Main Data Processing Addendum

Main Data Processing Addendum – MDPA

Il presente Addendum (“MDPA”) regola il trattamento dei dati personali che il Cliente, nella qualità di Titolare del trattamento,  attraverso il software e la piattaforma informatica di Tender Brain S.r.l., avente sede legale in Gorgonzola, via Milano 37/C  (20064 – MI) – C.F. e P.I.: 13931000965 (di seguito, “Tender Brain” o il “Responsabile”).

Premesso che

il Cliente ha acquistato dal Responsabile le licenze di TenderBrain, un prodotto software sviluppato da Tender Brain S.r.l., che veicola l’accesso all’Intelligenza Artificiale (AI) generativa (di seguito il “Contratto”); 

l’utilizzo di TenderBrain comporta l’archiviazione sui server di Tender Brain ed eventualmente di Terze Parti, di dati personali raccolti e trattati dal Cliente nella qualità di Titolare del Trattamento; 

pertanto il Responsabile, per l’esecuzione di detto Contratto, deve svolgere per conto del Cliente, operazioni di trattamento di dati personali di cui il Cliente è titolare. 

il Responsabile gode di competenza e conoscenze tecniche in relazione alle finalità e modalità del trattamento ed alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei dati trattati ed il Cliente, nella sua qualità di Titolare, intende nominare Tender Brain S.r.l.. quale Responsabile del trattamento di cui al Contratto, e quest’ultimo intende accettare la nomina.

Tutto ciò premesso

le parti stipulano e convengono quanto segue

  • PREMESSE E DEFINIZIONI 

Le premesse costituiscono parte integrante e sostanziale della presente MDPA. Per la corretta interpretazione del presente atto, oltre a quelle riportate in altre parti dello stesso, valgono le seguenti definizioni.

Amministratore di sistema, una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Cliente: Si intende la persona fisica o giuridica che sia parte del Contratto, ivi inclusi i sub-licenziatari ove consentiti dal Contratto

Dato/i Personale/i: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Particolari categorie di dati: si intendono Dati Personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Dati Giudiziari: si intendono Dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Diffusione: si intende divulgare Dati Personali al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di Dati Personali su un quotidiano o su una pagina web).

Incaricato (del trattamento): si intende il dipendente o il collaboratore che per conto della struttura del titolare elabora o utilizza materialmente i Dati Personali sulla base delle istruzioni ricevute dal titolare medesimo (e/o dal responsabile, se designato).

Informativa: si intendono le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi. L’informativa deve precisare sinteticamente e in modo comprensibile quali sono gli scopi e le modalità del trattamento; le categorie dei Dati Personali forniti; se l’interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati non vengono forniti; a chi possono essere comunicati o diffusi i dati; l’intenzione del titolare di trasferire i dati a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie adeguate o opportune nonché i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili; i diritti riconosciuti all’interessato; l’esistenza di un processo decisionale automatizzato; il periodo di conservazione dei dati; chi sono il titolare, l’eventuale responsabile del trattamento, gli eventuali rappresentanti e il responsabile della protezione dei dati, ove applicabile nonché i relativi contatti (indirizzo, telefono, fax, ecc.).

Interessato: si intende la persona fisica cui si riferiscono i Dati Personali.

Misure di sicurezza: si intendono tutti gli accorgimenti tecnici ed organizzativi, i dispositivi elettronici o i programmi informatici utilizzati per garantire che i Dati non vadano distrutti o persi anche in modo accidentale, che solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i Dati erano stati raccolti. Le misure di sicurezza consistono in misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono – tra le altre – la pseudonimizzazione e la cifratura, nonché la capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento.

Organizzazione internazionale: si intendono un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Titolare del trattamento: si intende la persona fisica, l’impresa, l’ente, l’associazione, ecc. cui fa capo effettivamente il trattamento di Dati Personali e spetta assumere le decisioni fondamentali sugli scopi e sulle modalità del trattamento medesimo. Nei casi in cui il trattamento sia svolto da una società o da una pubblica amministrazione per titolare va intesa l’entità nel suo complesso e non l’individuo o l’organo che l’amministra o la rappresenta (presidente, amministratore delegato, sindaco, ministro, direttore generale, ecc.). I casi in cui il trattamento può essere imputabile ad un individuo riguardano liberi professionisti o imprese individuali.

Trattamento: si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Registro delle attività di trattamento: si intende il Registro tenuto sia dal titolare sia dal responsabile contenente informazioni inerenti caratteristiche, modalità nonché finalità dei trattamenti.

Sub responsabile: si intende il dipendente o il collaboratore che, per conto della struttura del responsabile, elabora o utilizza materialmente i Dati Personali sulla base delle istruzioni ricevute dal responsabile medesimo. Nonché le aziende fornitrici di servizi cloud e di generative AI, utilizzati da TenderBrain.

Terzo: si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei Dati sotto l’autorità diretta del titolare o del responsabile, anche in qualità di sub responsabile.

  • OGGETTO

Con la sottoscrizione del presente MDPA, il Cliente nomina TenderBrain, che accetta, responsabile del trattamento dei dati personali trattati dal Cliente attraverso il software di cui al Contratto e in ragione di ciò archiviati presso i server e le altre infrastrutture informatiche del Responsabile.

Il presente MDPA, se sottoscritto dalle Parti, costituisce allegato e parte integrante delle Condizioni Generali di Utilizzo Prodotti Software accettate dal Cliente all’atto di acquisire la licenza d’uso di Tender Brain.

 

Le Parti, in relazione a tale nomina, intendono regolare con il presente documento i loro reciproci rapporti in tema di disciplina del trattamento dei dati personali effettuato dal Responsabile per conto del Titolare.

La presente nomina viene attuata in aderenza all’art. 28 del Regolamento Europeo 2016/679 (di seguito “Regolamento”), dandosi atto che il Responsabile del trattamento presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento, garantendo la tutela dei diritti dell’interessato.

Tutto ciò premesso si conviene quanto segue:

  • OPERAZIONI DI TRATTAMENTO OGGETTO DELLA NOMINA

Nello svolgimento delle attività di sua competenza in relazione all’esecuzione del Contratto ed, in particolare, nello svolgimento delle attività necessarie per l’esecuzione dei servizi di assistenza e supporto per l’applicativo TenderBrain, per l’infrastruttura cloud che lo ospita e per l’integrazione con i servizi cloud e di generative AI, utilizzati da TenderBrain, il Responsabile tratterà ed è autorizzato dal Titolare a trattare, tutti i Dati Personali del Titolare medesimo o di altri Interessati acquisiti e trattati da quest’ultimo attraverso l’applicativo Tender Brain.

