GDPR e Dati

Ultimo aggiornamento: aprile 2026 · Si applica a tutti i clienti della piattaforma Kairo

Indice

Panoramica
Ruoli di titolare e responsabile
Data Processing Agreement (DPA)
Sub-responsabili
Localizzazione e trasferimenti
Misure di sicurezza
Richieste degli interessati
Notifica di violazione
DPIA e consultazioni
Contatti

1. Panoramica

La piattaforma Kairo è costruita e gestita all'interno dell'Unione europea. PiirZ Digital Limited è registrata a Malta, stato membro UE. Il Regolamento generale sulla protezione dei dati (UE 2016/679) si applica direttamente alle nostre operazioni.

Trattiamo la protezione dei dati come un requisito ingegneristico, non come una checkbox di compliance. Questa pagina spiega come gli obblighi GDPR sono distribuiti tra Kairo e i clienti della piattaforma, e quali impegni assumiamo.

2. Ruoli di titolare e responsabile

Il GDPR distingue tra titolari del trattamento (chi determina perché e come i dati sono trattati) e responsabili del trattamento (chi tratta i dati per conto del titolare).

Contesto	La tua organizzazione	Kairo / PiirZ Digital
Piattaforma Kairo (uso DMO / operatore)	Titolare del trattamento	Responsabile del trattamento
Interazioni dei visitatori tramite il tuo assistente Kairo	Titolare del trattamento (i tuoi visitatori sono i tuoi interessati)	Responsabile del trattamento
Sito Kairo (kairo.ai) e richieste dirette	—	Titolare del trattamento
Dati di dipendenti/collaboratori Kairo	—	Titolare del trattamento

Come responsabile del trattamento, agiamo solo su tue istruzioni documentate e non trattiamo dati personali per finalità nostre oltre quanto necessario a erogare il servizio.

3. Data Processing Agreement (DPA)

Tutte le subscription della piattaforma Kairo includono un Data Processing Agreement che soddisfa i requisiti dell'Art. 28 GDPR. Il DPA copre:

Oggetto, durata, natura e finalità del trattamento
Categorie di dati personali trattati e categorie di interessati
Obblighi e diritti del titolare (la tua organizzazione)
I nostri impegni come responsabile: riservatezza, sicurezza, gestione dei sub-responsabili, assistenza alle richieste degli interessati, cancellazione o restituzione dei dati a fine contratto
Clausole Contrattuali Standard per trasferimenti fuori dal SEE, ove applicabili

Il DPA è incorporato per riferimento in tutti gli Order Form. Per chiedere una copia o proporre modifiche, scrivi a legal@kairo.ai.

4. Sub-responsabili

Coinvolgiamo un set limitato di sub-responsabili per erogare la piattaforma. Valutiamo la conformità GDPR di ciascun sub-responsabile prima di onboardarlo e imponiamo obblighi di protezione dei dati per contratto.

Le categorie di sub-responsabili attuali includono infrastruttura cloud, API di modelli AI, email transazionale e analytics. Manteniamo una lista specifica di sub-responsabili, fornita su richiesta.

Notifichiamo ai clienti attivi qualsiasi modifica sostanziale alla lista dei sub-responsabili con almeno 30 giorni di anticipo. I clienti che si oppongono per iscritto entro tale finestra possono recedere senza penali.

5. Localizzazione e trasferimenti

Il trattamento primario dei dati avviene all'interno dello Spazio economico europeo (SEE). In particolare:

I dati della piattaforma e i contenuti del cliente sono archiviati in datacenter SEE
Le API dei modelli AI possono comportare trasferimenti fuori dal SEE; questi sono coperti da Clausole Contrattuali Standard e, ove disponibili, da misure tecniche supplementari (cifratura in transito e a riposo)
Non trasferiamo dati personali a paesi privi di decisione di adeguatezza o garanzie appropriate

6. Misure di sicurezza

Implementiamo misure tecniche e organizzative adeguate al rischio, inclusi:

Cifratura in transito (TLS 1.2+) e a riposo (AES-256 o equivalente)
Controlli di accesso basati su principi di least-privilege; gli accessi in produzione sono loggati e auditabili
Scansioni periodiche di dipendenze e vulnerabilità
Formazione sulla protezione dei dati e obblighi di riservatezza per i dipendenti
Procedure di incident response con tempi di escalation definiti

7. Richieste degli interessati

Quando i tuoi visitatori o utenti esercitano i diritti GDPR (accesso, cancellazione, portabilità, opposizione) tramite te, dobbiamo assisterti nell'evadere tali richieste. Ci impegniamo a:

Rispondere alle richieste documentate di estrazione o cancellazione dati entro 72 ore
Fornire strumenti self-serve nella piattaforma ove tecnicamente possibile
Mantenere log di audit a supporto dei tuoi obblighi di risposta

Se un visitatore finale ci contatta direttamente, lo reindirizzeremo a te come titolare di riferimento (salvo i casi in cui agiamo come titolare in proprio).

8. Notifica di violazione

In caso di violazione di dati personali che ti coinvolge:

Ti notificheremo senza indebito ritardo ed entro 36 ore dalla nostra consapevolezza della violazione
La notifica includerà la natura della violazione, le probabili conseguenze, le categorie di dati interessate e le nostre misure iniziali di mitigazione
Forniremo aggiornamenti continuativi mentre l'indagine procede

Questo ti consente di rispettare il tuo obbligo di notifica all'autorità di vigilanza entro 72 ore ai sensi dell'Art. 33 GDPR.

9. DPIA e consultazioni

Se il tuo uso della piattaforma Kairo comporta trattamenti ad alto rischio che attivano una Data Protection Impact Assessment (DPIA) ai sensi dell'Art. 35 GDPR, forniremo le informazioni ragionevolmente necessarie a completare la valutazione, incluse le nostre misure tecniche e organizzative di sicurezza e i dettagli sui sub-responsabili.

Attualmente non riteniamo che l'uso standard della piattaforma Kairo costituisca trattamento "ad alto rischio" secondo le linee guida EDPB, ma riconosciamo che la valutazione dipende dalla tua specifica configurazione e use case.

Per richieste GDPR, DPA o assistenza agli interessati:

PiirZ Digital Limited — Protezione Dati
Malta
privacy@kairo.ai

Autorità di vigilanza: Information and Data Protection Commissioner (IDPC), Malta