Athics – Termini di Servizio e SLA
Questi Termini di Servizio costituiscono un accordo legale tra te e Athics S.r.l. per l’uso delle piattaforme software Crafter.ai (https://crafter.ai/it/) e Portrait (https://portrait-profiling.ai/it/) (di seguito, congiuntamente, il “Software”). Utilizzando uno qualsiasi dei due servizi, accetti di essere vincolato dai termini e dalle condizioni del presente documento. Athics S.r.l. si riserva il diritto di modificare questi Termini in qualsiasi momento, per qualsiasi motivo e senza preavviso.
Restrizioni
- A meno che non ti sia stato concesso il consenso scritto preventivo da Athics S.r.l., non puoi:
- Riprodurre, distribuire o trasferire il Software, o parti di esso, a terze parti.
- Vendere, affittare, dare in leasing, assegnare o subaffittare il Software o parti di esso.
- Concedere diritti a qualsiasi altra persona.
- Utilizzare il Software in violazione di qualsiasi legge o regolamento italiano o internazionale.
Tutti gli avvisi di copyright, di proprietà intellettuale e i loghi presenti nei file e nell’interfaccia del Software devono rimanere intatti.
Uso improprio e sensibilizzazione
Le presenti regole si applicano congiuntamente a Crafter.ai e Portrait (di seguito, i “Servizi”).
L’Utente si impegna a non utilizzare i Servizi in modo illecito, discriminatorio o non etico, garantendo sempre un intervento umano significativo in ogni fase del processo decisionale che possa incidere sui diritti o sugli interessi degli interessati, in linea con GDPR, AI Act e normativa vigente.
A titolo esemplificativo e non esaustivo:
- Processi di Selezione e gestione del personale
- Impiegare i Servizi per escludere automaticamente candidati da un processo di recruitment, decidere promozioni, licenziamenti o altri esiti significativi senza supervisione umana qualificata, supportata da criteri trasparenti e documentati.
- Profilazione predittiva e scoring
- Generare punteggi reputazionali, di rischio o di affidabilità che influiscano su concessione di credito, polizze assicurative o altri servizi essenziali senza una valutazione indipendente e tracciabile da parte di operatori umani.
- Accesso a servizi essenziali
- Negare, limitare o modulare l’accesso a sanità, istruzione, housing sociale, energia, acqua basandosi sugli output senza controllo umano che ne assicuri equità, accuratezza e non discriminazione.
- Associare profili psicometrici a trattamenti differenziati senza che un responsabile umano ne verifichi la legittimità e lo scopo.
- Manipolazione e comunicazioni persuasive
- Utilizzare chatbot o profili psicometrici per micro-targeting politico/commerciale non trasparente o per diffondere disinformazione senza supervisione ed audit umani in grado di prevenire abusi.
- Realizzare campagne che sfruttino vulnerabilità cognitive di gruppi specifici (es. minori, anziani, persone con disabilità), senza valutazione etica e controllo umano sui contenuti generati.
- Contesti ad alto rischio
- Adottare i Servizi per decisioni automatizzate in ambito sanitario, giudiziario, assistenza sociale o sicurezza pubblica (es. triage, predictive policing) senza un intervento umano finale che possa confermare, modificare o annullare l’esito automatizzato.
- Profilare minori di 18 anni o categorie protette senza consenso esplicito dei titolari della responsabilità genitoriale o altre garanzie di legge.
- Raccolta illecita di dati
- Analizzare testi o conversazioni altrui (CV, e-mail, chat, social) senza aver ottenuto un’idonea base giuridica o il consenso informato degli interessati.
L’Utente/Cliente è tenuto ad adottare tutte le misure necessarie per garantire un utilizzo responsabile e conforme dei Servizi. A titolo esemplificativo e non esaustivo, si segnalano i seguenti adempimenti:
- Data Protection Impact Assessment (DPIA) – Qualora l’utilizzo dei Servizi implichi un trattamento di dati personali che presenti rischi elevati per i diritti e le libertà degli interessati, l’Utente deve effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR, esplicitando i punti di intervento umano nel processo.
