INFORMATIVA PRIVACY

Di seguito vengono riportati i termini per la Nomina di Open Gate a Responsabile esterno del Trattamento: se la tua Azienda necessita di finalizzare questo documento con Open Gate, sei pregato di contattare sales@opengate.biz.

Il presente Addendum (“DPA”) regola l’elaborazione dei dati del Cliente (“Titolare”), da parte di Open Gate S.p.a., avente sede legale in Gorgonzola, via Milano 37/C  (20064 – MI) – C.F. e P.I.: 08033300966 (di seguito, “Open Gate” o il “Responsabile”).

Il Cliente ed il Responsabile hanno stipulato un contratto per la rivendita di licenze di AIDeskPro, un prodotto software sviluppato da Open Gate, che veicola l’accesso all’Intelligenza Artificiale (AI) generativa (di seguito il “Contratto”), dovendo il Responsabile, per l’esecuzione di detto Contratto, svolgere per conto del Cliente, operazioni di trattamento di dati personali di cui la stessa è titolare. Ai fini del presente DPA, “Cliente” include qualsiasi entità affiliata del Cliente, che ha stipulato un Contratto con Open Gate.

Il Responsabile gode di competenza e conoscenze tecniche in relazione alle finalità e modalità del trattamento ed alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei dati trattati ed il Cliente, nella sua qualità di Titolare, intende nominare Open Gate S.p.a.. quale Responsabile del trattamento di cui al Contratto, e quest’ultimo intende accettare la nomina.

Le Parti, in relazione a tale nomina, intendono regolare con il presente documento i loro reciproci rapporti in tema di disciplina del trattamento dei dati personali effettuato dal Responsabile per conto del Titolare.

La presente nomina viene attuata in aderenza all’art. 28 del Regolamento Europeo 2016/679 (di seguito “Regolamento”), dandosi atto che il Responsabile del trattamento presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento, garantendo la tutela dei diritti dell’interessato.

Tutto ciò premesso si conviene quanto segue:

• PREMESSE E DEFINIZIONI

Le premesse costituiscono parte integrante e sostanziale della presente nomina. Per la corretta interpretazione del presente atto di nomina valgono le seguenti definizioni.

Dato/i Personale/i: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Particolari categorie di dati: si intendono Dati Personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Dati Giudiziari: si intendono Dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Diffusione: si intende divulgare Dati Personali al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di Dati Personali su un quotidiano o su una pagina web).

Incaricato (del trattamento): si intende il dipendente o il collaboratore che per conto della struttura del titolare elabora o utilizza materialmente i Dati Personali sulla base delle istruzioni ricevute dal titolare medesimo (e/o dal responsabile, se designato).

Informativa: si intendono le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi. L’informativa deve precisare sinteticamente e in modo comprensibile quali sono gli scopi e le modalità del trattamento; le categorie dei Dati Personali forniti; se l’interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati non vengono forniti; a chi possono essere comunicati o diffusi i dati; l’intenzione del titolare di trasferire i dati a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie adeguate o opportune nonché i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili; i diritti riconosciuti all’interessato; l’esistenza di un processo decisionale automatizzato; il periodo di conservazione dei dati; chi sono il titolare, l’eventuale responsabile del trattamento, gli eventuali rappresentanti e il responsabile della protezione dei dati, ove applicabile nonché i relativi contatti (indirizzo, telefono, fax, ecc.).

Interessato: si intende la persona fisica cui si riferiscono i Dati Personali.

Misure di sicurezza: si intendono tutti gli accorgimenti tecnici ed organizzativi, i dispositivi elettronici o i programmi informatici utilizzati per garantire che i Dati non vadano distrutti o persi anche in modo accidentale, che solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i Dati erano stati raccolti. Le misure di sicurezza consistono in misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono – tra le altre – la pseudonimizzazione e la cifratura, nonché la capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento.

Organizzazione internazionale: si intendono un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Titolare del trattamento: si intende la persona fisica, l’impresa, l’ente, l’associazione, ecc. cui fa capo effettivamente il trattamento di Dati Personali e spetta assumere le decisioni fondamentali sugli scopi e sulle modalità del trattamento medesimo. Nei casi in cui il trattamento sia svolto da una società o da una pubblica amministrazione per titolare va intesa l’entità nel suo complesso e non l’individuo o l’organo che l’amministra o la rappresenta (presidente, amministratore delegato, sindaco, ministro, direttore generale, ecc.). I casi in cui il trattamento può essere imputabile ad un individuo riguardano liberi professionisti o imprese individuali.

