BIFA – Building Intelligence For All

Documento di Supporto GDPR – Utilizzo di Sistemi AI e Infrastruttura BIFA (Patren)

1. Premessa

Il presente documento descrive le modalità di trattamento dei dati connesse all’utilizzo della piattaforma proprietaria di traduzione automatica assistita Patren (Patent Translation Engine), aggiornata, gestita e mantenuta da BIFA Srls per InnovaLang Srl.

L’obiettivo è garantire che tutte le attività di trattamento avvengano in conformità al Regolamento (UE) 2016/679, con particolare riferimento ai principi di:

  • liceità, correttezza e trasparenza;
  • minimizzazione dei dati;
  • limitazione della conservazione;
  • integrità e riservatezza;
  • accountability.

2.1 Titolare del trattamento

InnovaLang Srl agisce in qualità di Data Controller, determinando finalità e mezzi del trattamento dei dati relativi ai clienti.

2.2 Responsabile del trattamento

BIFA Srls agisce in qualità di Data Processor, fornendo servizi di:

  • gestione e manutenzione della piattaforma Patren;
  • orchestrazione dei flussi di traduzione automatica;
  • integrazione con modelli AI di terze parti.

2.3 Sub-responsabili (Sub-processors)

BIFA si avvale dei seguenti sub-fornitori tecnologici:

  • Amazon Web Services (hosting infrastrutturale in UE);
  • MongoDB (storage dati);
  • OpenAI (modelli linguistici per elaborazione testuale).

I dati trattati all’interno del sistema Patren sono gestiti secondo la seguente architettura:

  • Hosting su infrastruttura cloud AWS localizzata nell’Unione Europea.
  • Dati memorizzati:
    • in parte su server locali protetti;
    • in parte su database cloud (MongoDB) con cifratura attiva.

Sono adottate misure tecniche standard di sicurezza, tra cui:

  • crittografia dei dati (at rest e in transit);
  • access control basato su autenticazione;
  • isolamento delle istanze.

4.1 Finalità del trattamento

I dati testuali inviati ai modelli AI sono trattati esclusivamente per:

  • traduzione automatica;
  • revisione linguistica;
  • analisi terminologica.

4.2 Modalità di utilizzo

L’integrazione con modelli linguistici avviene tramite Azure OpenAI Service, erogato da Microsoft all’interno dell’infrastruttura Azure. I dati:

  • non sono utilizzati per addestramento dei modelli;
  • restano all’interno dell’infrastruttura Microsoft;
  • sono soggetti a controlli di sicurezza e isolamento enterprise.

4.3 Data Processing Addendum (DPA)

È prevista la sottoscrizione del Microsoft Products and Services Data Protection Addendum (DPA) con MSFT, al fine di formalizzare:

  • ruolo di MSFT come sub-processor;
  • obblighi di sicurezza e riservatezza;
  • limitazioni sull’uso dei dati.

4.3 Trasferimento dati

I dati sono trattati all’interno dello Spazio Economico Europeo. Eventuali trasferimenti residuali verso Paesi terzi saranno gestiti in conformità al GDPR, mediante l’adozione di Standard Contractual Clauses (SCC) e altre garanzie adeguate previste dalla normativa vigente.

In linea con il principio di minimizzazione:

  • vengono inviati ai sistemi AI solo i dati strettamente necessari
  • ove possibile, i dati:
    • sono anonimizzati;
    • o pseudonimizzati.

Particolare attenzione è posta all’eventuale presenza di:

  • dati personali identificabili (PII);
  • dati sensibili o riservati (es. brevetti, documentazione legale).

Ove tecnicamente applicabile, sono implementati meccanismi automatici per la rimozione o mascheramento di dati personali prima dell’elaborazione AI.

I dati trattati tramite servizi AI sono conservati per un periodo limitato, definito dalle policy del fornitore (Microsoft), e comunque non superiore a quanto necessario per finalità di sicurezza e prevenzione abuso; successivamente vengono eliminati automaticamente.

Per specifiche esigenze enterprise, è valutabile l’adozione di modalità Zero Data Retention, ove tecnicamente applicabile.

InnovaLang si impegna a garantire piena trasparenza verso gli interessati, includendo nella propria privacy policy / GDPR compliance:

  • utilizzo di sistemi AI (inclusa OpenAI);
  • tipologia di dati trattati;
  • finalità del trattamento;
  • base giuridica.

È inoltre in corso di verifica l’allineamento e la coerenza tra:

  • privacy policy di BIFA;
  • privacy policy di InnovaLang.

InnovaLang, in qualità di titolare, garantisce l’esercizio dei diritti previsti dal GDPR, tra cui:

  • diritto di accesso;
  • diritto alla cancellazione;
  • diritto alla portabilità;
  • diritto di opposizione.

Le richieste possono essere gestite tramite i canali ufficiali già attivi sul sito aziendale.

InnovaLang adotta un approccio di Linguistic Governance che integra:

  • controllo qualitativo umano sui contenuti generati;
  • supervisione dei flussi AI;
  • valutazione del rischio linguistico e legale.

Questo approccio consente di:

  • mitigare i rischi legati all’automazione;
  • garantire conformità normativa;
  • mantenere elevati standard qualitativi.

Non sono adottati processi decisionali completamente automatizzati, ai sensi dell’Art. 22 GDPR.

Sono identificate le seguenti azioni di rafforzamento:

  1. Formalizzazione del DPA con OpenAI;
  2. Verifica e allineamento completo delle privacy policy BIFA–InnovaLang;
  3. Valutazione implementazione Zero Data Retention;
  4. Rafforzamento delle procedure di anonimizzazione automatica.

Il sistema Patren, gestito da BIFA e utilizzato da InnovaLang, risulta progettato secondo principi di sicurezza e conformità coerenti con il GDPR. L’adozione di Azure OpenAI consente un approccio ‘compliance by design’, riducendo i rischi legati ai trasferimenti internazionali di dati e rafforzando il controllo sull’infrastruttura.

Le ulteriori azioni identificate consentiranno di raggiungere un livello ancora più elevato di:

  • Trasparenza;
  • Controllo;
  • Responsabilità.

in linea con le migliori pratiche europee in materia di trattamento dati e intelligenza artificiale.

Torino, 30.04.2026