  • DICHIARAZIONI E GARANZIE DEL TITOLARE

Il Titolare dichiara e garantisce, esonerando il Responsabile da ogni verifica a riguardo,:

  1. che tutti i Dati Personali trattati o che intende trattare attraverso TenderBrain o comunque trasmessi al Responsabile sono stati legittimamente acquisiti dal Titolare e sono da questo trattati in base ad una legittima base del giuridica tra quelle previste dal Regolamento in relazione alla categoria di dati che vengono in considerazione;
  2. di aver dato agli interessati adeguata informativa sul trattamento dei dati, sulle relativa finalità, sui diritti degli Interessati medesimi e su ogni altro aspetto previsto dal Regolamento in conformità, per quanto riguarda i trattamenti svolti dal Responsabile, all’Informativa allegata al presente MDPA;
  3. di aver adeguatamente informato gli interessati circa la nomina di TenderBrain quale Responsabile del Trattamento;
  4. di aver aggiornato il proprio registro dei trattamenti, come previsto dal Regolamento, in relazione ai trattamenti eseguiti dal Responsabile in relazione ai Dati Personali trattati attraverso Tender Brain come risultanti dall’Informativa allegata al presente MDPA;
  5. di aver nominato un Data Protection Officer (“DPO”) ovvero, in mancanza di non essere tenuta alla nomina dello stesso;
  6. di non trattare e di non aver necessità di trattare attraverso TenderBrain, salvo rari casi, Particolari categorie di Dati, Dati Giudiziari o Dati Personali relativi a minorenni. 
  7. di aver formalizzato con gli Incaricati che trattano Dati Personali attraverso TenderBrain apposito incarico, di averli adeguatamente formati sui trattamenti da eseguire attraverso TenderBrain e sul rispetto del presente MDPA;
  8. di impegnarsi affinché siano caricati o comunque trattati dai propri Incaricati attraverso TenderBrain Dati Personali in misura non eccedente le finalità di ogni singola attività eseguita su TenderBrain assicurando che gli stessi siano in ogni caso, esatti, aggiornati, pertinenti e completi;
  9. di aver posto in essere rispetto ai Dati personali trattati attraverso TenderBrain ogni altro adempimento comunque dovuto in base al Regolamento perché gli stessi siano trattati in maniera adeguata, sicura, proporzionata e secondo il principio di minimizzazione

 

  • NATURA E FINALITÀ DEL TRATTAMENTO DEI DATI 

Il conferimento dei Dati Personali è necessario ai fini dell’esecuzione del Contratto e dell’utilizzo di TenderBrain.

Nell’esercizio delle sue funzioni e in esecuzione del Contratto, il Responsabile tratterà esclusivamente i Dati Personali consegnati dal Titolare o caricati dagli Incaricati nominati da quest’ultimo e necessari all’esecuzione del Contratto.

E’ onere del Titolare assicurare che i Dati Personali consegnati al Responsabile o caricati mediante l’utilizzo di TenderBrain  dagli Incaricati non siano eccedenti le finalità connesse all’utilizzo di TenderBrain.

  • TIPO DEI DATI TRATTATI E CATEGORIE DI INTERESSATI

Il Responsabile del trattamento tratta i Dati Personali nel rispetto della normativa vigente, nazionale ed europea, in materia di protezione dei Dati Personali.

Nello specifico, il Responsabile potrà trattare unicamente Dati Personali necessari alla corretta esecuzione del contratto e pertanto: dati anagrafici dei sottoscrittori delle licenze, contenuti caricati dagli utenti in TenderBrain e per i quali l’utente ha richiesto supporto e servizi cloud manutenuti da Tender Brain.

Solamente in rari casi il trattamento potrà avere anche ad oggetto Particolari categorie di dati, anche di terzi, dati giudiziari e dati relativi a minorenni. Il Titolare si impegna a darne preventiva comunicazione al Responsabile fornendo eventuali Istruzioni circa il trattamento di tali dati e i limiti di detti trattamenti.

  • OBBLIGHI DEL RESPONSABILE

Il trattamento dei Dati Personali è realizzato dal Responsabile esclusivamente nell’adempimento delle proprie obbligazioni contrattuali e, in particolare, per dare esecuzione al Contratto tra le Parti.

Il Responsabile si impegna a trattare i Dati Personali soltanto su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento dei Dati Personali all’estero verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento. Quest’ultimo, in tal caso, informa il Titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

Il Responsabile è tenuto, in forza di legge e di contratto – per sé e per chiunque collabori con la sua attività – al rispetto della riservatezza, integrità e qualità dei dati e ad utilizzarli esclusivamente per le finalità specificate nella presente nomina.

Il Responsabile ha il dovere di compiere quanto necessario per il rispetto dei principi fissati dalla normativa applicabile in materia di trattamento dei Dati Personali, ivi incluse le prescrizioni dettate dalla competente Autorità Garante. In particolare, il Responsabile deve adempiere alle obbligazioni di seguito specificate, con particolare attenzione alle Particolari categorie di dati ed ai Dati giudiziari di cui verrà a conoscenza.

Il Responsabile si impegna a fornire al Titolare qualsiasi informazioni necessaria per il rispetto degli obblighi previsti dalla normativa in materia di privacy, nonché ad assisterlo con misure tecniche e organizzative adeguate, per quanto possibile, al fine di consentire al Titolare di adempiere l’obbligo di soddisfare le richieste per l’esercizio dei diritti dell’interessato come indicati dal capo III del Regolamento, nonché riportati in via esemplificativa all’art. 10 della presente nomina.

Il Responsabile inoltre si impegna a non comunicare, trasferire o condividere alcun Dato Personale, trattato nella sua qualità di Responsabile, con Terzi.