Trattamento: si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Registro delle attività di trattamento: si intende il Registro tenuto sia dal titolare sia dal responsabile contenente informazioni inerenti caratteristiche, modalità nonché finalità dei trattamenti.

Sub responsabile: si intende il dipendente o il collaboratore che, per conto della struttura del responsabile, elabora o utilizza materialmente i Dati Personali sulla base delle istruzioni ricevute dal responsabile medesimo. Nonché le aziende fornitrici di servizi cloud e di generative AI, utilizzati da AIDeskPro.

Terzo: si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei Dati sotto l’autorità diretta del titolare o del responsabile, anche in qualità di sub responsabile.

• OGGETTO

Con la presente nomina, ai sensi del Regolamento, il Titolare designa Open Gate S.p.a. quale soggetto “Responsabile” delle operazioni di trattamento dei Dati Personali come di seguito determinate.

• OPERAZIONI DI TRATTAMENTO OGGETTO DELLA NOMINA

Il Responsabile tratterà i Dati Personali nello svolgimento delle attività inerenti l’esecuzione del Contratto ed, in particolare, tutti i dati del Titolare o di terzi necessari per l’esecuzione dei servizi di assistenza e supporto per l’applicativo AIDeskPro, per l’infrastruttura cloud che lo ospita e per l’integrazione con i servizi cloud e di generative AI, utilizzati da AIDeskPro. (“Sub-Responsabili”).

• DURATA E CESSAZIONE DEL TRATTAMENTO DEI DATI

I Dati verranno trattati unicamente per il tempo necessario alle attività inerenti l’oggetto del Contratto; all’atto di cessazione per qualsiasi causa del Trattamento da parte del Responsabile o del rapporto contrattuale sottostante, la presente nomina dovrà intendersi a tutti gli effetti revocata ed il Responsabile, a discrezione del Titolare, sarà tenuto:

1. a restituire al Titolare i Dati Personali oggetto del Trattamento, oppure
2. a provvedere alla loro integrale distruzione.

È fatta salva in entrambi i casi la conservazione dei Dati quando richiesta da norme di legge e unicamente nei limiti previste dalle stesse norme (contabili, fiscali, nonché ai fini della prescrizione dei diritti e/o per la tutela di diritti in sede contenziosa o pre-contenziosa). In tal caso il Responsabile deve garantire e certificare che i dati verranno utilizzati unicamente per le suddette finalità (contabili, fiscali, nonché ai fini della prescrizione dei diritti e/o per la tutela di diritti in sede contenziosa o pre-contenziosa) e non saranno oggetto di alcuna altra tipologia di trattamento.

• NATURA E FINALITÀ DEL TRATTAMENTO DEI DATI

Il conferimento dei Dati Personali è obbligatorio per tutto quanto è richiesto dagli obblighi legali, contrattuali e fiscali ed è necessario ai fini del presente rapporto contrattuale.

Nell’esercizio delle sue funzioni il Responsabile potrà esclusivamente raccogliere e trattare, elaborare e gestire Dati Personali necessari e strumentali all’esecuzione del Contratto.

• TIPO DEI DATI TRATTATI E CATEGORIE DI INTERESSATI

Il Responsabile del trattamento tratta i Dati Personali nel rispetto della normativa vigente, nazionale ed europea, in materia di protezione dei Dati Personali.

Nello specifico, il Responsabile potrà trattare unicamente Dati Personali necessari alla corretta esecuzione del contratto e pertanto: dati anagrafici dei sottoscrittori delle licenze, contenuti caricati dagli utenti in AIDeskPro e per i quali l’utente ha richiesto supporto e servizi cloud manutenuti da Open Gate.

Solamente in rari casi il trattamento potrà avere anche ad oggetto particolari categorie di dati, anche di terzi, ai fini dell’esecuzione del contratto.

• OBBLIGHI DEL RESPONSABILE

Il trattamento dei Dati Personali è realizzato dal Responsabile esclusivamente nell’adempimento delle proprie obbligazioni contrattuali e, in particolare, per dare esecuzione al Contratto tra le Parti.

