Vai al contenuto principale
OpenAI

Updated: 1 dicembre 2025

Addendum al trattamento dei dati di OpenAI

Scaricare come PDF(si apre in una nuova finestra)

In vigore: il 1° gennaio 2026

(Visualizza il precedente addendum al trattamento dei dati)

Il presente Addendum sul Trattamento dei dati di OpenAI (“DPA”) integra ed è incorporato nell'Accordo sui servizi di OpenAI (“Accordo”) che disciplina l'uso dei Servizi ed è stipulato alla Data di decorrenza tra il Cliente sopra identificato (“Cliente”) e OpenAI OpCo, LLC, per conto proprio e per conto delle sue Consociate, se del caso, a meno che il Cliente non abbia sede in un paese dello Spazio Economico Europeo o in Svizzera, nel qual caso è stipulato con OpenAI Ireland Ltd., per conto proprio e per conto delle sue Consociate, se del caso (“OpenAI”). I termini in maiuscolo non definiti nel DPA avranno il significato indicato nell'Accordo. Nel presente DPA, OpenAI e il Cliente sono ciascuno indicati come “Parte“ e collettivamente come “Parti“. Il Cliente dichiara di avere la capacità legale di stipulare il presente Accordo e, qualora lo faccia per conto di un'entità, di avere l'autorità legale per vincolare tale entità. Cliccando su “Accetto”, accettando il Modulo d'ordine o utilizzando i Servizi, il Cliente accetta il presente Accordo.

1. Dettagli.

  • 1.1 Ambito e Ruoli. Nell'ambito della fornitura dei Servizi al Cliente ai sensi dell'Accordo, OpenAI può trattare i Dati del Cliente per conto del Cliente. OpenAI agisce come Responsabile del trattamento dei dati per conto del Cliente, e il presente DPA disciplina tale Trattamento.
  • 1.2 Dettagli del trattamento. OpenAI tratterà i Dati del cliente esclusivamente al fine di erogare i Servizi al Cliente in conformità all'Accordo e al presente DPA. I dettagli riguardanti la natura, la durata, nonché i tipi di Dati del Cliente e le categorie di Soggetti interessati coinvolti, sono indicati nell'Allegato 1 (Dettagli del trattamento) del presente DPA. OpenAI e il Cliente concordano di adempiere ai rispettivi obblighi ai sensi delle Leggi in materia di protezione dei dati in relazione ai Servizi.