Il Responsabile nei limiti delle prestazioni contrattualmente dovute, si impegna altresì  a: 

– formare adeguatamente i propri dipendenti e collaboratori rispetto all’applicazione del Regolamento e vigilare sull’operato dei propri incaricati, amministratori di sistema ed eventuali sub-responsabili, facendo sottoscrivere a costoro un apposito impegno di riservatezza; 

– garantire che le persone siano espressamente autorizzate al trattamento dei dati personali e opportunamente istruite ai sensi dell’art. 29 del GDPR; 

– adottare le misure richieste ai sensi dell’art. 32 del GDPR, come meglio descritto al punto “Misure di Sicurezza”; 

– tenere un registro dei trattamenti ex art. 30 del GDPR; 

– mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR; 

– consentire e contribuire alle attività di revisione e ispezione realizzate dal Titolare del trattamento o da soggetto da questi delegato. 

– siano archiviati in una forma che ne consenta la cancellazione, la rettifica (nonché la conseguente notificazione agli eventuali destinatari a cui sono stati trasmessi i dati personali oggetto di richiesta di rettifica o cancellazione), nonché la limitazione o l’opposizione al relativo trattamento; 

– siano conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali gli stessi sono stati raccolti e successivamente trattati; 

– siano trattati esclusivamente all’interno dell’Unione Europea ed eventualmente trasferiti verso paesi terzi solo nel rispetto del Capo V del GDPR.

  • ISTRUZIONI DEL TITOLARE

Il caricamento dei Dati Personali su TenderBrain costituisce una richiesta di trattamento degli stessi ai fini dell’esecuzione del Contratto e secondo le modalità derivati dalle specifiche tecniche di funzionamento di TenderBrain che il Titolare dichiara di conoscere e accettare e trovare adeguate alle finalità del trattamento. 

Eventuali ulteriori istruzioni del Titolare vincolano il Responsabile nei limiti in cui le stesse siano compatibili con il Contratto e con le specifiche tecniche e le modalità di funzionamento di TenderBrain. 

  • MISURE DI SICUREZZA

Il Responsabile garantisce di avere adottato le misure di cui all’art. 32 del Regolamento, al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei Dati, nonché di accesso non autorizzato o di trattamento non consentito o difforme dalle finalità della raccolta, come meglio descritte nell’allegato

Il Responsabile e il Titolare, in quanto soggetti entrambi sottoposti al Regolamento, possono aderire ai codici di condotta di cui al paragrafo 2 dell’art. 40 del Regolamento, approvati secondo le procedure previste dall’articolo stesso. In tal caso, ciascuna Parte si impegna a darne tempestiva comunicazione all’altra.

È cura del Responsabile contribuire alla periodica valutazione del livello di adeguatezza complessivo della sicurezza, riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche dei trattamenti realizzati sotto la propria responsabilità. La conservazione documentale avverrà esclusivamente in via telematica (cloud) o su supporti informatici.

Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, di concerto con il Titolare attua misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Nel valutare l’adeguato livello di sicurezza, Titolare e Responsabile tengono conto in modo particolare i rischi presentati dal trattamento e derivanti, soprattutto, dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Il Titolare e il Responsabile inoltre operano in modo che chiunque agisca sotto la loro autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito e legittimato in tal senso, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

  • Amministratori di sistema 

Il Responsabile ha nominato e si impegna a mantenere in organico un Amministratore di Sistema in  conformità al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Garante, e ad ogni altro pertinente provvedimento dell’Autorità. 

Il RESPONSABILE si impegna, in particolare, a: i) designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti, alla gestione di database e allo sviluppo di software, che effettuano trattamenti di dati personali; ii) predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite; iii) comunicare, ove richiesto dal Titolare, l’elenco aggiornato degli amministratori dei sistemi; iv) verificare annualmente l’operato degli amministratori di sistema; v) mantenere i file di log in conformità a quanto previsto nel suddetto provvedimento. 

Nei casi dove venga richiesta una attività di Supporto Tecnico presso i sistemi del Titolare, quest’ultimo conferisce al Responsabile, previa apposita nomina per il tempo necessario all’intervento, il ruolo di Amministratore di Sistema.

  • INCARICATI

Il Responsabile deve individuare i propri “Incaricati”, in quanto soggetti deputati alle operazioni di trattamento. A tal riguardo si precisa che dovranno essere debitamente nominati dal Responsabile quali Incaricati sia i dipendenti del medesimo, sia eventuali collaboratori coinvolti a supporto della Sua attività. La nomina ad Incaricato con riferimento a colleghi eventualmente coinvolti dovrà essere conferita preliminarmente alla comunicazione dei dati al Titolare.

Contestualmente alla designazione, il Responsabile si fa carico di fornire istruzioni scritte e dettagliate agli Incaricati, circa le modalità del trattamento e la conservazione dei Dati, così come ricevute dal Titolare.

La nomina, debitamente accettata dall’Incaricato, dovrà essere conservata dal Responsabile e dovrà essere a disposizione del Titolare.

Il Responsabile è tenuto a fornire al Titolare, su richiesta di quest’ultimo, la mappatura aggiornata degli incarichi e delle istruzioni impartite in relazione alle operazioni di trattamento.

  • SUB RESPONSABILI

Il Titolare autorizza espressamente il Responsabile a nominare “Sub responsabili” ai fini della esecuzione del Contratto. Il Responsabile garantisce l’affidabilità e la conoscenza delle disposizioni in materia di privacy degli eventuali Sub responsabili, nonché il rispetto degli obblighi di segretezza e riservatezza e, più in generale, della normativa nazionale ed europea in materia di privacy. La nomina, debitamente accettata dal Sub responsabile, dovrà essere conservata dal Responsabile anche per essere costantemente a disposizione del Titolare.

In ogni caso, tale autorizzazione viene conferita a titolo generale ai sensi dell’art. 28 co. del Regolamento; il Responsabile si fa quindi carico di informare il Titolare dei soggetti che verranno nominati successivamente alla sottoscrizione del Contratto, al fine di una valutazione da parte del Titolare stesso e, se del caso, di una sua opposizione o richiesta la cessazione.