Il Responsabile si impegna a trattare i Dati Personali soltanto su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento dei Dati Personali all’estero verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento. Quest’ultimo, in tal caso, informa il Titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

Il Responsabile è tenuto, in forza di legge e di contratto – per sé e per chiunque collabori con la sua attività – al rispetto della riservatezza, integrità e qualità dei dati e ad utilizzarli esclusivamente per le finalità specificate nella presente nomina.

Il Responsabile ha il dovere di compiere quanto necessario per il rispetto dei principi fissati dalla normativa applicabile in materia di trattamento dei Dati Personali, ivi incluse le prescrizioni dettate dalla competente Autorità Garante. In particolare, il Responsabile deve adempiere alle obbligazioni di seguito specificate, con particolare attenzione alle Particolari categorie di dati ed ai Dati giudiziari di cui verrà a conoscenza.

Il Responsabile si impegna a fornire al Titolare qualsiasi informazioni necessaria per il rispetto degli obblighi previsti dalla normativa in materia di privacy, nonché ad assisterlo con misure tecniche e organizzative adeguate, per quanto possibile, al fine di consentire al Titolare di adempiere l’obbligo di soddisfare le richieste per l’esercizio dei diritti dell’interessato come indicati dal capo III del Regolamento, nonché riportati in via esemplificativa all’art. 10 della presente nomina.

Il Responsabile inoltre si impegna a non comunicare, trasferire o condividere alcun Dato Personale, trattato nella sua qualità di Responsabile, con Terzi.

• MISURE DI SICUREZZA

Il Responsabile garantisce di avere adottato le misure di cui all’art. 32 del Regolamento, al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei Dati, nonché di accesso non autorizzato o di trattamento non consentito o difforme dalle finalità della raccolta. Il Responsabile e il Titolare, in quanto soggetti entrambi sottoposti al Regolamento, possono aderire ai codici di condotta di cui al paragrafo 2 dell’art. 40 del Regolamento, approvati secondo le procedure previste dall’articolo stesso. In tal caso, ciascuna Parte si impegna a darne tempestiva comunicazione all’altra.

È cura del Responsabile contribuire alla periodica valutazione del livello di adeguatezza complessivo della sicurezza, riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche dei trattamenti realizzati sotto la propria responsabilità. La conservazione documentale avverrà esclusivamente in via telematica (cloud) o su supporti informatici.

Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, di concerto con il Titolare attua misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Nel valutare l’adeguato livello di sicurezza, Titolare e Responsabile tengono conto in modo particolare i rischi presentati dal trattamento e derivanti, soprattutto, dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Il Titolare e il Responsabile inoltre operano in modo che chiunque agisca sotto la loro autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito e legittimato in tal senso, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

• RICHIESTE DEGLI INTERESSATI

Nel caso in cui, per l’esercizio dei diritti degli interessati, il Responsabile riceva istanze dai soggetti a ciò legittimati ai sensi degli artt. 15, 16, 17, 18, 20, 21 del Regolamento dovrà provvedere a:

1. darne comunicazione scritta entro un giorno al Titolare,
2. accertare l’identità del richiedente per verificare la legittimità della richiesta,
3. fornire al Titolare entro tre giorni dal ricevimento dell’istanza, tutte le informazioni e la documentazione di cui è in possesso per consentire la soddisfazione dell’istanza ricevuta.

Il Responsabile si impegna inoltre ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di consentire al Titolare di adempiere l’obbligo di soddisfare le richieste per l’esercizio dei diritti dell’interessato come indicati dal capo III del Regolamento.

• INCARICATI

Il Responsabile deve individuare i propri “Incaricati”, in quanto soggetti deputati alle operazioni di trattamento. A tal riguardo si precisa che dovranno essere debitamente nominati dal Responsabile quali Incaricati sia i dipendenti del medesimo, sia eventuali collaboratori coinvolti a supporto della Sua attività. La nomina ad Incaricato con riferimento a colleghi eventualmente coinvolti dovrà essere conferita preliminarmente alla comunicazione dei dati al Titolare.

Contestualmente alla designazione, il Responsabile si fa carico di fornire istruzioni scritte e dettagliate agli Incaricati, circa le modalità del trattamento e la conservazione dei Dati, così come ricevute dal Titolare.

La nomina, debitamente accettata dall’Incaricato, dovrà essere conservata dal Responsabile e dovrà essere a disposizione del Titolare.

Il Responsabile è tenuto a fornire al Titolare, su richiesta di quest’ultimo, la mappatura aggiornata degli incarichi e delle istruzioni impartite in relazione alle operazioni di trattamento.