- Fundamental Rights Impact Assessment (FRIA) – In vista dell’entrata in applicazione dell’AI Act, l’Utente è tenuto a predisporre una Valutazione d’Impatto sui Diritti Fondamentali (FRIA) per tutti gli impieghi dei Servizi rientranti tra i “sistemi di intelligenza artificiale ad alto rischio”. Tale valutazione dovrà includere misure tecniche, organizzative e di controllo umano idonee a prevenire effetti pregiudizievoli sugli individui.
- Trasparenza – Gli interessati devono essere informati dell’impiego di sistemi di IA, delle logiche decisionali coinvolte e della possibilità di ottenere un riesame umano.
Supporto tecnico
Athics S.r.l. non fornisce supporto telefonico diretto al momento. Non vengono fornite dichiarazioni o garanzie in merito al tempo di risposta alle richieste di supporto via e-mail, ma Athics S.r.l. farà del suo meglio per rispondere con sollecitudine.
Rimborsi
Athics S.r.l. non offre rimborsi sul Software. Per assistenza, è possibile contattare il supporto tecnico all’indirizzo: support@athics.ai.
Indennità
Accetti di indennizzare e tenere indenne Athics S.r.l. da qualsiasi reclamo, azione o causa di terze parti, nonché da qualsiasi spesa, responsabilità, danno, transazione o onere derivante dal tuo utilizzo o uso improprio del Software o da una violazione di qualsiasi termine del presente accordo.
Esclusione di garanzia
Il Software è fornito “così com’è”, senza alcuna garanzia di alcun tipo, espressa o implicita, incluse – ma non limitate a – garanzie di qualità, prestazioni, non violazione, commerciabilità o idoneità per uno scopo particolare. Inoltre, Athics S.r.l. non garantisce che i servizi saranno sempre disponibili, né che saranno privi di errori o interruzioni.
Limitazioni di responsabilità
Ti assumi tutti i rischi associati all’utilizzo del Software. In nessun caso gli autori o i titolari dei diritti del Software saranno ritenuti responsabili per reclami, danni o altre responsabilità derivanti da, o in connessione con, l’utilizzo del Software stesso. Sei l’unico responsabile della determinazione dell’appropriatezza dell’uso del Software, incluse eventuali conseguenze derivanti da errori, malfunzionamenti, perdita di dati o interruzioni operative.
DATA PROCESSING AGREEMENT EX ART. 28 GDPR
Tra la Società (“Cliente”) in qualità di Titolare del trattamento dei dati personali ai sensi del Regolamento UE n. 679/2016 (di seguito “GDPR”)
E
ATHICS S.R.L. (“Athics”), – P.IVA 02804960355 – rea re315151 – Via Meuccio Ruini 10, 42124 – Reggio Emilia (RE) in qualità di Responsabile del trattamento dei dati personali, in relazione all’esecuzione di tutti gli incarichi ad essa conferiti, per i quali dovrà trattare dati.
