Impegno per Privacy, Compliance e Sicurezza nell'IA
OORT Labs applica politiche formali di privacy, compliance e sicurezza a tutte le funzionalità di IA di OORT Flows, in conformità con le normative in Brasile (LGPD, PL 2338/2023) e all'estero (GDPR, EU AI Act, CCPA), oltre ai principali standard tecnici internazionali.
Questo documento descrive il programma di governance dell'IA di OORT Labs e va letto insieme all'Informativa sulla Privacy di OORT Flows e ai Termini d'Uso.
1.Il Nostro Impegno
OORT Labs sviluppa agenti di IA aziendale con la premessa che fiducia, privacy e sicurezza non sono opzionali. Ogni funzionalità di IA di OORT Flows è progettata, gestita e sottoposta ad audit secondo un programma formale di IA Responsabile lungo l'intero ciclo di vita del sistema.
2.Principi di IA Responsabile
- Centralità umana, Privacy by design, Sicurezza di default;
- Trasparenza ed esplicabilità, Equità e non discriminazione;
- Accountability con ruoli chiari tra OORT (Responsabile) e Cliente (Titolare);
- Robustezza tecnica: test, red-teaming e controlli contro prompt injection ed esfiltrazione;
- Nessun uso dei dati del Cliente per addestrare i modelli di OORT.
3.Normative Brasiliane
OORT Labs rispetta integralmente la LGPD (Legge nº 13.709/2018) e anticipa gli obblighi del PL 2338/2023 (quadro giuridico brasiliano dell'IA): classificazione del rischio, Valutazione di Impatto Algoritmico (AIA), diritto alla spiegazione e alla revisione umana, trasparenza attiva e governance interna.
4.Normative Internazionali
4.1.GDPR — Regolamento (UE) 2016/679
Per interessati nello SEE applichiamo integralmente il GDPR: basi giuridiche artt. 6 e 9, DPA con responsabili esterni, SCC, diritti degli interessati e notifica violazioni entro 72 ore.
4.2.EU AI Act — Regolamento (UE) 2024/1689
OORT Flows è allineato all'EU AI Act secondo un approccio basato sul rischio:
| Categoria di rischio | Postura OORT Flows |
|---|---|
| Rischio inaccettabile | Vietato by design. |
| Alto rischio | AIA, supervisione umana obbligatoria, log estesi, valutazione di conformità. |
| Rischio limitato | Trasparenza obbligatoria ed etichettatura dei contenuti sintetici. |
| Rischio minimo | Buone pratiche di governance e log standard. |
4.3.CCPA / CPRA e altre giurisdizioni
Per i residenti in California applichiamo il CCPA/CPRA, oltre a UK GDPR, PIPEDA, Ley 25.326, Ley 1581/2012, APPI e PDPA quando applicabili.
5.Framework e Standard Tecnici
- ISO/IEC 42001:2023, ISO/IEC 27001/27701, ISO/IEC 23894:2023;
- NIST AI RMF 1.0, OWASP Top 10 LLM, MITRE ATLAS;
- SOC 2 Type II.
6.Classificazione del Rischio e Valutazione di Impatto
Ogni flusso è classificato per livello di rischio, determinando la necessità di AIA/DPIA, profondità dei log, punti obbligatori di revisione umana, restrizioni su dati sensibili e frequenza degli audit.
7.Governance e Supervisione Umana
- Comitato IA Responsabile interno;
- Responsabile tecnico IA designato;
- Punti di approvazione umana configurabili;
- Policy di uso accettabile dell'IA;
- Formazione obbligatoria su privacy, sicurezza ed etica.
8.Trasparenza ed Esplicabilità
- Log dettagliati per ogni esecuzione;
- Provider e modello esposti;
- Etichettatura di contenuti sintetici quando richiesto;
- Export auditabile dei log;
- Spiegazioni accessibili per decisioni automatizzate.
9.Sicurezza dei Dati e Privacy
- Cifratura at rest (AES-256) e in transito (TLS 1.2+);
- Isolamento tra tenant;
- MFA obbligatorio per amministratori, SSO/SAML/OIDC enterprise;
- Clausole *zero data retention* con i provider di IA quando supportate;
- Filtri di dati sensibili prima dell'invio a modelli esterni;
- SAST, DAST, SCA, scanning dei segreti e red-teaming LLM;
- Piano di risposta agli incidenti allineato a LGPD/GDPR.
10.Diritti degli Interessati e Contatti
- DPO: [dpo@oortlabs.com]
- Comitato IA Responsabile: [ai-governance@oortlabs.com]
- Privacy: [privacy@oortlabs.com]
- Sicurezza: [security@oortlabs.com]