Does Audact store conversation content?

No. Audact retains only compliance metadata and cryptographic evidence hashes — enough to prove compliance, nothing more.

Where is data stored?

Exclusively in the EU. Primary region AWS Frankfurt (eu-central-1), backup AWS Amsterdam (eu-west-1). No data leaves the European Union.

How are erasure requests handled?

Via crypto-shredding (Patent P7): the encryption key is destroyed, rendering the associated data permanently unrecoverable while the evidence chain integrity is preserved.

Is Audact a data processor or controller?

Audact acts as a data processor. The customer remains the data controller and Audact processes data solely on the controller's documented instructions.

Conformità AI GDPR — Archiviazione solo nell'UE e Crypto-Shredding

Ultimo aggiornamento: 8 aprile 2026 · 8 min di lettura · Revisionato dal team di compliance Audact

Come Audact gestisce il GDPR

Archiviazione dati solo nell'UE

Tutti i dati sono archiviati esclusivamente nell'UE. Regione principale: AWS Francoforte (eu-central-1). Regione di backup: AWS Amsterdam (eu-west-1). Nessun dato lascia l'Unione Europea.

Nessun contenuto di conversazione archiviato

Audact non archivia mai i contenuti delle conversazioni. Vengono conservati solo i metadati di compliance e gli hash crittografici delle prove — abbastanza per dimostrare la conformità, niente di più.

Crypto-shredding per la cancellazione

Le richieste di cancellazione degli interessati sono gestite tramite crypto-shredding (Brevetto P7). La chiave di crittografia viene distrutta, rendendo tutti i dati associati permanentemente irrecuperabili — mantenendo intatta l'integrità della catena di prove.

Integrità della catena di prove

Anche dopo la distruzione dei dati personali, la catena di prove di compliance rimane intatta. Gli hash crittografici dimostrano che gli obblighi di compliance sono stati rispettati, senza conservare alcun dato personale.

GDPR Article 22: processo decisionale automatizzato e AI

L'Article 22 dà a ogni interessato il diritto di non essere soggetto a una decisione basata esclusivamente su trattamento automatizzato — inclusa la profilazione — che produce effetti giuridici o lo riguarda in modo simile significativamente. Per i deployer AI questa è la disposizione più rilevante nel GDPR: un sistema AI che rifiuta un prestito, respinge un candidato, attiva un blocco antifrode o pianifica un'audizione disciplinare senza una revisione umana significativa rientra direttamente nell'Article 22.

Esistono percorsi leciti: consenso esplicito, necessità per un contratto, o autorizzazione ai sensi del diritto dell'Unione/Stato membro con garanzie adeguate. In tutti i casi il titolare del trattamento deve fornire informazioni significative sulla logica coinvolta, il significato del trattamento, e dare all'interessato il diritto di ottenere l'intervento umano, esprimere un punto di vista e contestare la decisione. La Corte di Giustizia dell'Unione Europea ha confermato in SCHUFA (C-634/21, 2023) che il punteggio probabilistico utilizzato da terze parti per guidare una decisione è esso stesso «processo decisionale automatizzato» — ampliando l'Article 22 per i fornitori AI.

Come i sistemi AI attivano gli obblighi di protezione dei dati GDPR

L'addestramento, il fine-tuning e l'inferenza su dati personali sono ciascuno attività di trattamento distinte ai sensi dell'Article 4(2), e ciascuna richiede la propria base giuridica ai sensi dell'Article 6. Gli agenti vocali, i chatbot e i flussi di lavoro agentici ingeriscono abitualmente nomi, numeri di telefono, dati biometrici vocali e contenuti che rivelano salute, convinzioni o sessualità — il che può elevare il trattamento a dati di categoria speciale ai sensi dell'Article 9, richiedendo una base più solida come il consenso esplicito o il pubblico interesse rilevante.