Il Responsabile si impegna a coinvolgere i sub-responsabili elencati nell’Elenco dei sub-responsabili per elaborare i dati del cliente, per aiutare Tender Brain a soddisfare i propri obblighi in conformità al presente DPA o di delegare tutte o parte delle attività di trattamento a tali Sub-responsabili del trattamento. Il Cliente acconsente all’utilizzo di tali Sub-responsabili. Tender Brain notificherà al Cliente eventuali modifiche che intende apportare all’Elenco dei sub-responsabili, almeno 15 giorni prima che le modifiche abbiano effetto (tramite e-mail, pubblicazione su https://www.TenderBrain.it o altri mezzi ragionevoli). Nel caso in cui il Cliente non desideri acconsentire all’utilizzo di tale Sub-responsabile aggiuntivo, il Cliente può notificare ad Tender Brain, entro quindici (15) giorni, che il Cliente non acconsente per motivi ragionevoli relativi alla protezione dei Dati contattando sales@tenderbrain.it. In tal caso, Tender Brain avrà il diritto di porre rimedio all’obiezione attraverso una delle seguenti opzioni: (i) Tender Brain annullerà i suoi piani di utilizzo del Sub-responsabile per quanto riguarda il trattamento dei Dati del Cliente o offrirà un’alternativa per fornire i propri Servizi o servizi senza tale Sub-responsabile; (ii) Tender Brain adotterà le misure correttive richieste dal Cliente nell’avviso di opposizione del Cliente e procederà a utilizzare il Sub- responsabile; (iii) Tender Brain potrà cessare di fornire, o il Cliente potrà accettare di non utilizzare, temporaneamente o permanentemente, il particolare aspetto o funzionalità dei Servizi o dei servizi che implicherebbero l’uso di tale Sub-responsabile; o (iv) il Cliente potrà cessare di fornire i Dati del Cliente a Tender Brain per l’elaborazione che coinvolge tale Sub-responsabile. Se nessuna delle opzioni di cui sopra è commercialmente fattibile, a giudizio ragionevole di Tender Brain, e le obiezioni non sono state risolte in modo soddisfacente per le parti entro trenta (30) giorni dal ricevimento da parte di Tender Brain dell’avviso di obiezione del Cliente, ciascuna delle parti potrà risolvere qualsiasi abbonamento, licenza, modulo d’ordine o utilizzo relativo ai Servizi che non può essere fornito senza l’uso del nuovo Sub-responsabile per giusta causa e in tal caso, al Cliente verranno rimborsate eventuali corrispettivi prepagati per gli abbonamenti, licenze, moduli d’ordine o utilizzo per il periodo successivo alla data di tale risoluzione. Tale diritto di risoluzione costituisce l’unico ed esclusivo rimedio a disposizione del Cliente qualora il Cliente si opponga a qualsiasi nuovo Sub-responsabile. Tender Brain stipulerà accordi contrattuali con ciascun Sub-responsabile vincolandoli a fornire un livello di protezione dei dati e di sicurezza delle informazioni comparabile a quello previsto nel presente documento. 

  • RICHIESTE DEGLI INTERESSATI

Nel caso in cui, per l’esercizio dei diritti degli interessati, il Responsabile riceva istanze dai soggetti a ciò legittimati ai sensi degli artt. 15, 16, 17, 18, 20, 21 del Regolamento dovrà provvedere a:

  1. darne comunicazione scritta entro un giorno al Titolare,
  2. accertare l’identità del richiedente per verificare la legittimità della richiesta,
  3. fornire al Titolare entro tre giorni dal ricevimento dell’istanza, tutte le informazioni e la documentazione di cui è in possesso per consentire la soddisfazione dell’istanza ricevuta.

Il Responsabile si impegna inoltre ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di consentire al Titolare di adempiere l’obbligo di soddisfare le richieste per l’esercizio dei diritti dell’interessato come indicati dal capo III del Regolamento.

 

  • NOTIFICA DI VIOLAZIONI, PERDITA O DANNO

Il Responsabile è tenuto a segnalare immediatamente, e senza ingiustificato ritardo, e a prestare al Titolare tutta l’assistenza necessaria:

  1. in caso di richiesta di accesso ai Dati Personali da parte di un Interessato o di un Organo di controllo, di una Autorità regolamentare o giudiziaria;
  2. qualora venga a conoscenza di casi di violazione dei Dati Personali, in particolare:
  1. perdita, danno, distruzione;
  2. modifica, divulgazione non autorizzata,
  3. illegittimo accesso da parte di Terzi o soggetti non autorizzati ai Dati Personali.

  • CONTROLLI ED ISPEZIONI

Il Responsabile consente sin d’ora al Titolare di provvedere alla verifica dell’adempimento della presente nomina nel rispetto dei principi fissati dalla normativa nazionale e sovranazionale, nonché dalle presenti previsioni.

Il Responsabile in particolare:

  1. mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto dei propri obblighi;
  2. consente e contribuisce alle attività di revisione, ivi incluse le ispezioni, realizzate dal Titolare del trattamento e da qualunque soggetto da questo incaricato.

  • DECORRENZA

La presente nomina ha efficacia dalla data di sua sottoscrizione per accettazione da parte del Responsabile, sino alla cessazione del rapporto tra le parti e, conseguentemente, del relativo trattamento dei Dati.

Allegato A

Informativa relativa ai trattamenti eseguiti mediante TenderBrain

  • Informazioni Generali

Si informano gli utenti dei relativi account riferiti ai Clienti nonché le persone fisiche di riferimento del cliente stesso (di seguito, anche quali “interessati”, ex. art. 4, c.1 GDPR) dei seguenti profili generali, validi per tutti gli ambiti del trattamento:

  1. Il Titolare del Trattamento è Tender Brain S.r.l., in persona dei suo legale rappresentante Guglielmo Ela Oyana, con sede legale e operativa in Gorgonzola (20064 – MI), via Milano n. 37/c –  c.f. e p.i.: 13931000965, che potrai contattare anche ai seguenti recapiti: amministrazione@tenderbrain.it.
  2. Tutti i dati degli utenti, riferiti direttamente o indirettamente a persone fisiche, sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, nel rispetto dei principi generali previsti dall’art. 5 GDPR.
  3. Abbiamo adottato specifiche misure di sicurezza per prevenire la perdita dei dati, usi illeciti, o non corretti e accessi non autorizzati.
  4. Trattiamo attraverso la piattaforma Tender Brain (di seguito il “tool”), con sistemi e supporti informatici, solamente dati “comuni” ovvero informazioni che non comprendono “particolari categorie di dati” (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) ovvero “dati giudiziari” (dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza). 
  5. L’hosting del tool è tenuto da Google Cloud Platform società nominata responsabile esterno del trattamento, elaborando i dati per conto del Titolare, i cui server – ai fini della gestione del tool – sono posti all’interno dello spazio economico europeo; eventuali trasferimenti di dati a sub-responsabili all’estero verranno coperti da clausole contrattuali standard e/o dall’adesione del sub-responsabile al Privacy Shield, in conformità agli artt. 45 e 46 GDPR.
  6. L’elenco aggiornato delle persone autorizzate al trattamento per conto del Titolare nonché dei responsabili esterni del trattamento designati da Tender Brain è disponibile presso la sede del Titolare. 
  7. La politica della privacy di Tender Brain non comporta, infine, il trattamento di dati personali di persone fisiche minori di 18 anni di età. Pertanto, questo tool e i servizi ad esso connessi non sono destinati a raccogliere intenzionalmente informazioni personali riferite ai minori. Nel caso in cui informazioni su minori fossero involontariamente registrate, il Titolare le cancellerà in modo tempestivo, direttamente e/o su richiesta degli utenti.