• SUB RESPONSABILI

Il Titolare autorizza espressamente il Responsabile a nominare “Sub responsabili” ai fini della esecuzione del Contratto. Il Responsabile garantisce l’affidabilità e la conoscenza delle disposizioni in materia di privacy degli eventuali Sub responsabili, nonché il rispetto degli obblighi di segretezza e riservatezza e, più in generale, della normativa nazionale ed europea in materia di privacy. La nomina, debitamente accettata dal Sub responsabile, dovrà essere conservata dal Responsabile anche per essere costantemente a disposizione del Titolare.

In ogni caso, tale autorizzazione viene conferita a titolo generale ai sensi dell’art. 28 co. del Regolamento; il Responsabile si fa quindi carico di informare il Titolare dei soggetti che verranno nominati successivamente alla sottoscrizione del Contratto, al fine di una valutazione da parte del Titolare stesso e, se del caso, di una sua opposizione o richiesta la cessazione.

Il Responsabile si impegna a coinvolgere i sub-responsabili elencati nell’Elenco dei sub-responsabili per elaborare i dati del cliente, per aiutare Open Gate a soddisfare i propri obblighi in conformità al presente DPA o di delegare tutte o parte delle attività di trattamento a tali Sub-responsabili del trattamento. Il Cliente acconsente all’utilizzo di tali Sub-responsabili. Open Gate notificherà al Cliente eventuali modifiche che intende apportare all’Elenco dei sub-responsabili, almeno 15 giorni prima che le modifiche abbiano effetto (tramite e-mail, pubblicazione su https://www.aideskpro.com/privacy-aideskpro/  o altri mezzi ragionevoli). Nel caso in cui il Cliente non desideri acconsentire all’utilizzo di tale Sub-responsabile aggiuntivo, il Cliente può notificare ad Open Gate, entro quindici (15) giorni,  che il Cliente non acconsente per motivi ragionevoli relativi alla protezione dei Dati contattando sales@opengate.biz. In tal caso, Open Gate avrà il diritto di porre rimedio all’obiezione attraverso una delle seguenti opzioni: (i) Open Gate annullerà i suoi piani di utilizzo del Sub-responsabile per quanto riguarda il trattamento dei Dati del Cliente o offrirà un’alternativa per fornire i propri Servizi o servizi senza tale Sub-responsabile; (ii) Open Gate adotterà le misure correttive richieste dal Cliente nell’avviso di opposizione del Cliente e procederà a utilizzare il Sub- responsabile; (iii) Open Gate potrà cessare di fornire, o il Cliente potrà accettare di non utilizzare, temporaneamente o permanentemente, il particolare aspetto o funzionalità dei Servizi o dei servizi che implicherebbero l’uso di tale Sub-responsabile; o (iv) il Cliente potrà cessare di fornire i Dati del Cliente a Open Gate per l’elaborazione che coinvolge tale Sub-responsabile. Se nessuna delle opzioni di cui sopra è commercialmente fattibile, a giudizio ragionevole di Open Gate, e le obiezioni non sono state risolte in modo soddisfacente per le parti entro trenta (30) giorni dal ricevimento da parte di Open Gate dell’avviso di obiezione del Cliente, ciascuna delle parti potrà risolvere qualsiasi abbonamento, licenza, modulo d’ordine o utilizzo relativo ai Servizi che non può essere fornito senza l’uso del nuovo Sub-responsabile per giusta causa e in tal caso, al Cliente verranno rimborsate eventuali corrispettivi prepagati per gli abbonamenti, licenze, moduli d’ordine o utilizzo per il periodo successivo alla data di tale risoluzione. Tale diritto di risoluzione costituisce l’unico ed esclusivo rimedio a disposizione del Cliente qualora il Cliente si opponga a qualsiasi nuovo Sub-responsabile. Open Gate stipulerà accordi contrattuali con ciascun Sub-responsabile vincolandoli a fornire un livello di protezione dei dati e di sicurezza delle informazioni comparabile a quello previsto nel presente documento. 

• NOTIFICA DI VIOLAZIONI, PERDITA O DANNO

Il Responsabile è tenuto a segnalare immediatamente, e senza ingiustificato ritardo, e a prestare al Titolare tutta l’assistenza necessaria:

1. in caso di richiesta di accesso ai Dati Personali da parte di un Interessato o di un Organo di controllo, di una Autorità regolamentare o giudiziaria;
2. qualora venga a conoscenza di casi di violazione dei Dati Personali, in particolare:
   1. perdita, danno, distruzione;
   2. modifica, divulgazione non autorizzata,
   3. illegittimo accesso da parte di Terzi o soggetti non autorizzati ai Dati Personali.

