Sicurezza e Compliance: GDPR e Residenza Dati nell'UE
Data Alchemy tratta i tuoi documenti aziendali — fatture, DDT, ordini, contratti — con un approccio security-first: conformità GDPR, residenza dei dati nell'Unione Europea, cifratura in transito e a riposo, controllo degli accessi e piena trasparenza sui sub-responsabili. In questa pagina trovi le garanzie su sicurezza e compliance che il tuo ufficio IT e legale possono valutare prima della demo, senza dover firmare un NDA per leggere come proteggiamo i tuoi dati.
I pilastri della sicurezza e della compliance
La protezione dei dati non è una funzione opzionale: è il modo in cui Data Alchemy è progettata. Ecco i quattro pilastri su cui si fonda la nostra postura di sicurezza e compliance.
Conformità GDPR
Trattiamo i dati personali contenuti nei documenti come responsabili del trattamento per tuo conto, con un Accordo sul Trattamento dei Dati (DPA) dedicato e finalità limitate all'elaborazione che ci affidi.
Residenza dati nell'UE
I documenti e i dati estratti sono ospitati e processati su infrastruttura cloud all'interno dell'Unione Europea, senza trasferimenti verso paesi terzi privi di garanzie adeguate.
Cifratura end-to-end
Ogni documento è cifrato in transito (TLS 1.2+) e a riposo (AES-256). Le credenziali di integrazione con il gestionale sono custodite in un vault cifrato e mai esposte in chiaro.
Minimizzazione e retention
Trattiamo solo i dati necessari all'estrazione e alla validazione. Le politiche di conservazione e cancellazione sono concordate nel contratto e i documenti possono essere eliminati su richiesta.
Conformità GDPR e residenza dei dati nell'UE
Data Alchemy è un'azienda italiana e tratta i dati nel pieno rispetto del Regolamento (UE) 2016/679 (GDPR). Quando elaboriamo i tuoi documenti agiamo come responsabile del trattamento (data processor) per conto della tua azienda, che resta titolare del trattamento: trattiamo i dati personali solo per le finalità che ci affidi — estrazione, validazione e scrittura nel gestionale — e secondo le tue istruzioni documentate. La residenza dei dati è nell'Unione Europea: i documenti caricati, i dati estratti e i log applicativi risiedono su infrastruttura cloud localizzata nell'UE, così l'ufficio IT e il DPO possono valutare il rischio prima ancora della demo.
Ruoli e responsabilità chiari
Tu sei il titolare del trattamento, Data Alchemy il responsabile. Il DPA definisce finalità, categorie di dati, durata e misure di sicurezza ai sensi dell'art. 28 GDPR.
Residenza dati nell'Unione Europea
Storage, elaborazione e backup avvengono su data center situati nell'UE. Nessun trasferimento verso paesi terzi senza garanzie adeguate (clausole contrattuali tipo o decisioni di adeguatezza).
Diritti degli interessati
Supportiamo l'esercizio dei diritti GDPR (accesso, rettifica, cancellazione, portabilità): su richiesta del titolare estraiamo o eliminiamo i dati personali contenuti nei documenti trattati.
Registro e trasparenza
Manteniamo un registro delle attività di trattamento e un elenco aggiornato dei sub-responsabili, consultabile dai clienti per le proprie valutazioni di compliance.
Le misure di sicurezza tecniche e organizzative
Sicurezza dei dati significa cifratura, controllo degli accessi e infrastruttura affidabile. Ecco le misure tecniche e organizzative che proteggono i documenti che ci affidi.
Cifratura dei dati
- Cifratura in transito con TLS 1.2 o superiore
- Cifratura a riposo dei documenti con AES-256
- Credenziali ERP custodite in un vault cifrato
- Segregazione logica dei dati tra i clienti (multi-tenant)
Controllo degli accessi
- Accessi basati sul principio del minimo privilegio
- Autenticazione delle integrazioni via API key e token
- Tracciamento degli accessi e delle operazioni (audit log)
- Revoca immediata delle credenziali a fine rapporto
Infrastruttura e continuità
- Hosting su cloud provider certificati nell'UE
- Backup periodici e ripristino in caso di disastro
- Monitoraggio e patching continuo dei sistemi
- Separazione tra ambienti di sviluppo e produzione
Pratiche organizzative
- Accordi di riservatezza con il personale e i fornitori
- Formazione del team su sicurezza e protezione dati
- Gestione strutturata degli incidenti e notifica al titolare
- Valutazione di sicurezza dei nuovi sub-responsabili
Come trattiamo i documenti con l'AI multi-engine
Data Alchemy abbina a ogni modello documentale l'LLM più adatto — oggi Claude AI, che nei nostri test ha superato GPT, Gemma e DeepSeek. Sappiamo che inviare documenti aziendali a un motore AI è la domanda più delicata per chi valuta la piattaforma, perciò siamo trasparenti su come funziona. I documenti sono elaborati tramite i provider AI esclusivamente per estrarre e strutturare i dati che ci chiedi, sotto accordi di trattamento (DPA) e senza che i tuoi contenuti vengano usati per addestrare modelli di terze parti.
