Data Processing Agreement (DPA)

Ultimo aggiornamento: 02 March 2026

1. Definizioni e Ruoli

Ai fini del GDPR e delle normative applicabili sulla privacy:

• Titolare (Controller): L'Utente che scarica, installa e gestisce il Software, responsabile dei dati personali elaborati dalla propria istanza.
• Autore: Antonio Trento — fornisce il Software sotto licenza ELv2 ma non ha accesso ai dati dell'Utente.
• Dati dell'Utente: Qualsiasi informazione elaborata dall'istanza del Software, incluse configurazioni persona, credenziali API, post generati e immagini archiviati nel database dell'Utente.

2. Natura del Trattamento (Zero-Retention)

Il Software è progettato per operare in modalità completamente autonoma:

1. Elaborazione Locale: I dati (configurazioni persona, prompt, contenuti generati) vengono elaborati esclusivamente sull'infrastruttura dell'Utente (RAM e database PostgreSQL).
2. Nessun Storage Remoto: L'Autore non possiede, gestisce o ha accesso a database contenenti i Dati dell'Utente.
3. API di Terze Parti: I dati transitano dal server dell'Utente verso API di terze parti (OpenAI, Replicate, Twitter/X) configurate dall'Utente tramite i propri account e credenziali.
4. Log Locali: I log operativi sono salvati localmente sul filesystem dell'Utente e non vengono mai inviati all'Autore.

3. Contenuti AI e Protezione dei Dati

Zirelia genera testi e immagini tramite modelli AI. Dal punto di vista della protezione dei dati:

• Le configurazioni persona sono archiviate solo nel file config/persona.yaml e nel database dell'Utente.
• Le immagini generate sono archiviate nel filesystem o cloud storage dell'Utente.
• Se la persona coinvolge dati o somiglianza di persone reali, l'Utente (come Titolare) è responsabile di garantire una base giuridica ai sensi del GDPR Art. 6.
• L'Utente deve assicurarsi che i contenuti AI non violino le leggi sui media sintetici applicabili (es. AI Act UE, normative locali sui deepfake).

4. Misure di Sicurezza

Il Software incorpora misure di sicurezza fin dalla progettazione (Privacy by Design):

• Tutte le connessioni API esterne utilizzano HTTPS/TLS.
• Le credenziali sono gestite tramite Variabili d'Ambiente (.env), mai hard-coded.
• Nessun meccanismo di telemetria nascosta o esfiltrazione dati è incluso nel Software.
• Il Software è open-source — gli utenti possono verificare il codice sorgente completo su GitHub.

5. Sub-processori

Poiché il Software è self-hosted, l'Utente ha il controllo diretto su tutti i sub-processori tramite le chiavi API che configura. I principali sub-processori (configurati dall'Utente, non dall'Autore):

• OpenAI / Anthropic: Inferenza LLM per la generazione di contenuti.
• Replicate (Black Forest Labs FLUX.1): Generazione immagini.
• Twitter/X API: Pubblicazione social media.
• PostgreSQL: Persistenza dati locale (sull'infrastruttura dell'Utente).

L'Autore non agisce da intermediario contrattuale verso questi fornitori.

6. Responsabilità dell'Utente come Titolare

In qualità di Titolare, l'Utente è responsabile di:

• Garantire una base giuridica per tutti i trattamenti effettuati dalla propria istanza.
• Proteggere il file .env e le credenziali API.
• Rispettare GDPR, CCPA e altre normative applicabili per qualsiasi dato personale trattato.
• Verificare i contenuti AI prima della pubblicazione per garantire conformità ai ToS delle piattaforme.
• Implementare politiche di conservazione appropriate per i dati nel database locale.

7. Audit e Compliance

Il Software è completamente open-source sotto la licenza Elastic License 2.0. Gli utenti possono verificare il codice sorgente completo su GitHub per accertare l'assenza di backdoor, raccolta dati nascosta o meccanismi di esfiltrazione.

8. Contatti

Per richieste DPA: info@antoniotrento.net