• CONTROLLI ED ISPEZIONI

Il Responsabile consente sin d’ora al Titolare di provvedere alla verifica dell’adempimento della presente nomina nel rispetto dei principi fissati dalla normativa nazionale e sovranazionale, nonché dalle presenti previsioni.

Il Responsabile in particolare:

1. mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto dei propri obblighi;
2. consente e contribuisce alle attività di revisione, ivi incluse le ispezioni, realizzate dal Titolare del trattamento e da qualunque soggetto da questo incaricato.

• DECORRENZA

La presente nomina ha efficacia dalla data di sua sottoscrizione per accettazione da parte del Responsabile, sino alla cessazione del rapporto tra le parti e, conseguentemente, del relativo trattamento dei Dati.

Allegato A

Prodotti e Servizi di Terze Parti

AIDeskPro veicola/utilizza servizi e prodotti di Terze Parti, identificati quali sub-responsabili, essenziali per il funzionamento di AIDeskPro.

Infrastruttura cloud

AIDeskPro risiede in un account Google Cloud Platform di proprietà di Open Gate.

La contraente per conto di Google è Google Cloud Italy S.r.l., i cui server ospitanti il Tool sono posti all’interno dello Spazio economico europeo (l’infrastruttura è a St. Ghislain, Belgio ed i backup in Unione Europea).

I servizi AI forniti da terze parti

AIDeskPro utilizza servizi di generative AI forniti da terze parti ovvero OpenAI OpCo, LLC e Google Cloud Italy S.r.l.

Servizi AI forniti da OpenAI OpCo, LLC

Open Gate ha sottoscritto con OpenAI OpCo, LLC un contratto (“OpenAI Data Processing Addendum”).

Tale Addendum (“DPA”) regola l’elaborazione dei dati di Open Gate (e dei Clienti di Open Gate che utilizzano AIDeskPro) da parte di OpenAI  

• forniti da Open Gate a OpenAI tramite le API di OpenAI o qualsiasi servizio OpenAI per le aziende (“Servizi API”) 
• in conformità alla fornitura di ChatGTPT Enterprise service for businesses da parte di OpenAI (“Servizi ChatGPT Enterprise”)

OpenAI accetta di rispettare gli obblighi ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati (collettivamente, “Leggi sulla protezione dei dati”) in relazione ai Servizi, in particolare il Regolamento generale sulla protezione dei dati del Regno Unito e/o dell’Unione Europea (Regolamento (UE) 2016/679) (collettivamente il “GDPR”) e la legislazione subordinata applicabile e i regolamenti di attuazione di tali leggi.

In qualità di Responsabile del trattamento dei dati, OpenAI si impegna a 

• elaborare i dati di Open Gate solo per conto di Open Gate allo scopo di fornire e supportare i servizi di OpenAI, in modo tale da garantire un livello di protezione della privacy non inferiore a quello richiesto dalle Leggi sulla protezione dei dati;
• non “condividere” (come tale termine è definito dal CCPA) Dati personali;

Ulteriori informazioni relative alla sicurezza del dato e sul trattamento dei dati sono disponibili ai seguenti link: https://trust.openai.com/ e https://openai.com/policies/privacy-policy 

Servizi AI forniti da Google Cloud Italy S.r.l.

AIDeskPro utilizza i servizi di Generative AI forniti da Google (quali, ad esempio Vertex AI – Gemini Pro, PaLM 2 Text Bison…), Pre-Trained APIs (quali, ad esempio, Pre-Trained APIs Speech-to-Tex…) e modelli di terze parti, resi disponibili tramite Vertex AI Model Garden (quali, ad esempio, Anthropic Claude Sonnet e Haiku).

Google Cloud offre i suoi Servizi Cloud tramite il Partner autorizzato Open Gate.

Al seguente link è disponibile l’Informativa sulla privacy di Google Cloud, che descrive le modalità con cui raccoglie e tratta le informazioni personali dell’utente in relazione a Google Cloud Platform (inclusi i servizi di Generative AI):  https://cloud.google.com/terms/cloud-privacy-notice.