  • Informazioni personali che raccogliamo e base giuridica

Raccogliamo informazioni personali come segue:

  1. Informazioni personali che fornisci: raccogliamo informazioni personali se crei un account per utilizzare i nostri servizi o comunichi con noi come indicato di seguito:
    1. Informazioni dell’account: quando crei un account con noi, raccoglieremo informazioni associate al tuo account, compreso il tuo nome, la tua email, le credenziali dell’account (collettivamente, “Informazioni dell’account”).
    2. Contenuto dell’utente: quando utilizzi i nostri servizi, fornisci informazioni mediante l’input della chat, nei file che carichi per creare Indici o file che carichi direttamente in chat o nei feedback che fornisci ai nostri servizi (“Contenuti”).
    3. Informazioni sulla comunicazione: se ti metti in contatto con noi (ad esempio per richiedere supporto tecnico o per richiedere informazioni), raccogliamo il tuo nome, le informazioni di contatto e i contenuti dei messaggi che invii (“Informazioni sulla comunicazione”).
  2. Informazioni personali che riceviamo automaticamente dall’utilizzo dei servizi: quando visiti, utilizzi o interagisci con i servizi, riceviamo le seguenti informazioni sulla tua visita, l’utilizzo o le interazioni (“Informazioni tecniche”):
    1. Dati di log: informazioni che il tuo browser invia automaticamente quando utilizzi i nostri servizi. I dati di log includono il tuo indirizzo IP, il tipo e le impostazioni del browser, la data e l’ora della richiesta e il modo in cui interagisci con il nostro sito web.
    2. Dati sull’utilizzo: possiamo raccogliere automaticamente informazioni sull’utilizzo dei servizi, come i tipi di contenuti che visualizzi o con cui interagisci, le funzionalità che utilizzi e le azioni che compi, nonché il tuo fuso orario, il paese, le date e gli orari di accesso, l’agente utente e la versione, il tipo di computer o dispositivo mobile e la tua connessione.
    3. Informazioni sul dispositivo: includono il nome del dispositivo, il sistema operativo, gli identificatori del dispositivo e il browser che stai utilizzando. Le informazioni raccolte possono dipendere dal tipo di dispositivo che stai utilizzando e dalle relative impostazioni.
    4. Le basi giuridiche sono le seguenti.

 

  1. l’esecuzione del contratto o l’adempimento di impegni precontrattuali:
    • permetterti di utilizzare, aggiornare e manutenere la piattaforma;
    • attivare, fornire, sospendere e gestire il tuo abbonamento, provvedendo alla relativa fatturazione, all’invio di comunicazioni di servizio ed all’assistenza, anche via mail;
    • fornirti tutti i servizi che rientrano nell’offerta commerciale del Titolare, come suggerirti i servizi e nuove funzionalità che ti possono interessare sulla base di quelli già da te utilizzati;
    • migliorare l’assistenza tecnica, l’attività di customer care, i nostri servizi, i contenuti e i prodotti;
    • gestire e rinnovare il tuo abbonamento.
  2. il perseguimento di un legittimo interesse del Titolare:
    • gestire i reclami ed i contenziosi, recuperare i crediti, prevenire frodi e attività illecite, nonché esercitare i diritti e tutelare gli interessi legittimi del Titolare o di terzi Titolari ad esempio il diritto di difesa in giudizio: l’interesse del Titolare corrisponde al diritto di azione costituzionalmente garantito (art. 24 Cost) e, in quanto tale, socialmente riconosciuto come prevalente rispetto agli interessi del singolo soggetto interessato; 
    • effettuare analisi statistiche aggregate su base anonima: l’interesse del Titolare fa capo al generale interesse di un’impresa a voler raccogliere ed analizzare dati utili a migliorare i propri prodotti e servizi, anche nell’interesse dei propri clienti;
      o inviarti comunicazioni commerciali o notizie su nuovi servizi, all’indirizzo email da te fornito, se sei già nostro Cliente, relative a servizi, prodotti e contenuti simili a quelli di cui hai già fruito o che hai già visto e/o correlati o complementari alla fruizione dei nostri servizi;
    • prevenire la criminalità e salvaguardare l’incolumità del pubblico.
  3. l’adempimento di obblighi di legge:
    • rispettare e adempiere gli obblighi previsti da leggi, regolamenti, normative comunitarie, ordini e prescrizioni delle autorità competenti

  • Come utilizziamo le informazioni personali

Possiamo utilizzare le informazioni personali per i seguenti scopi:

  1. Fornire, amministrare, mantenere e/o analizzare i servizi.
  2. Comunicare con te.
  3. Sviluppare nuovi programmi e servizi.
  4. Prevenire frodi, attività criminali o usi impropri dei nostri servizi e proteggere la sicurezza dei nostri sistemi informatici, dell’architettura e delle reti IT.
  5. Adempiere ad obblighi legali o processi legali e proteggere i nostri diritti, la privacy, la sicurezza o i beni nostri, tuoi o di terzi.

  • Comunicazione delle informazioni personali, natura conferimento e durata conservazione

In determinate circostanze, possiamo fornire le tue informazioni personali a terze parti senza ulteriori comunicazioni, a meno che richiesto dalla legge:

  1. Fornitori e fornitori di servizi: per aiutarci a soddisfare le nostre esigenze operative aziendali e svolgere determinati servizi e funzioni, possiamo fornire informazioni personali a fornitori e fornitori di servizi, tra cui fornitori di servizi di hosting, servizi cloud e altri fornitori di servizi informatici. In conformità alle nostre istruzioni, queste parti accederanno, elaboreranno o memorizzeranno le informazioni personali solo nell’ambito dell’esecuzione dei loro compiti nei nostri confronti.
  2. Il conferimento dei dati è facoltativo ma sono necessari per l’erogazione del servizio. Il rifiuto al conferimento non consente l’erogazione di parte del servizio durante l’utilizzo del tool. 
  3. I dati identificativi e di contatto: trattati per le finalità di servizio, per non oltre 10 anni dalla fine del rapporto contrattuale e comunque per il tempo di prescrizione previsto dalla legge; 
  4. i dati di utilizzo: quanto agli account utenti verranno invece cancellati immediatamente alla fine dell’abbonamento/rapporto contrattuale e, quanto ai dati di log, la loro cancellazione verrà effettuata dopo sei settimane dalla cessazione dell’abbonamento/rapporto contrattuale;
  5. i dati per il legittimo interesse del Titolare al fine dell’esercizio dei diritti per tutta la durata del contenzioso. 

