I contenuti dei documenti vengono elaborati esclusivamente nella memoria volatile (In-Memory-Processing) e scartati immediatamente dopo la restituzione del risultato. Non avviene alcuna archiviazione permanente dei contenuti dei documenti. Questo principio architetturale elimina i rischi principali legati alla conservazione dei dati: in caso di guasto del sistema, non si perdono dati dei documenti poiché non ne vengono memorizzati. Il principio di Zero Data Retention si applica in tutta la catena di elaborazione — inclusi i sub-responsabili del trattamento OVHCloud e Scaleway.
Minimizzazione dei dati tramite pre-elaborazione basata su regole: Prima della trasmissione all’elaborazione basata su IA, Kaino GmbH esegue lato server una pre-elaborazione basata su regole, in cui i dati personali già rilevati (ad es. nomi, indirizzi e-mail, numeri di telefono) vengono sostituiti da segnaposto. I contenuti trasmessi ai modelli di IA risultano quindi già parzialmente anonimizzati, riducendo la quantità di dati personali trattati dai sub-responsabili del trattamento al minimo tecnicamente necessario.
2. Riservatezza (Art. 32, par. 1, lett. b GDPR)
| Misura | Implementazione |
|---|---|
| Controllo degli accessi fisici | Accesso API esclusivamente con chiave prodotto valida; nessun accesso anonimo |
| Controllo degli accessi logici | Accesso al server limitato a una cerchia ristretta di persone; accesso tramite SSH con autenticazione a chiave; autenticazione a due fattori (2FA) per tutti i sistemi; principio del privilegio minimo |
| Controllo della separazione | Separazione dei tenant tramite chiavi prodotto individuali; nessun trattamento dei dati tra diversi tenant |
| Obbligo di riservatezza | Tutte le persone con accesso ai dati personali sono tenute alla riservatezza (§ 5.2 del presente contratto) |
3. Integrità (Art. 32, par. 1, lett. b GDPR)
| Misura | Implementazione |
|---|---|
| Controllo della trasmissione | Trasmissione esclusivamente crittografata (HTTPS/TLS); nessuna connessione non crittografata |
| Controllo dell'inserimento | Registrazione degli accessi API (log di accesso al server, conservazione per 30 giorni) |
4. Disponibilità e resilienza (Art. 32, par. 1, lett. b, c GDPR)
La disponibilità e la resilienza sono garantite dai fornitori di infrastrutture (alimentazione ridondante, connessione di rete, climatizzazione). Poiché non vengono memorizzati permanentemente contenuti di documenti, non sono necessarie procedure di backup e ripristino per i dati dei documenti.
5. Crittografia e pseudonimizzazione (Art. 32, par. 1, lett. a GDPR)
| Misura | Implementazione |
|---|---|
| Crittografia del trasporto | HTTPS/TLS per tutte le comunicazioni API |
| Crittografia dell'archiviazione | Encryption-at-Rest per i dati anagrafici dei clienti (indirizzo e-mail, nome, ragione sociale) |
| Pseudonimizzazione | Funzione principale del servizio: sostituzione dei dati personali con segnaposto |
6. Revisione (Art. 32, par. 1, lett. d GDPR)
| Misura | Implementazione |
|---|---|
| Revisione regolare | Valutazione annuale dell'efficacia delle misure tecniche e organizzative |
| Revisione periodica e in caso di modifiche | Verifica delle misure tecniche e organizzative in caso di modifiche all'infrastruttura, incidenti di sicurezza e modifiche dei sub-responsabili |
| Controllo dell'incarico | DPA stipulati con tutti i sub-responsabili; verifica in caso di modifiche contrattuali o cambio di fornitore |