2. Obblighi di OpenAI.

  • 2.1 Istruzioni del Cliente. Le Parti concordano che il presente DPA, l'Accordo (incluso il Modulo d'ordine) e qualsiasi istruzione fornita tramite gli strumenti di configurazione e altri strumenti all'interno dei Servizi resi disponibili da OpenAI, costituiscono le istruzioni documentate del Cliente riguardo al trattamento dei Dati del Cliente da parte di OpenAI (“Istruzioni del Cliente”). OpenAI tratterà i Dati del Cliente solo in conformità con le Istruzioni del Cliente, a meno che non sia richiesto di farlo dalla legge applicabile a cui OpenAI è soggetta, nel qual caso OpenAI informerà il Cliente di tale requisito prima del trattamento, salvo divieti legali.
  • 2.2 Comunicazioni al Cliente. OpenAI informerà prontamente il Cliente per iscritto se, a parere di OpenAI, un'istruzione del Cliente viola le Leggi in materia di protezione dei dati. OpenAI, nella misura consentita dalla legge, informerà il Cliente se riceve una richiesta vincolante di divulgazione dei Dati del Cliente da parte di un’autorità di pubblica sicurezza.
  • 2.3 Riservatezza. OpenAI garantirà che tutte le persone autorizzate da OpenAI a trattare i Dati del Cliente si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
  • 2.4 Richieste dei soggetti interessati. Nella misura consentita dalla legge, OpenAI informerà il Cliente qualora riceva una richiesta di esercitare i diritti degli interessati ai sensi delle Leggi in materia di protezione dei dati (“Richiesta del soggetto interessato”) in relazione ai Dati del Cliente.  OpenAI non risponderà a nessuna richiesta di questo tipo senza la preventiva autorizzazione scritta del Cliente, salvo che il Cliente autorizzi OpenAI a inoltrare le Richieste dei soggetti interessati secondo necessità per consentire al Cliente di rispondere direttamente. Tenendo conto della natura del trattamento, OpenAI assisterà il Cliente implementando misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per consentire al Cliente di rispondere alle Richieste dei soggetti interessati.
  • 2.5 Sicurezza. OpenAI implementerà e manterrà misure di sicurezza organizzative e tecniche ragionevoli e adeguate per proteggere i Dati del Cliente, come stabilito nell'Accordo.
  • 2.6 Assistenza al cliente. OpenAI fornirà, tenendo conto della natura del trattamento e delle informazioni disponibili a OpenAI, un'assistenza ragionevole al Cliente per aiutarlo a rispettare i propri obblighi ai sensi delle Leggi in materia di protezione dei dati, inclusa, ove opportuno, la preparazione di valutazioni d'impatto sulla protezione dei dati in relazione al trattamento dei Dati del Cliente da parte di OpenAI e, ove necessario, la consultazione del Cliente con un'autorità di controllo avente giurisdizione su tale trattamento, se tale consultazione è richiesta dalle Leggi in materia di protezione dei dati.
  • 2.7 Violazioni dei dati personali. OpenAI informerà il Cliente senza indebito ritardo dopo essere venuta a conoscenza di qualsiasi violazione dei dati personali. OpenAI fornirà un'assistenza ragionevole al Cliente per aiutarlo a rispettare i propri obblighi ai sensi delle Leggi in materia protezione dei dati in relazione a tale Violazione di dati personali.
  • 2.8 Valutazione della conformità. OpenAI, su ragionevole richiesta scritta del Cliente e nella misura richiesta dalle Leggi in materia di protezione dei dati: (i) non più di una volta all'anno, fornirà al Cliente le politiche di privacy e sicurezza di OpenAI e altre informazioni necessarie a dimostrare la conformità agli obblighi di OpenAI ai sensi del presente DPA;  e (ii) a condizione che le Parti abbiano stipulato un accordo di riservatezza appropriato, consentirà e contribuirà ad audit o ispezioni da parte del Cliente o per conto del Cliente, esclusivamente a carico del Cliente.  Tale audit o ispezione deve essere: (A) condotta in modo da essere minimamente invasiva per le attività di OpenAI; (B) necessaria per confermare che OpenAI stia trattando i dati del cliente in modo coerente col presente DPA; e (C) avvenire non più di una volta all'anno. Laddove consentito dalle Leggi in materia di protezione dei dati, OpenAI può invece mettere a disposizione del Cliente un riepilogo dei Report di audit relativi alla conformità di OpenAI col presente DPA. Tali risultati e documentazione, inclusi i risultati di eventuali audit o ispezioni, costituiranno le Informazioni riservate di OpenAI.
  • 2.9 Coinvolgimento dei Sub-responsabili. Il Cliente fornisce con la presente un'autorizzazione generale a OpenAI per coinvolgere i Sub-responsabili del trattamento elencati nell'Elenco dei sub-responsabili del trattamento per elaborare i Dati del Cliente in relazione ai Servizi. OpenAI informerà il Cliente di eventuali modifiche all'Elenco dei Sub-responsabili del trattamento tramite post sul blog, notifica all'interno dei Servizi o altri mezzi ragionevoli, oppure via e-mail qualora il Cliente sia iscritto alle notifiche e-mail sul sito dell'Elenco dei sub-responsabili del trattamento. Il Cliente può opporsi all'uso di tale Sub-responsabile del trattamento aggiuntivo entro 30 giorni dal ricevimento della notifica della modifica seguendo le istruzioni indicate nell'Elenco dei Sub-responsabili del trattamento o contattando privacy@openai.com. In tal caso, OpenAI collaborerà con il Cliente per rispondere ai suoi dubbi e proporre alternative o soluzioni commercialmente ragionevoli. Se nessuna delle alternative o soluzioni è commercialmente fattibile, secondo il ragionevole giudizio di OpenAI, o se le obiezioni non sono state risolte a soddisfazione delle Parti entro 30 giorni dal ricevimento da parte di OpenAI della notifica di obiezione del Cliente, ciascuna Parte può risolvere l'Accordo o qualsiasi Modulo d'ordine o utilizzo relativo ai Servizi che non possono essere forniti senza l'uso del nuovo Sub-responsabile del trattamento. In questo caso, al Cliente verranno rimborsate eventuali somme pagate anticipatamente per i periodi successivi alla data di cessazione.
  • 2.10 Obblighi dei sub-responsabili del trattamento. OpenAI stipulerà accordi contrattuali con ciascun Sub-responsabile del trattamento che impongano obblighi comparabili a quelli imposti a OpenAI ai sensi del presente DPA. Fatte salve le limitazioni di responsabilità incluse nell'Accordo, OpenAI rimarrà responsabile per gli atti e le omissioni dei suoi Sub-responsabili del trattamento nella stessa misura in cui OpenAI sarebbe responsabile ai sensi del presente DPA se avesse eseguito tali atti od omissioni personalmente.
  • 2.11 Restituzione o Eliminazione dei Dati. Alla scadenza o risoluzione dell'Accordo, OpenAI, su istruzione del Cliente, restituirà o eliminerà i Dati del Cliente e le copie esistenti, a meno che la conservazione dei Dati del Cliente non sia richiesta dalle leggi applicabili, nel qual caso OpenAI li isolerà e proteggerà da qualsiasi ulteriore trattamento, salvo nella misura richiesta dalle leggi applicabili.