Per ciò che concerne i servizi di Anthropic, utilizzati mediante il Model Garden di Google, si precisa che Il cliente mantiene la proprietà di tutti gli output generati dai servizi di Anthropic e dei contenuti forniti (Customer Content); inoltre Anthropic non può utilizzare il Customer Content proveniente dai servizi a pagamento per addestrare i propri modelli, a meno che non sia espressamente approvato dal cliente stesso. Tutte le informazioni sono disponibili su https://www.anthropic.com/legal/commercial-terms.

Servizio per l’invio di notifiche email

AIDeskPro utilizza MailGun, Email business unit dell’azienda Sinch, per l’invio di notifiche email di gestione dell’account, ad esempio per il reset della password.

Al seguente link è disponibile l’Informativa: https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ 

Aggiornamento Terze Parti

Si segnala che l’elenco delle Terze Parti potrà essere oggetto di revisione periodica, in virtù di nuovi accordi stipulati da Open Gate con altri fornitori di servizi di AI.

L’elenco aggiornato dei servizi utilizzati da AIDeskPro e dei sub-responsabili sarà reso disponibile ed aggiornato su questa pagina web.

Allegato B

Misure tecniche e organizzative per garantire la sicurezza dei dati

Introduzione

Open Gate ha sviluppato AIDeskPro allo scopo di fornire un accesso all’intelligenza artificiale, sicuro e pluralista (accesso a diversi motori di generative AI in un unico tool). In conformità con questa missione, Open Gate mantiene un programma di sicurezza delle informazioni progettato per salvaguardare i suoi sistemi, dati e dati dei clienti. Il presente Addendum descrive il programma di sicurezza delle informazioni e gli standard di sicurezza che Open Gate mantiene rispetto ai Servizi e al trattamento dei dati inviati da o per conto del Cliente ai Servizi (i “Dati del Cliente”).

Alcune misure tecniche o di sicurezza riportate di seguito si applicano in modo diverso alle diverse versioni di AIDeskPro commercializzate da Open Gate: AIDeskPro è la versione Saas su Tenant condiviso, disponibile per utenze singole o per team aziendali, AIDeskPro S è la versione Saas con tenant indipendente, disponibile per team aziendali, AIDeskPro + è la versione PaaS, deployata su infrastruttura GCP di proprietà del Cliente e AIDeskPro API è la versione utilizzata in modalità API, integrata nell’ecosistema del Cliente.

Descrizione del Funzionamento di AiDeskPro

AiDeskPro è uno strumento software che consente l’accesso a vari modelli di intelligenze artificiali generative. L’accesso viene permesso attraverso gli account forniti dall’azienda Open Gate S.p.A.

Funzionalità Principali

Accesso alle Intelligenze Artificiali Generative

AiDeskPro offre accesso ad una vasta gamma di intelligenze artificiali generative. Tramite l’uso di account aziendali, gli utenti possono trarre vantaggio da questo potente strumento in ogni loro necessità lavorativa.

Selezione di Diversi Modelli di Intelligenza Artificiale

L’utilizzo dello strumento include la possibilità di selezionare e utilizzare differenti modelli di intelligenza artificiale, tra cui Google Gemini e OpenAi chat-gpt. Questo permette agli utenti di personalizzare l’esperienza e l’efficacia del servizio a seconda delle loro esigenze.

Caricamento e Interrogazione Documenti

AiDeskPro consente anche l’opzione di caricare documenti che possono essere successivamente interrogati mediante procedure RAG. Questa funzione fornisce un ulteriore strato di interattività e funzionalità al software.

Fornitori di Servizi

Open Gate S.p.A. si avvale dei seguenti fornitori di servizi per l’erogazione del prodotto AiDeskPro (si faccia riferimento all’Allegato A per una più dettagliata descrizione):

• Google Cloud Platform – per tutta l’infrastruttura e i modelli AI di proprietà di Google, ad esempio Gemini e Chat Bison
• OpenAI – per i modelli di AI di proprietà di OpenAI
• MailGun – per l’invio di notifiche email di gestione dell’account, ad esempio per il reset della password

Utilizzo dei Modelli di AI

I modelli di intelligenza artificiale vengono utilizzati dall’utente per completare una serie di attività all’interno dello strumento. Queste attività includono:

• Effettuare una Chat – Gli utenti possono utilizzare la chat per comunicare ed interagire con il software. 
• Richiedere l’Indicizzazione di un Documento – Gli utenti possono richiedere l’indicizzazione di un documento, permettendo al software di analizzare e ottenere informazioni da documenti caricati.