Una valutazione d'impatto sulla protezione dei dati (Article 35) è di fatto obbligatoria per la maggior parte dei deployment AI rivolti ai clienti: combinano il monitoraggio sistematico, nuove tecnologie e spesso interessati vulnerabili. I titolari del trattamento devono anche soddisfare gli obblighi di trasparenza degli Articoli 13-14 al momento della raccolta dei dati — un obbligo che gli agenti vocali AI spesso non riescono a rispettare perché la divulgazione avviene troppo tardi nella conversazione.

Trasferimenti di dati transfrontalieri ai sensi del GDPR per i fornitori AI

Il Capitolo V del GDPR limita i trasferimenti di dati personali al di fuori dello SEE. Dopo Schrems II, i titolari del trattamento devono condurre una valutazione dell'impatto del trasferimento ogni volta che utilizzano le Clausole Contrattuali Standard, e il Quadro EU-USA sulla Privacy dei Dati fornisce attualmente l'unico ponte di adeguatezza verso gli Stati Uniti. Molti provider AI popolari (OpenAI, Anthropic, Google) trattano i dati UE su infrastrutture con sede negli USA ai sensi del DPF o delle SCC, il che sposta l'onere della due diligence sul cliente.

Audact risolve questo problema operando esclusivamente all'interno dell'UE: il traffico di inferenza, i metadati, le chiavi e i backup rimangono all'interno di AWS Francoforte e Amsterdam. Non si verifica mai alcun trasferimento ai sensi del Capitolo V, eliminando il sovraccarico TIA e rimuovendo la dipendenza dalla stabilità politica del DPF.

Ruoli di elaborazione dei dati

Audact opera come responsabile del trattamento dei dati. Il cliente rimane il titolare del trattamento dei dati in ogni momento. Audact tratta i dati esclusivamente per conto e su istruzioni del titolare del trattamento.

Accordo sul trattamento dei dati

Il nostro DPA standard è disponibile su /legal/dpa. I clienti Enterprise possono richiedere un DPA personalizzato.

Contatto

Per richieste relative alla privacy, contattaci a privacy@audact.ai.

Domande frequenti

Audact archivia i contenuti delle conversazioni?

No. Audact conserva solo i metadati di compliance e gli hash crittografici delle prove — abbastanza per dimostrare la conformità, niente di più.

Dove vengono archiviati i dati?

Esclusivamente nell'UE. Regione principale AWS Francoforte (eu-central-1), backup AWS Amsterdam (eu-west-1). Nessun dato lascia l'Unione Europea.

Come vengono gestite le richieste di cancellazione?

Tramite crypto-shredding (Brevetto P7): la chiave di crittografia viene distrutta, rendendo i dati associati permanentemente irrecuperabili mantenendo intatta l'integrità della catena di prove.

Audact è un responsabile del trattamento o un titolare del trattamento?

Audact agisce come responsabile del trattamento. Il cliente rimane il titolare del trattamento e Audact tratta i dati esclusivamente sulle istruzioni documentate del titolare del trattamento.

Confronta le leggi di compliance AI dell'UE

Legge	Scadenza	Chi	Sanzione
EU AI Act Art. 50	2 ago 2026	Tutti i deployer AI nell'UE	€7,5M / 1,5% fatturato
NL Telecomwet	1 lug 2026	Marketing outbound a consumatori NL	€900k / 10% fatturato
GDPR	In vigore	Qualsiasi responsabile del trattamento di dati personali UE	€20M / 4% fatturato
DSA	In vigore (feb 2024)	Intermediari e VLOP	6% fatturato globale
ePrivacy	In vigore	Mittenti di comunicazioni elettroniche	Varia per Stato membro

Risorse di compliance correlate

Avvertenza: Questa pagina è solo a scopo informativo e non costituisce consulenza legale. Consulta un consulente legale qualificato per i tuoi specifici obblighi di compliance.

← Torna alla home

Conformità AI GDPR con Audact