3. Obblighi del Cliente.

  • 3.1 Avvisi e autorizzazioni. Il Cliente dichiara, garantisce e si impegna a dichiarare di aver fornito tutte le comunicazioni richieste e di essere in possesso, nonché di mantenere per l'intera Durata, tutti i diritti, consensi e le autorizzazioni necessari, nella misura richiesta dalle Leggi in materia di protezione dei dati, per fornire i Dati del Cliente a OpenAI e per autorizzare OpenAI a trattare i Dati del Cliente in relazione all'Accordo, incluso il presente DPA.
  • 3.2 Cooperazione. Il Cliente deve collaborare ragionevolmente con OpenAI per assisterla nell'adempimento di qualsiasi obbligo previsto dalle Leggi applicabili in materia di protezione dei dati.
  • 3.3 Configurazioni. Fermi restando gli obblighi di sicurezza di OpenAI riportati nell'articolo 2.5 del presente DPA, il Cliente riconosce e accetta di essere responsabile di determinate configurazioni e decisioni progettuali per i Servizi e di implementare tali configurazioni e decisioni progettuali (ad esempio, periodi di conservazione, eliminazione, ecc.) in modo conforme alle Leggi applicabili in materia di protezione dei dati.

4. Trasferimenti di dati internazionali

  • 4.1 Dati del SEE e della Svizzera. I Dati del cliente trattati da OpenAI ai sensi del presente DPA possono rientrare nell'ambito delle leggi in materia di protezione dei dati dello Spazio Economico Europeo o della Svizzera (“Dati del SEE e della Svizzera”). Indipendentemente dalla parte contrattuale applicabile di OpenAI ai sensi del presente DPA, il Cliente incarica OpenAI Ireland Limited a trattare qualsiasi Dato del SEE e della Svizzera in conformità con il presente DPA. Nella misura in cui OpenAI Ireland limitato trasferisca i Dati del SEE e della Svizzera ad altre consociate di OpenAI o a terzi al di fuori dello Spazio Economico Europeo o della Svizzera per fornire i Servizi, lo farà sulla base di accordi contenenti le Clausole contrattuali standard (SCC) che garantiscono adeguate salvaguardie per la protezione dei Dati del Cliente o di una decisione di adeguatezza emessa dalla Commissione europea ai sensi dell'Articolo 45 del GDPR.
  • 4.2 Dati del Regno Unito. I Dati del Cliente trattati da OpenAI ai sensi del presente DPA possono rientrare nell'ambito delle Leggi in materia di protezione dei dati del Regno Unito (“Dati del Regno Unito”). Indipendentemente dalla Parte contraente applicabile di OpenAI ai sensi del presente DPA, il Cliente incarica OpenAI OpCo, LLC a trattare qualsiasi Dato del Regno Unito in conformità con il presente DPA e con le SCC modificate dall'Addendum del Regno Unito, che si considerano stipulate (e incorporate nel presente DPA per riferimento) e completate come descritto nell'Allegato 1.

5. Ulteriori requisiti.

Nella misura in cui si applicano le Leggi statunitensi in materia di privacy:

  • 5.1 OpenAI si impegna a (a) non fornire al Cliente alcun compenso monetario o altra forma di valore in cambio dei Dati del Cliente. Le parti riconoscono e concordano che il Cliente non ha “venduto” (come definito dalle Leggi sulla privacy degli Stati Uniti) i Dati del cliente a OpenAI; (b) non “vendere” (come definito dalle leggi sulla privacy degli Stati Uniti) o “condividere” (come definito dal CCPA) Dati personali; (c) nella misura in cui il Cliente consente o richiede a OpenAI di trattare i Dati del cliente soggetti alle leggi sulla privacy degli Stati Uniti in forma de-identificata nell'ambito dei Servizi, OpenAI dovrà (i) adottare misure ragionevoli per impedire che tali dati de-identificati vengano utilizzati per dedurre informazioni su, o altrimenti essere collegati a, una persona fisica o nucleo familiare particolare; (ii) impegnarsi pubblicamente a mantenere e utilizzare tali dati de-identificati in tale forma e a non tentare di re-identificare le informazioni, salvo quanto consentito dalle Leggi sulla privacy degli Stati Uniti; e (iii) prima di condividere dati de-identificati con qualsiasi altra parte, incluso il Sub-destinatario, obbligare contrattualmente tale destinatario a rispettare i requisiti di questa disposizione (c)(i)-(iii); e (d) laddove i Dati del cliente siano soggetti al CCPA (i) non conservare, utilizzare, divulgare o altrimenti trattare i Dati del cliente se non come necessario per le finalità di business specificate nell'Accordo, inclusi, senza limitazione, quelli indicati nell'Allegato 1 di questo DPA; (ii) non conservare, utilizzare, divulgare o altrimenti trattare i Dati del cliente in alcun modo al di fuori del rapporto commerciale diretto tra OpenAI e il Cliente; (iii) non combinare alcun Dato del cliente con Dati personali che OpenAI riceve da o per conto di terzi o raccoglie dalle proprie interazioni con individui, a condizione che OpenAI possa combinare tali Dati del cliente per uno scopo consentito dal CCPA su richiesta del Cliente o come altrimenti consentito dal CCPA; (iv) avvisare il Cliente senza indebito ritardo qualora OpenAI stabilisca di non essere più in grado di adempiere ai propri obblighi ai sensi del CCPA; e (v) se il Cliente ritiene ragionevolmente che il trattamento dei Dati del cliente da parte di OpenAI non sia coerente con i requisiti del CCPA e previa ragionevole notifica dello stesso a OpenAI, le Parti collaboreranno in buona fede per risolvere il problema, o, se dopo aver collaborato il Cliente determina ragionevolmente che il problema non può essere risolto, OpenAI interromperà il trattamento dei Dati del cliente in oggetto su indicazione scritta del Cliente.
  • 5.2 Il Cliente accetta di non intraprendere alcuna azione che possa (a) far considerare la fornitura dei Dati del Cliente a OpenAI come una “vendita“ ai sensi delle leggi statunitensi sulla privacy o una “condivisione“ ai sensi del CCPA (o concetti equivalenti ai sensi delle leggi statunitensi sulla privacy); oppure (ii) far sì che OpenAI non sia considerato un “fornitore di servizi“ ai sensi del CCPA o un “responsabile del trattamento“ ai sensi delle leggi statunitensi sulla privacy.

6. Definizioni.

Dati del Cliente” indica i Dati personali trattati da OpenAI per conto del Cliente per fornire i Servizi.

Titolare del trattamento” ha il significato assegnato al termine “titolare” (o altro termine analogo) ai sensi delle Leggi in materia di protezione dei dati.

Responsabile del trattamento” ha il significato assegnato al termine “responsabile” (o altro termine analogo) ai sensi delle Leggi in materia di protezione dei dati.

Leggi in materia di protezione dei dati” indica le leggi sulla privacy e protezione dei dati applicabili al trattamento dei Dati del Cliente da parte di OpenAI in relazione ai Servizi. 

Soggetto interessato” ha il significato attribuito al termine “soggetto interessato” (o altro termine analogo) ai sensi delle Leggi in materia di protezione dei dati.

GDPR” indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Dati personali” ha il significato assegnato al termine “dati personali” o “informazioni personali” (o altro termine analogo) ai sensi delle Leggi in materia di protezione dei dati.

Violazione dei dati personali” indica una violazione della sicurezza che porta alla distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati del cliente memorizzati, trasmessi o altrimenti trattati da OpenAI, dai suoi Sub-responsabili del trattamento o da qualsiasi altro terzo che agisca per conto di OpenAI.

Trattamento” ha il significato assegnato al termine “trattamento” (o un altro termine analogo) ai sensi delle Leggi in materia di protezione dei dati.

SCC” indica le clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi adottate dalla Commissione europea il 4 giugno 2021 (come modificate, aggiornate o sostituite di volta in volta).

Sub-responsabili del trattamento” indica i sub-responsabili del trattamento incaricati da OpenAI di elaborare i Dati del Cliente in relazione ai servizi, elencati nell'Elenco dei sub-responsabili del trattamento.

Elenco dei Sub-responsabili del trattamento” indica l'elenco disponibile al seguente indirizzo https://platform.openai.com/subprocessors(si apre in una nuova finestra).

Addendum del Regno Unito” indica l'addendum del Regno Unito alle SCC dell'UE emesso dall'Information Commissioner ai sensi dell'articolo 119A(1) del Data Protection Act 2018.