AiDeskPro, come prodotto di Open Gate S.p.A., si impegna a fornire un software efficiente, efficace e affidabile per le esigenze dei suoi utenti.

Misure di sicurezza

AiDeskPro permette 3 modalità di autenticazione, per ognuna di esse verranno descritte le misure di sicurezza adottate

• Username (email) e password – Le password vengono salvate tramite algoritmo di hashing aggiornato agli standard di sicurezza attuali (ad oggi bcrypt)
• Login with Google – Autenticazione e gestione della sicurezza dell’account demandata completamente al provider di servizi Google
• API-Key – Meccanismo di autenticazione utilizzabile da account di servizio per interagire con le API esposte dal tool

Open Gate adotta le migliori pratiche del settore per proteggere e gestire la propria infrastruttura cloud, comprese le seguenti misure:

• Ambienti di produzione e non produzione separati
• I Servizi vengono regolarmente controllati per individuare eventuali vulnerabilità della sicurezza
• I log di accesso al tool possono essere consultati per rispondere a quesiti di sicurezza e disponibilità
• WAF – E’ attivo il servizio Cloud Armor di Google Cloud Platform che protegge da attacchi di tipo DDoS e altri tipi di attacchi WEB

Open Gate si impegna ad impedire agli utenti autorizzati di accedere ai dati oltre i loro diritti di accesso e per impedire l’immissione, la lettura, la copia, la rimozione, la modifica o la divulgazione non autorizzata dei dati. 

Tali misure includono quanto segue:

• L’accesso dei dipendenti ad AIDeskPro segue il principio del privilegio minimo. Solo i dipendenti la cui funzione lavorativa prevede il supporto della fornitura di Servizi hanno credenziali per l’ambiente dei Servizi
• I dati del cliente inviati ai Servizi vengono utilizzati solo in conformità con i termini del DPA, del contratto e di qualsiasi altro accordo contrattuale applicabile in essere con il cliente

Open Gate applica le best practice del settore per prevenire l’accesso non autorizzato, l’alterazione o la rimozione dei dati durante il trasferimento e per proteggere e registrare tutti i trasferimenti. Tali misure includono:

• Crittografia dei dati inattivi nei datastore di produzione utilizzando algoritmi di crittografia avanzati
• Crittografia dei dati in transito
• Audit Log di tutte le operazioni di gestione dell’infrastruttura
• Criptazione dei dischi di tutti i dispositivi aziendali.
• I dati del cliente possono essere cancellati su richiesta inviando un’email a support@opengate.biz

Open Gate adotta le migliori pratiche per il mantenimento della funzionalità dei servizi, in relazione a danni accidentali o intenti dannosi, tra cui

• Garanzia che i sistemi possano essere ripristinati in caso di interruzione
• Garanzia che i sistemi funzionino e che i guasti siano segnalati
• Implementazione di soluzioni anti-malware e di rilevamento/prevenzione delle intrusioni

Open Gate si adopera per il controllo della segregazione dei dati (trattamento separato dei dati raccolti per scopi diversi) tra cui:

• La segregazione dei dati dei clienti può essere implementata a più livelli a seconda delle loro esigenze. Si parte da una segregazione di tipo logica, fino ad arrivare ad una separazione fisica del dato.
• Limitazione dell’accesso ai dati archiviati per scopi diversi a seconda dei ruoli e delle responsabilità del personale
• Segregazione delle funzioni del sistema informativo aziendale
• Segregazione degli ambienti dei sistemi informativi di test e di produzione

Open Gate applica le best practice per il controllo, la formazione e la gestione del personale rispetto alle questioni di sicurezza e privacy, tra cui:

• Formazione sulla sicurezza e privacy per i dipendenti ed eventuale formazione supplementare sulla sicurezza, a seconda dei casi

Open Gate attua un piano di risposta agli incidenti di sicurezza per rispondere e risolvere eventi che compromettono la riservatezza, la disponibilità o l’integrità dei Servizi o dei Dati del Cliente, incluso quanto segue:

• Log di sistema per la sicurezza e l’osservabilità generale, per facilitare il rilevamento e la risposta
• Tempestiva notifica al Cliente da parte di Open Gate, in caso di rilevamento di una violazione dei dati personali, in conformità con il DPA