  • I tuoi diritti

Potrai liberamente esercitare i seguenti diritti in relazione al trattamento dei dati trattati da Tender Brain:

  1. Ottenere conferma che sia in o meno in corso un trattamento di dati che ti riguardano e in tal caso, ottenere l’accesso ai dati e alle informazioni relative al trattamento. 
  2. Richiedere la rettifica di dati inesatti; 
  3. Richiedere la cancellazione dei dati nel caso in cui, tra le altre ragioni, gli stessi non siano più necessari per le finalità per cui sono stati richiesti; in tal caso, Tender Brain provvederà e cesserà di trattare i dati, fatto salvo il caso in cui gli stessi siano necessari per l’accertamento, l’esercizio o la difesa di un diritto. 
  4. Richiedere l’applicazione della limitazione del trattamento dei dati, nel qual caso gli stessi potranno essere trattati solo previo consenso dell’interessato; fanno eccezione la conservazione dei dati stessi e l’utilizzo per l’accertamento, l’esercizio o la difesa di un diritto o per la protezione dei diritti di altri soggetti fisici o giuridici o per motivi di interesse pubblico rilevante dell’Unione Europea o di uno Stato Membro. 
  5. Opporti, in tutto od in parte, per motivi legittimi al trattamento dei tuoi dati, in tal caso, Tender Brain dovrà cessare di trattare i dati stessi, fatto salvo il caso in cui gli stessi siano necessari per la difesa contro possibili reclami. 
  6. Ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati forniti a Tender Brain o richiedere che Tender Brain li trasferisca direttamente ad un altro titolare quando tecnicamente possibile. 
  7. Revocare il consenso concesso, se pertinente, per le finalità specificate nel precedente punto 2 senza pregiudicare la legittimità del trattamento sulla base del consenso fornito precedentemente alla revoca. 

I suddetti diritti di accesso, rettifica, cancellazione, limitazione, opposizione, e portabilità dei dati potranno essere esercitati direttamente dall’interessato o da un suo rappresentante legale o volontario, mediante richiesta rivolta a Tender Brain ai suoi dati di contatto mediante invio di lettera raccomandata a.r. presso la sede operativa di Tender Brain S.r.l. in Gorgonzola (20064 – MI), via Milano n. 37/c ovvero di email all’indirizzo info@opengate.biz o, infine, di email pec all’indirizzo tenderbrain@legalmail.it. 

L’interessato ha diritto di proporre reclamo alla competente Autorità di controllo.

  • Prodotti e Servizi di Terze Parti

TenderBrain veicola/utilizza servizi e prodotti di Terze Parti:

Infrastruttura cloud

TenderBrain risiede in un account Google Cloud Platform di proprietà di Tender Brain.

La contraente per conto di Google è Google Cloud Italy S.r.l., i cui server ospitanti il Tool sono posti all’interno dello Spazio economico europeo (l’infrastruttura è a St. Ghislain, Belgio ed i backup in Unione Europea).

I servizi AI forniti da terze parti

TenderBrain utilizza servizi di generative AI forniti da terze parti ovvero OpenAI OpCo, LLC e Google Cloud Italy S.r.l., acquistandoli attraverso Open Gate S.p.A.

  • Servizi forniti da Open Gate S.p.A.

Al seguente link è disponibile l’Informativa sulla privacy di Open Gate S.p.A., che descrive le modalità con cui raccoglie e tratta le informazioni personali dell’utente in relazione ai servizi forniti (inclusi i servizi di Generative AI): https://www.aideskpro.com/privacy-aideskpro/

  • Servizi AI forniti da OpenAI OpCo, LLC

Open Gate S.p.A. ha sottoscritto con OpenAI OpCo, LLC un contratto (“OpenAI Data Processing Addendum”).

Tale Addendum (“DPA”) regola l’elaborazione dei dati di Tender Brain (e dei Clienti di Tender Brain che utilizzano TenderBrain) da parte di OpenAI 

  1. forniti da Tender Brain a OpenAI tramite le API di OpenAI o qualsiasi servizio OpenAI per le aziende (“Servizi API”)
  2. in conformità alla fornitura di ChatGTPT Enterprise service for businesses da parte di OpenAI (“Servizi ChatGPT Enterprise”)

OpenAI accetta di rispettare gli obblighi ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati (collettivamente, “Leggi sulla protezione dei dati”) in relazione ai Servizi, in particolare il Regolamento generale sulla protezione dei dati del Regno Unito e/o dell’Unione Europea (Regolamento (UE) 2016/679) (collettivamente il “GDPR”) e la legislazione subordinata applicabile e i regolamenti di attuazione di tali leggi.

In qualità di Responsabile del trattamento dei dati, OpenAI si impegna a 

  1. elaborare i dati di Tender Brain solo per conto di Tender Brain allo scopo di fornire e supportare i servizi di OpenAI, in modo tale da garantire un livello di protezione della privacy non inferiore a quello richiesto dalle Leggi sulla protezione dei dati;
  2. non “condividere” (come tale termine è definito dal CCPA) Dati personali;

Ulteriori informazioni relative alla sicurezza del dato e sul trattamento dei dati sono disponibili ai seguenti link: https://trust.openai.com/ e https://openai.com/policies/privacy-policy

  • Servizi AI forniti da Google Cloud Italy S.r.l.

Open Gate S.p.A. utilizza i servizi di Generative AI forniti da Google (quali, ad esempio Vertex AI – Gemini Pro, PaLM 2 Text Bison…) e Pre-Trained APIs (quali, ad esempio, Pre-Trained APIs Speech-to-Tex…)

Google Cloud offre i suoi Servizi Cloud tramite il Partner autorizzato Open Gate S.p.A.