| DESCRIZIONE DELTRATTAMENTO / SERVIZIO | Descrizione | I servizi offerti da Athics a seconda di quanto sottoscritto dal Cliente, si applicano per:la Piattaforma Portrait e la piattaforma SaaS Crafter.ai |
| Finalità | Portrait: servizio API di profilazione psicometrica AI in tempo realeCrafter.ai Creazione e gestione di chatbot | |
| Tipo di trattamento | La raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, il raffronto o l’interconnessione, la cancellazione | |
| DATI PERSONALI | Categoria dati | Dati comuni. Generalmente forniti spontaneamente dall’interessato nell’interazione con il Servizio fornito dal Responsabile. È onere del Titolare indicare quali dati si vuole richiedere all’Interessato durante l’utilizzo del Servizio. |
| Dati personali particolari (dati sensibili) | Eventualmente presenti se richiesti dal Titolare e/o inseriti spontaneamente dall’interessato. | |
| Termine ultimo di cancellazione | In relazione alle indicazioni del Titolare indicate nel contratto oppure fino alla conclusione del rapporto con il Titolare fatti salvi i tempi tecnici di cancellazione. | |
| INTERESSATI | Categoria interessati | Vari a seconda dell’ambito in cui il Titolare intende utilizzare il Servizio fornito dal Responsabile. |
| Consenso (SI/NO) | Eventualmente onere del Titolare dare informazioni in merito. | |
| TRASFERIMENTI | Paesi terzi, org.ni internazionali | Gli eventuali trasferimenti in paesi terzi avverranno in conformità alla normativa vigente:in paesi riconosciuti come sicuri dalla Commissione UE;in paesi con i quali l’Europa abbia accordi Internazionali sulla protezione dei dati;con soggetti con cui il Titolare abbia stipulato accordi giuridicamente vincolanti atti a fornire garanzie adeguate per la protezione degli Interessati come previsto dalla normativa. |
| ISTRUZIONI PER LA SICUREZZA e ISTRUZIONI SPECIFICHE PER IL TRATTAMENTO | Misure tecniche e organizzative da adottare | Si veda:Allegato I – Portrait/Crafter.ai |
| REGISTROSUB-RESPONSABILI | DigitalOcean: Cloud-hosting (https://www.digitalocean.com/legal/terms-of-service-agreement) OpenAI: Modulo LLM opzionale (https://openai.com/policies/row-terms-of-use/) |
Il presente accordo sarà valido per tutta la durata dei Servizi acquistati dal Cliente.
Il Titolare affida al Responsabile il trattamento dei dati personali anche in conseguenza della Sua esperienza, delle sue capacità ed affidabilità che garantiscono il rispetto delle vigenti disposizioni in materia di trattamento, ivi compresa l’applicazione del regolamento in materia di protezione dei dati personali (GDPR).
Si ricorda che nell’ambito dei compiti attribuiti al Responsabile per il trattamento dei dati personali, la Vostra Società ha l’obbligo di:
- trattare i dati solo in conformità alle istruzioni fornite dal Titolare
- fare in modo che le persone fisiche autorizzate dal fornitore alle attività di trattamento siano vincolate da obblighi di riservatezza, sottoscritti contrattualmente con il fornitore stesso
- adottare misure tecniche e organizzative idonee a garantire la protezione dei dati utilizzati per conto del Titolare al fine di ottenere un livello di sicurezza adeguato al rischio insito nel trattamento
- dar seguito alle eventuali richieste degli interessati (accesso, rettifica, cancellazione
portabilità, opposizione) informando il Titolare che darà istruzioni su come procedere. - segnalare immediatamente eventuali violazioni di dati (“data breach”) che siano occorsi durante l’attività di trattamento (entro comunque 24 ore dal momento in cui si è presa consapevolezza della violazione)
- su scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo obbligo di legge che preveda la conservazione dei dati
- mettere a disposizione del titolare tutte le informazioni necessarie a dimostrare il rispetto di quanto concordato.
- consentire l’effettuazione di attività di audit, sui processi connessi al trattamento dei dati relativi ai trattamenti contrattualmente stabiliti
- le modalità, tempi e costi di audit sono da concordare volta per volta ma in nessun caso possono essere affidati ad un competitor del Responsabile
- informare il titolare del trattamento se una sua istruzione appare in contrasto con il GDPR
Il Responsabile del trattamento può ricorrere ad un altro Responsabile del trattamento (di seguito, “sub-Responsabile del trattamento”) per gestire attività di trattamento specifiche.
Il Titolare autorizza il Responsabile a ricorrere, in via generale, a sub-Responsabili.
Il Responsabile informa per iscritto il Titolare del trattamento di ogni cambiamento previsto riguardante l’aggiunta o la sostituzione di altri sub-Responsabili.
Questa informazione deve indicare chiaramente le attività di trattamento delegate, l’identità e gli indirizzi del sub-Responsabile del trattamento ed i dati del contratto di esternalizzazione. Il Titolare si può opporre alla nomina di questi sub-Responsabili entro 30 giorni.