Nessun addestramento sui tuoi dati
I documenti inviati ai motori AI non vengono utilizzati per addestrare o migliorare i modelli dei provider: servono solo a produrre l'estrazione che ti restituiamo.
Sub-responsabili sotto contratto
I provider AI sono trattati come sub-responsabili, vincolati da DPA e da misure di sicurezza adeguate. L'elenco è disponibile per le valutazioni di compliance.
Trattamento limitato e tracciato
L'elaborazione AI è limitata alla singola operazione di estrazione; non costruiamo profili sui contenuti dei tuoi documenti oltre a ciò che serve al servizio.
Validazione che riduce l'esposizione
La validazione sulle anagrafiche del gestionale avviene nel nostro perimetro UE, riducendo i dati che attraversano i motori AI al minimo necessario.
Standard e framework di compliance di riferimento
Le nostre misure di sicurezza sono progettate seguendo gli standard riconosciuti del settore. Ecco i framework che guidano la nostra postura di compliance.
GDPR — Regolamento (UE) 2016/679
Trattamento dei dati personali conforme al GDPR, con DPA ai sensi dell'art. 28, registro dei trattamenti e supporto ai diritti degli interessati.
Principi ISO/IEC 27001
Le nostre misure tecniche e organizzative sono allineate ai principi di gestione della sicurezza delle informazioni della norma ISO/IEC 27001.
Cloud provider certificati
L'infrastruttura si appoggia a cloud provider dell'UE che mantengono certificazioni riconosciute (es. ISO 27001, SOC 2) sui propri data center.
FatturaPA e contesto normativo italiano
Supportiamo i formati e i flussi della fatturazione elettronica italiana (FatturaPA), nel rispetto delle regole tecniche dell'Agenzia delle Entrate.
Risorse collegate a sicurezza e integrazioni
La tecnologia AI multi-engine
Come Data Alchemy sceglie l'LLM più adatto a ogni documento e valida i dati sulle anagrafiche del gestionale.
Scopri di più →IntegrazioneIntegrazione ERP
Connettori nativi, API REST, webhook e SQL per scrivere i dati in SAP, Zucchetti e TeamSystem in sicurezza.
Scopri di più →ControlliControllo anomalie e frodi
Rilevamento di duplicati, IBAN sospetti e prezzi fuori contratto prima della registrazione in contabilità.
Scopri di più →Domande frequenti su sicurezza e compliance
Data Alchemy è conforme al GDPR?
Sì. Data Alchemy è un'azienda italiana e tratta i dati personali contenuti nei documenti nel rispetto del Regolamento (UE) 2016/679 (GDPR). Agiamo come responsabile del trattamento per conto della tua azienda, che resta titolare, sulla base di un Accordo sul Trattamento dei Dati (DPA) ai sensi dell'art. 28 GDPR che definisce finalità, categorie di dati, durata e misure di sicurezza.
Dove vengono ospitati e trattati i miei dati?
La residenza dei dati è nell'Unione Europea: i documenti caricati, i dati estratti, i backup e i log applicativi risiedono su infrastruttura cloud localizzata nell'UE. Non effettuiamo trasferimenti verso paesi terzi privi di garanzie adeguate ai sensi del GDPR.
Come vengono protetti i documenti che invio?
I documenti sono cifrati in transito con TLS 1.2 o superiore e a riposo con AES-256. Gli accessi seguono il principio del minimo privilegio, le operazioni sono tracciate in audit log e le credenziali di integrazione con il gestionale sono custodite in un vault cifrato, mai esposte in chiaro.
I miei documenti vengono usati per addestrare modelli AI?
No. I documenti inviati ai motori AI servono esclusivamente a estrarre e strutturare i dati che ci chiedi e non vengono utilizzati per addestrare o migliorare i modelli dei provider. I provider AI sono trattati come sub-responsabili, vincolati da accordi di trattamento (DPA) e da misure di sicurezza adeguate.
Posso ottenere un DPA e l'elenco dei sub-responsabili?
Sì. Mettiamo a disposizione un Accordo sul Trattamento dei Dati (DPA) e un elenco aggiornato dei sub-responsabili (compresi i provider AI e i cloud provider UE), così l'ufficio legale e il DPO possono completare la valutazione di compliance prima dell'attivazione del servizio.
Avete certificazioni di sicurezza come ISO 27001 o SOC 2?
Le nostre misure tecniche e organizzative sono progettate seguendo i principi della norma ISO/IEC 27001 sulla gestione della sicurezza delle informazioni e ci appoggiamo a cloud provider dell'UE che mantengono certificazioni riconosciute (ISO 27001, SOC 2) sui propri data center. Per lo stato aggiornato delle nostre certificazioni e per la documentazione di sicurezza, contattaci e ti forniremo i dettagli applicabili al tuo progetto.
Valuta la sicurezza di Data Alchemy con il tuo team
Prenota una demo gratuita di 30 minuti: coinvolgi IT e ufficio legale, rispondiamo alle domande su GDPR, residenza dati, cifratura e sub-responsabili e ti forniamo la documentazione di sicurezza utile alla tua valutazione — senza impegno.
Prenota una demo gratuita