Al seguente link è disponibile l’Informativa sulla privacy di Google Cloud, che descrive le modalità con cui raccoglie e tratta le informazioni personali dell’utente in relazione a Google Cloud Platform (inclusi i servizi di Generative AI):  https://cloud.google.com/terms/cloud-privacy-notice  

  • Aggiornamento della privacy 

Si segnala che la presente informativa può essere oggetto di revisione periodica, anche in relazione alla normativa e giurisprudenza di riferimento. In caso di variazioni significative verrà data, per un tempo congruo, opportuna evidenza. Si invita comunque l’interessato a consultare periodicamente la presente policy.

Si tratta di un’informativa, resa ai sensi dell’art. 13 del GDPR, valida esclusivamente per l’utilizzo dei Servizi offerti da TenderBrain e non anche per altri siti web e/o servizi del Titolare e/o di terzi raggiungibili mediante link esterno.

 

Allegato B

Prodotti e Servizi di Terze Parti

TenderBrain veicola/utilizza servizi e prodotti di Terze Parti, identificati quali sub-responsabili, essenziali per il funzionamento di TenderBrain.

Infrastruttura cloud

TenderBrain risiede in un account Google Cloud Platform di proprietà di Tender Brain.

La contraente per conto di Google è Google Cloud Italy S.r.l., i cui server ospitanti il Tool sono posti all’interno dello Spazio economico europeo (l’infrastruttura è a St. Ghislain, Belgio ed i backup in Unione Europea).

I servizi AI forniti da terze parti

TenderBrain utilizza servizi di generative AI forniti da terze parti ovvero OpenAI OpCo, LLC e Google Cloud Italy S.r.l., acquistandoli attraverso Open Gate S.p.A.

Servizi AI forniti da OpenAI OpCo, LLC

Open Gate S.p.A. ha sottoscritto con OpenAI OpCo, LLC un contratto (“OpenAI Data Processing Addendum”).

Tale Addendum (“DPA”) regola l’elaborazione dei dati di Tender Brain (e dei Clienti di Tender Brain che utilizzano TenderBrain) da parte di OpenAI  

  • forniti da Tender Brain a OpenAI tramite le API di OpenAI o qualsiasi servizio OpenAI per le aziende (“Servizi API”) 
  • in conformità alla fornitura di ChatGTPT Enterprise service for businesses da parte di OpenAI (“Servizi ChatGPT Enterprise”)

OpenAI accetta di rispettare gli obblighi ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati (collettivamente, “Leggi sulla protezione dei dati”) in relazione ai Servizi, in particolare il Regolamento generale sulla protezione dei dati del Regno Unito e/o dell’Unione Europea (Regolamento (UE) 2016/679) (collettivamente il “GDPR”) e la legislazione subordinata applicabile e i regolamenti di attuazione di tali leggi.

In qualità di Responsabile del trattamento dei dati, OpenAI si impegna a 

  • elaborare i dati di Tender Brain solo per conto di Tender Brain allo scopo di fornire e supportare i servizi di OpenAI, in modo tale da garantire un livello di protezione della privacy non inferiore a quello richiesto dalle Leggi sulla protezione dei dati;
  • non “condividere” (come tale termine è definito dal CCPA) Dati personali;

Ulteriori informazioni relative alla sicurezza del dato e sul trattamento dei dati sono disponibili ai seguenti link: https://trust.openai.com/ e https://openai.com/policies/privacy-policy 

Servizi AI forniti da Google Cloud Italy S.r.l.

Open Gate S.p.A. utilizza i servizi di Generative AI forniti da Google (quali, ad esempio Vertex AI – Gemini Pro, PaLM 2 Text Bison…), Pre-Trained APIs (quali, ad esempio, Pre-Trained APIs Speech-to-Tex…) e modelli di terze parti, resi disponibili tramite Vertex AI Model Garden (quali, ad esempio, Anthropic Claude Sonnet e Haiku).

Google Cloud offre i suoi Servizi Cloud tramite il Partner autorizzato Open Gate S.p.A..

Al seguente link è disponibile l’Informativa sulla privacy di Google Cloud, che descrive le modalità con cui raccoglie e tratta le informazioni personali dell’utente in relazione a Google Cloud Platform (inclusi i servizi di Generative AI):  https://cloud.google.com/terms/cloud-privacy-notice.

Per ciò che concerne i servizi di Anthropic, utilizzati mediante il Model Garden di Google, si precisa che Il cliente mantiene la proprietà di tutti gli output generati dai servizi di Anthropic e dei contenuti forniti (Customer Content); inoltre Anthropic non può utilizzare il Customer Content proveniente dai servizi a pagamento per addestrare i propri modelli, a meno che non sia espressamente approvato dal cliente stesso. Tutte le informazioni sono disponibili su https://www.anthropic.com/legal/commercial-terms.

 

Servizio per l’invio di notifiche email

Open Gate S.p.A. utilizza MailGun, Email business unit dell’azienda Sinch, per l’invio di notifiche email di gestione dell’account, ad esempio per il reset della password.

Al seguente link è disponibile l’Informativa: https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ 

Aggiornamento Terze Parti

Si segnala che l’elenco delle Terze Parti potrà essere oggetto di revisione periodica, in virtù di nuovi accordi stipulati da Tender Brain con altri fornitori di servizi di AI.

L’elenco aggiornato dei servizi utilizzati da TenderBrain e dei sub-responsabili sarà reso disponibile ed aggiornato su questa pagina web.

Allegato C

Misure tecniche e organizzative per garantire la sicurezza dei dati

Introduzione

Tender Brain ha sviluppato TenderBrain allo scopo di fornire un accesso all’intelligenza artificiale, sicuro e pluralista (accesso a diversi motori di generative AI in un unico tool). In conformità con questa missione, Tender Brain mantiene un programma di sicurezza delle informazioni progettato per salvaguardare i suoi sistemi, dati e dati dei clienti. Il presente Addendum descrive il programma di sicurezza delle informazioni e gli standard di sicurezza che Tender Brain mantiene rispetto ai Servizi e al trattamento dei dati inviati da o per conto del Cliente ai Servizi (i “Dati del Cliente”).

Alcune misure tecniche o di sicurezza riportate di seguito si applicano in modo diverso alle diverse versioni di TenderBrain commercializzate da Tender Brain.

