Valutazione d'impatto sulla protezione dei dati (DPIA)

1. Ambito e obbligo legale

L'art. 35 GDPR impone una DPIA quando il trattamento, per natura, ambito o finalità, può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Afini.ai tratta categorie particolari di dati (art. 9 GDPR: tratti psicologici, valori, attaccamento, umorismo, orientamento temporale, contesto vitale) ai quali applica algoritmi automatizzati. Questa DPIA è quindi un documento vivo: viene rivista almeno annualmente e ogni volta che si introduce una nuova capa, un nuovo modello o un cambiamento sostanziale della base giuridica.

2. Mappa del trattamento

Identificazione (e-mail, lingua), dati di pagamento (gestiti da Stripe — Bilbao AI non memorizza PAN né dati bancari), risposte ai questionari psicometrici, conversazioni con l'IA, capas dichiarate (vitale, ritmi, traiettoria, hobby, ecc.), metriche d'uso del proxy LLM ed eventi di audit. Responsabili: Stripe (pagamenti), Anthropic (LLM in regime DPA — elabora solo, non si addestra sui tuoi contenuti), Resend (e-mail transazionale), Holded (fatturazione TicketBAI), Railway (hosting europeo), Cloudflare (CDN/WAF), Sentry (monitoraggio errori europeo).

3. Rischi identificati

• Rischio di inferenza sensibile: la combinazione delle capas può rivelare stati psicologici non dichiarati esplicitamente.
• Rischio di re-identificazione: i dati pseudonimizzati potrebbero essere ricollegati al soggetto incrociandoli con fonti esterne.
• Rischio di uso secondario: che terzi utilizzino l'AfiniTwin o le narrative per scopi diversi da quelli consentiti.
• Rischio di bias algoritmico: che i modelli LLM riproducano pregiudizi nell'interpretazione del profilo.
• Rischio di trasferimento internazionale: anche se l'elaborazione principale è europea, l'API di Anthropic elabora i contenuti in regime DPA con clausole contrattuali tipo dell'UE (SCC).

4. Misure di mitigazione

• Cifratura in transito (TLS 1.2+) e a riposo (AES-256) su tutte le capas; segregazione del database su infrastruttura europea (Railway eu-west).
• Consenso granulare e revocabile per capa con audit di ogni modifica (vedi la scheda Consensi nel tuo cruscotto).
• Minimizzazione: ogni conversazione con l'IA riceve solo il sottoinsieme del profilo strettamente necessario; i contenuti non vengono mai usati per addestrare modelli.
• Audit dei bias sui prompt del proxy e revisione umana periodica delle narrative generate.
• Anonimizzazione aggressiva in log e metriche: hash salati degli IP, senza contenuto conversazionale, ritenzione limitata (90 giorni in Sentry, 30 giorni nei log applicativi).
• Procedura documentata di notifica di violazione (art. 33 GDPR) entro 72 ore con catena di custodia tracciata.

5. Revisione e governance

La DPIA viene rivista almeno una volta all'anno e obbligatoriamente ogni volta che si introduce una nuova capa, un nuovo modello o una funzionalità ad alto impatto (per es. l'esportazione a terzi). Il titolare del trattamento approva ogni revisione e la data viene registrata nel Documento di Sicurezza. Gli utenti professionali e le aziende possono richiedere l'accesso al riepilogo esteso firmando un accordo di riservatezza.