AIRIA Systems GmbH

Note legali · GDPR art. 28 · Allegato 4

Sub-responsabili

Versione 1.0 · 28 aprile 2026

Versione informativa. Questa traduzione italiana è fornita a fini informativi. La versione vincolante è quella in lingua tedesca disponibile su airia.systems/de/legal/subprocessors; in caso di contrasto, la denominazione tedesca della persona giuridica e della sua sede prevale.

Ambito
Allegato 4 / Annex D al MSA e al DPA tra AIRIA Systems GmbH e Cliente
Versione
1.0 del 28 aprile 2026
Pubblicato su
airia.systems/legal/subprocessors

Lingua e ambito

Il presente elenco è parte integrante del contratto di trattamento dei dati (DPA) e del Master Services Agreement (MSA) sottoscritti tra AIRIA Systems GmbH e i propri clienti. La versione tedesca, vincolante, è disponibile su airia.systems/de/legal/subprocessors; in caso di contrasto prevale la denominazione tedesca della persona giuridica e della sua sede.

1 · Sub-responsabili attivi

I seguenti sub-responsabili trattano dati personali del Cliente per conto del Titolare ai sensi dell'art. 4 n. 8 GDPR.

#Persona giuridicaSedeFunzioneLuogo del trattamentoInserimento
1 Hetzner Online GmbH (HRB 6089, Ansbach) Industriestr. 25, 91710 Gunzenhausen, Germania Compute, storage, rete (infrastruttura cell virtualizzata, backup PBS). Cell primaria: Falkenstein DE; destinazione di backup off-site cifrato: Helsinki FI. Germania (DE) — primaria; Finlandia (FI) — esclusivamente backup cifrato. Entrambe UE. Trasferimento intra-UE DE→FI riconosciuto (nessuna SCC richiesta). Go-live
2 Fornitore di inferenza LLM — da confermare prima dell'avvio del trattamento Stato membro UE (sede specifica da indicare ai sensi del § 4) Inferenza AI — generazione delle risposte LLM Esclusivamente UE Da confermare
3 Fornitore di embedding di fallback — da confermare prima dell'avvio del trattamento Stato membro UE (sede specifica da indicare ai sensi del § 4) Inferenza AI — fallback degli embedding in degraded-mode (attivato esclusivamente quando il servizio di embedding on-premises primario non è disponibile) Esclusivamente UE Da confermare
4 BioDec S.r.l. (P.I./C.F. 02327271207) Via Calzavecchio 20/2, 40033 Casalecchio di Reno (BO), Italia Infrastruttura Linux e host-OS — manutenzione e monitoraggio 24×7; nessun accesso diretto ai dati applicativi / di tenant a livello di applicazione Italia (UE) Go-live

Copertura della residenza UE. Tutti i sub-responsabili sopra elencati sono iscritti e operativi nell'UE e non sono soggetti a giurisdizioni statunitensi (in particolare FISA 702 o CLOUD Act). Non avviene alcun trasferimento ai sensi degli artt. 44 ss. GDPR; il trasferimento intra-UE DE→FI per i backup cifrati è un trasferimento all'interno dello SEE e non richiede SCC.

I sub-responsabili concreti indicati alle righe 2 e 3 saranno selezionati tra fornitori che soddisfano tutti i seguenti requisiti:

  1. persona giuridica iscritta e con sede legale in uno Stato membro UE;
  2. elaborazione dei dati e supporto operativo esclusivamente all'interno dell'UE;
  3. strutturalmente al di fuori della portata della legislazione USA extraterritoriale — nessuna società madre statunitense, nessuna quotazione in borsa USA (resilienza al CLOUD Act);
  4. conforme agli obblighi applicabili previsti dall'EU AI Act vigenti pro tempore.

Il Titolare sarà informato di ciascun sub-responsabile concreto almeno 30 giorni prima dell'avvio del trattamento, secondo il meccanismo di modifica di cui al § 4. Fino alla designazione dei sub-responsabili concreti, dalla Fase 0 in poi nessun dato personale del Cliente confluisce verso fornitori di inferenza.

2 · Osservabilità interna di AIRIA — non costituisce trattamento per conto del Cliente; inferenza embedding primaria — non sub-responsabile

(1) AIRIA gestisce per i propri scopi operativi uno stack LGTM self-hosted (Loki, Grafana, Tempo, Mimir) sull'infrastruttura Hetzner DE elencata al § 1 riga 1 del presente Allegato. Lo stack è destinato esclusivamente all'osservabilità della piattaforma (logging, tracing, monitoraggio delle prestazioni) per la responsabilità operativa di AIRIA.

(2) I flussi di dati ingeriti dallo stack sono composti esclusivamente da:

  1. stack trace offuscate (senza dati di contenuto);
  2. identificatori applicativi di livello sistema (es. ID di tenant come hash opachi, senza riferimento in chiaro al Titolare o ai suoi utenti);
  3. metriche di sistema (CPU, memoria, latenza, tassi di errore).

(3) Nessun dato personale del Cliente confluisce in tali strumenti. Tali strumenti non costituiscono pertanto sub-responsabili ai sensi dell'art. 4 n. 8 GDPR e non sono elencati al § 1 del presente Allegato. Il trattamento resta tuttavia soggetto alle TOM di cui all'Allegato 2 del DPA (in particolare controllo degli accessi e cifratura).

(4) Qualora AIRIA in futuro trattasse dati di osservabilità contenenti dati personali del Cliente, il relativo fornitore diverrebbe sub-responsabile ai sensi dell'art. 4 n. 8 GDPR e dovrebbe essere aggiunto al § 1 del presente Allegato ai sensi del meccanismo di modifica di cui al § 6 DPA / § 10 MSA.

(5) L'inferenza embedding primaria non costituisce sub-responsabile. L'inferenza degli embedding vettoriali è eseguita principalmente da un binario self-hosted in esecuzione su hardware gestito da AIRIA, elencato al § 1 riga 1 (Hetzner DE). I pesi del modello sono scaricati una sola volta durante il deployment iniziale da un repository pubblico di modelli; in fase di inferenza nessun dato personale del Cliente è trasmesso a tale repository. Solo il fallback degli embedding in degraded-mode (riga 3) coinvolge un sub-responsabile terzo.

3 · Destinatari di funzioni interne di gruppo

Nessuno — AIRIA Systems GmbH non ha società di gruppo a cui vengano inoltrati dati personali del Cliente.

4 · Meccanismo di modifica

Le modifiche al presente elenco seguono il § 10 MSA e il § 6 DPA: preavviso di 30 giorni, diritto di opposizione del Cliente di 15 giorni, negoziazione in buona fede di 30 giorni, successivo diritto del Cliente di recesso speciale con rimborso pro rata quale rimedio esclusivo.

5 · Conferma delle TOM dei sub-responsabili

AIRIA dispone, per ciascun sub-responsabile elencato, di almeno uno dei seguenti elementi:

  1. certificato ISO/IEC 27001 o ISO/IEC 27017/27018;
  2. relazione SOC 2 Type II (ove emessa);
  3. DPA del fornitore con i contenuti richiesti dall'art. 28 (3) GDPR;
  4. prova della residenza UE (visura camerale, ubicazione del data center).

Tali documenti sono messi a disposizione del Cliente su richiesta ragionevole.

Elenco sub-responsabili · Versione 1.0 del 28 aprile 2026 · AIRIA Systems GmbH · Grünberger Straße 54 · 10245 Berlin · [email protected]