Leggi statunitensi in materia di privacy” indica il sottoinsieme delle Leggi in materia di protezione dei dati applicabili ai residenti degli Stati Uniti, incluso, a titolo esemplificativo ma non esaustivo, il California Consumer Privacy Act (“CCPA”)

Programma 1

Dettagli del trattamento

1. Natura e Scopo:

La prestazione dei Servizi ai sensi dell'Accordo.

2. Durata:

La Durata e il tempo necessario successivamente affinché le Parti adempiano ai propri obblighi applicabili dopo la sua scadenza, inclusa la cancellazione dei dati.

3. Categorie di Dati del cliente:

Il Cliente può inviare Dati Personali ai Servizi, le cui categorie dipenderanno dall'uso che il Cliente fa dei Servizi, determinato e controllato dal Cliente a sua esclusiva discrezione, ma che possono includere, a titolo esemplificativo e non esaustivo, nomi, informazioni di contatto, dati demografici o qualsiasi altra informazione fornita dagli Utenti finali del Cliente in dati non strutturati.

4. Categorie di soggetti interessati:

I soggetti interessati possono includere, ma non sono limitati a, i dipendenti del Cliente, i clienti, i fornitori e generalmente gli Utenti finali.

5. Dati sensibili trasferiti (se del caso):

Dati sensibili trasferiti (ove applicabile) e limitazioni o misure di salvaguardia applicate che considerino appieno la natura dei dati e i rischi coinvolti, per esempio rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso concesso esclusivamente al personale che abbia seguito una formazione specializzata), tenuta di un registro dell'accesso ai dati, restrizioni ai trasferimenti successivi o misure di sicurezza aggiuntive.

Nessun dato sensibile è destinato a essere trasferito a meno che l'utente non lo includa inaspettatamente nei dati non strutturati.

6. Frequenza:

Frequenza del trasferimento (per esempio, se i dati vengono trasferiti una tantum o su base continuativa).

Su base continuativa a seconda dell'uso dei Servizi da parte del Cliente

7. Trasferimenti ai Sub-responsabili:

Ai sensi dell'Articolo 2.9 del DPA, i Sub-responsabili del trattamento tratteranno i Dati del Cliente come necessario per fornire i Servizi. Tale trattamento sarà valido per tutta la durata dell'Accordo, salvo diverso accordo scritto.

8. Informazioni sulle SCC per il trasferimento dei dati del Regno Unito ai sensi dell'Articolo 4.2:

  • 8.1 Il Modulo due (trasferimento da Titolare del trattamento a Responsabile del trattamento) delle Clausole contrattuali tipo dell'UE si applica quando il Cliente è un Titolare del trattamento e OpenAI tratta i Dati del cliente in qualità di Responsabile del trattamento. Il Modulo tre (trasferimento da Responsabile del trattamento a Sub-responsabile del trattamento) delle Clausole contrattuali tipo dell'UE si applica quando il Cliente è un Responsabile del trattamento e OpenAI tratta i Dati del cliente in qualità di Sub-responsabile del trattamento.
  • 8.2 Per ciascun modulo delle SCC, ove applicabile, si applica quanto segue: (i) La clausola di adesione facoltativa nella Clausola 7 non si applica; (ii) Nella Clausola 9, si applica l'Opzione 2 (autorizzazione scritta generale) e il periodo minimo di preavviso per le modifiche al sub-responsabile del trattamento sarà quello stabilito all'articolo 2.9 del DPA; (iii) Nella Clausola 11, la lingua facoltativa non si applica; (iv) Tutte le parentesi quadre nella Clausola 13 vengono rimosse; (v) Nella Clausola 17 (Opzione 1), le SCC saranno disciplinate dalla legislazione dell'Inghilterra e del Galles; (vi) Nella Clausola 18(b), le controversie saranno risolte dinanzi ai tribunali dell'Inghilterra e del Galles; (vii) Il presente Allegato 1 contiene le informazioni richieste nell'Allegato I e nell'Allegato III delle SCC; (viii) La Sezione 2.5 (Sicurezza) del DPA contiene le informazioni richieste nell'Allegato II delle SCC; (ix) l'autorità di controllo competente è l'Information Commissioner’s Office (“ICO”).
  • 8.3 Esportatore/i di dati: il Cliente ai sensi dell'Accordo; Importatore/i di dati: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Responsabile della protezione dei dati, privacy@openai.com.

Esecuzione dell'Accordo sul trattamento dei dati(si apre in una nuova finestra)