Il Responsabile si impegna a seguire le istruzioni del Titolare e a riportare tali impegni in capo a eventuali sub-Responsabili.
Il presente Accordo, anche inteso come aggiornamento ai precedenti accordi, entra in vigore alla data della sottoscrizione del Contratto con il Titolare e si applica anche a tutti i dati e le informazioni acquisiti dal Responsabile del trattamento nella fase precedente e/o precontrattuale.
ALLEGATO I – PORTRAIT – CRAFTER.ai
Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati
| N | Misure | Dettaglio: |
| 01 | misure di pseudonimizzazione e cifratura dei dati personali | Tutti i dati in transito sono trasferiti con protocollo https. I dati a riposo, su richiesta via e-mail del cliente, possono essere cifrati, anonimizzati e/o cancellati secondo una tempistica concordata. |
| 02 | misure per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento | In base a specifici accordi contrattuali i dati possono essere oggetto di backup con tempistiche di conservazione concordate. Per l’implementazione del servizio di backup si rimanda alle policy del fornitore cloud (DigitalOcean) |
| 03 | misure per assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; | L’abilitazione del servizio di backup consente di implementare un piano di recovery (default: 7 daily backups) |
| 04 | procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento | Su base annuale vengono effettuati Vulnerabilty Assessment Test, Penetration Tests, formazione in ambito data protection anche volta alla gestione del fenomeno di phishing. |
| 05 | misure di identificazione e autorizzazione dell’utente | In piattaforma il cliente può definire e gestire in autonomia le proprie credenziali con possibilità di attivare 2FA. Sulla piattaforma viene utilizzato il servizio di Rollbar per gestire il log di tutti gli eventi (inclusi quelli relativi alle autenticazioni) |
| 06 | misure di protezione dei dati durante la trasmissione | Tutti i dati in transito sono trasferiti con protocollo https. |
| 07 | misure di protezione dei dati durante la conservazione | I dati a riposo, su richiesta via e-mail del cliente possono essere cifrati, anonimizzati e/o cancellati secondo una tempistica concordata. |
| 08 | misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati | Per tutti i dettagli si rimanda alla documentazione del Cloud Provider dove risiedono tutti i server: https://www.digitalocean.com/trust/certification-reports |
| 09 | misure per garantire la registrazione degli eventi | Sulla piattaforma viene utilizzato il servizio di Rollbar per gestire il log di tutti gli eventi (inclusi quelli relativi alle autenticazioni) |
| 10 | misure per garantire la configurazione del sistema, compresa la configurazione per impostazione predefinita | L’offerta dei Servizi è scalabile e l’impostazione iniziale viene definita dal Titolare |
| 11 | misure di informatica interna e di gestione e governance della sicurezza informatica | Manuale di Sicurezza informatica + formazione |
| 12 | misure di certificazione/garanzia di processi e prodotti | Il responsabile non ha certificazioni ma si avvale di sub-responsabili certificati (https://www.digitalocean.com/trust/certification-reports) |
| 13 | misure per garantire la minimizzazione dei dati | L’offerta dei Servizi è scalabile e l’impostazione iniziale viene definita dal Titolare |
| 14 | misure per garantire la qualità dei dati | Ogni bot è ospitato su una macchina dedicata |
| 15 | misure per garantire la conservazione limitata dei dati | L’impostazione viene decisa dal Titolare |
| 16 | misure per garantire la responsabilità | Istruzioni per gli autorizzati al trattamento interni all’azienda. Accordi ex. art. 28 GDPR con responsabili esterni. Il DPO sorveglia il rispetto delle corrette procedure, il rispetto del GDPR e le politiche del Responsabile. |
| 17 | misure per consentire la portabilità dei dati e garantire la cancellazione | L’impostazione viene definita dal Titolare sui propri sistemi.Il Responsabile mette a disposizione del Titolare metodi e strumenti sia per svolgere in autonomia tali attività sia per garantire il supporto in caso di particolari richieste. |