Descrizione del Funzionamento di TenderBrain

TenderBrain è uno strumento software che consente l’accesso a vari modelli di intelligenze artificiali generative. L’accesso viene permesso attraverso gli account forniti dall’azienda Tender Brain S.r.l.

Funzionalità Principali

Accesso alle Intelligenze Artificiali Generative

TenderBrain offre accesso ad una vasta gamma di intelligenze artificiali generative. Tramite l’uso di account aziendali, gli utenti possono trarre vantaggio da questo potente strumento in ogni loro necessità lavorativa.

Selezione di Diversi Modelli di Intelligenza Artificiale

L’utilizzo dello strumento include la possibilità di selezionare e utilizzare differenti modelli di intelligenza artificiale, tra cui Google Gemini e OpenAi chat-gpt. Questo permette agli utenti di personalizzare l’esperienza e l’efficacia del servizio a seconda delle loro esigenze.

Caricamento e Interrogazione Documenti

TenderBrain consente anche l’opzione di caricare documenti che possono essere successivamente interrogati mediante procedure RAG. Questa funzione fornisce un ulteriore strato di interattività e funzionalità al software.

Fornitori di Servizi

Tender Brain S.r.l. si avvale dei seguenti fornitori di servizi per l’erogazione del prodotto TenderBrain (si faccia riferimento all’Allegato A per una più dettagliata descrizione):

  • Open Gate S.p.A.
  • Google Cloud Platform – per tutta l’infrastruttura e i modelli AI di proprietà di Google, ad esempio Gemini e Chat Bison
  • OpenAI – per i modelli di AI di proprietà di OpenAI
  • MailGun – per l’invio di notifiche email di gestione dell’account, ad esempio per il reset della password

Utilizzo dei Modelli di AI

I modelli di intelligenza artificiale vengono utilizzati dall’utente per completare una serie di attività all’interno dello strumento. Queste attività includono:

  • Effettuare una Chat – Gli utenti possono utilizzare la chat per comunicare ed interagire con il software. 
  • Richiedere l’Indicizzazione di un Documento – Gli utenti possono richiedere l’indicizzazione di un documento, permettendo al software di analizzare e ottenere informazioni da documenti caricati.

TenderBrain, come prodotto di Tender Brain S.r.l., si impegna a fornire un software efficiente, efficace e affidabile per le esigenze dei suoi utenti.

Misure di sicurezza

TenderBrain permette 3 modalità di autenticazione, per ognuna di esse verranno descritte le misure di sicurezza adottate

  • Username (email) e password – Le password vengono salvate tramite algoritmo di hashing aggiornato agli standard di sicurezza attuali (ad oggi bcrypt)
  • Login with Google – Autenticazione e gestione della sicurezza dell’account demandata completamente al provider di servizi Google
  • API-Key – Meccanismo di autenticazione utilizzabile da account di servizio per interagire con le API esposte dal tool

Tender Brain adotta le migliori pratiche del settore per proteggere e gestire la propria infrastruttura cloud, comprese le seguenti misure:

  • Ambienti di produzione e non produzione separati
  • I Servizi vengono regolarmente controllati per individuare eventuali vulnerabilità della sicurezza
  • I log di accesso al tool possono essere consultati per rispondere a quesiti di sicurezza e disponibilità
  • WAF – E’ attivo il servizio Cloud Armor di Google Cloud Platform che protegge da attacchi di tipo DDoS e altri tipi di attacchi WEB

Tender Brain si impegna ad impedire agli utenti autorizzati di accedere ai dati oltre i loro diritti di accesso e per impedire l’immissione, la lettura, la copia, la rimozione, la modifica o la divulgazione non autorizzata dei dati. 

Tali misure includono quanto segue:

  • L’accesso dei dipendenti a TenderBrain segue il principio del privilegio minimo. Solo i dipendenti la cui funzione lavorativa prevede il supporto della fornitura di Servizi hanno credenziali per l’ambiente dei Servizi
  • I dati del cliente inviati ai Servizi vengono utilizzati solo in conformità con i termini del DPA, del contratto e di qualsiasi altro accordo contrattuale applicabile in essere con il cliente

Tender Brain applica le best practice del settore per prevenire l’accesso non autorizzato, l’alterazione o la rimozione dei dati durante il trasferimento e per proteggere e registrare tutti i trasferimenti. Tali misure includono:

  • Crittografia dei dati inattivi nei datastore di produzione utilizzando algoritmi di crittografia avanzati
  • Crittografia dei dati in transito
  • Audit Log di tutte le operazioni di gestione dell’infrastruttura
  • Criptazione dei dischi di tutti i dispositivi aziendali.
  • I dati del cliente possono essere cancellati su richiesta inviando un’email a support@opengate.biz

Tender Brain adotta le migliori pratiche per il mantenimento della funzionalità dei servizi, in relazione a danni accidentali o intenti dannosi, tra cui

  • Garanzia che i sistemi possano essere ripristinati in caso di interruzione
  • Garanzia che i sistemi funzionino e che i guasti siano segnalati
  • Implementazione di soluzioni anti-malware e di rilevamento/prevenzione delle intrusioni

Tender Brain si adopera per il controllo della segregazione dei dati (trattamento separato dei dati raccolti per scopi diversi) tra cui:

  • La segregazione dei dati dei clienti può essere implementata a più livelli a seconda delle loro esigenze. Si parte da una segregazione di tipo logica, fino ad arrivare ad una separazione fisica del dato.
  • Limitazione dell’accesso ai dati archiviati per scopi diversi a seconda dei ruoli e delle responsabilità del personale
  • Segregazione delle funzioni del sistema informativo aziendale
  • Segregazione degli ambienti dei sistemi informativi di test e di produzione

Tender Brain applica le best practice per il controllo, la formazione e la gestione del personale rispetto alle questioni di sicurezza e privacy, tra cui:

  • Formazione sulla sicurezza e privacy per i dipendenti ed eventuale formazione supplementare sulla sicurezza, a seconda dei casi

Tender Brain attua un piano di risposta agli incidenti di sicurezza per rispondere e risolvere eventi che compromettono la riservatezza, la disponibilità o l’integrità dei Servizi o dei Dati del Cliente, incluso quanto segue:

  • Log di sistema per la sicurezza e l’osservabilità generale, per facilitare il rilevamento e la risposta
  • Tempestiva notifica al Cliente da parte di Tender Brain, in caso di rilevamento di una violazione dei dati personali, in conformità con il DPA