Sicurezza e dati
Ultimo aggiornamento: 13 luglio 2026
In sintesi
Transept è uno spazio di lavoro per la traduzione creato per tradurre in modo sicuro. Quando invia un testo, lo trasmettiamo a un provider IA per la traduzione, salviamo il risultato nel nostro database e Le permettiamo di modificarlo. Questa pagina spiega tutto ciò che riguarda questo processo: dove risiedono i dati, chi può vederli e cosa promettiamo di non farci. Se sta valutando piattaforme per la traduzione automatica sicura e la gestione di progetti di traduzione, questa è la versione in parole semplici; il testo legale completo si trova nell'Informativa sulla privacy.
- Non usiamo i Suoi contenuti per addestrare modelli IA – né i nostri, né quelli dei nostri provider.
- I Suoi dati risiedono nell'UE – applicazione e database ospitati in Germania (Hetzner).
- Crittografati in transito e a riposo – TLS 1.2+ su ogni connessione, AES-256 su disco.
- Lei è proprietario dei Suoi contenuti – deteniamo una licenza di elaborazione limitata, nessuna pretesa di proprietà. Se elimina il Suo account, i Suoi dati vengono eliminati con esso.
- DPA disponibile su richiesta – per i clienti aziendali, firmiamo un Accordo sul trattamento dei dati (DPA) che copre gli obblighi dell'Articolo 28 del GDPR.
Cosa facciamo con i Suoi contenuti
Quando invia un testo per la traduzione, accadono tre cose:
- Il Suo testo viene salvato nel nostro database come parte del Suo documento.
- Per ogni richiesta di traduzione, il blocco pertinente viene inviato a un provider IA tramite una connessione crittografata. Il provider restituisce la traduzione, che noi salviamo come nuova versione del blocco.
- Il Suo testo rimane nel Suo documento finché non lo elimina (o elimina il Suo account). Non viene mai utilizzato per addestrare alcun modello IA.
Cosa non facciamo:
- Non vendiamo i Suoi dati.
- Non usiamo i Suoi contenuti per addestrare modelli – i nostri o di chiunque altro.
- Non condividiamo i Suoi contenuti con inserzionisti o piattaforme di marketing di terze parti.
- Non scansioniamo il Suo Google Drive o spazio di lavoro Notion connesso. Vediamo solo i file che sceglie esplicitamente di importare.
- Non eseguiamo nostri modelli fondativi né effettuiamo fine-tuning sui dati dei clienti.
Dove risiedono i Suoi dati
I server applicativi e il database di Transept sono eseguiti su Hetzner Online GmbH, un provider di hosting europeo con data center in Germania. Il Suo account, i Suoi documenti, le Sue traduzioni, i Suoi glossari e le Sue guide di stile: tutto risiede su infrastruttura UE.
Quando traduce, il blocco di testo pertinente viene inviato a un provider IA per la durata di tale richiesta. La maggior parte dei provider IA (Anthropic, OpenAI, Google) elabora le richieste negli Stati Uniti in base a impegni contrattuali sulla protezione dei dati e, ove applicabile, al Data Privacy Framework UE-USA o alle Clausole contrattuali tipo (SCC). Una volta restituita la traduzione, nessuna copia dei Suoi contenuti rimane presso il provider oltre alla loro registrazione operativa a breve termine – consulti l'informativa sulla privacy di ciascun provider per i dettagli.
Crittografia
- In transito – TLS 1.2 o superiore su ogni connessione tra il Suo browser, i nostri server e i provider IA. Solo HTTPS; HTTP viene reindirizzato.
- A riposo – database e archiviazione su disco crittografati con AES-256.
- Backup – crittografati a riposo, conservati per 30 giorni, poi sovrascritti.
- Autenticazione – accesso senza password tramite codici monouso via email di breve durata o Google OAuth. Non memorizziamo password. I token di sessione sono salvati nel local storage del Suo browser.
Chi può accedere ai Suoi dati
L'accesso in produzione è limitato a un piccolo numero di operatori designati (attualmente i due co-fondatori), autenticati tramite chiavi SSH con registrazione di audit. Non si accede ai contenuti dei clienti nelle operazioni di routine.
Per indagare su un problema di traduzione o un'altra richiesta di supporto, chiediamo il permesso e il documento specifico prima di aprirlo. L'accesso agli account utente dal pannello di amministrazione è registrato e verificabile; le azioni sensibili (modifiche di ruolo, impersonificazione, aggiustamenti delle parole) scrivono voci permanenti nel registro di audit.
Provider IA e addestramento
Le richieste di traduzione vengono inviate a uno dei seguenti provider, a seconda del modello che sceglie:
- Anthropic – modelli della famiglia Claude, tramite API Anthropic. L'API commerciale di Anthropic non si addestra sugli input o output dei clienti.
- OpenAI – modelli della famiglia GPT, tramite API OpenAI. I dati dell'API OpenAI non vengono utilizzati per addestrare i modelli per impostazione predefinita per i clienti API.
- Google – modelli della famiglia Gemini, tramite Vertex AI / API Gemini. I dati dei clienti inviati tramite queste API non vengono utilizzati per addestrare i modelli fondativi di Google.
- Groq – modelli della famiglia Llama e altri modelli ospitati su Groq per un'inferenza rapida. L'API di Groq non si addestra sui dati dei clienti.
- OpenRouter – gateway per modelli aggiuntivi. I termini del provider sottostante variano in base al modello. Per i carichi di lavoro in cui l'opt-out dall'addestramento è importante, blocchi le Sue traduzioni su un provider noto (Anthropic, OpenAI o Google).
Nessuno di questi provider si addestra sui Suoi contenuti nei livelli API che utilizziamo. Transept stessa non esegue modelli fondativi, non effettua fine-tuning sui dati dei clienti e non conserva prompt o output per alcuno scopo di addestramento.
Sub-responsabili
L'elenco completo delle terze parti che possono elaborare i Suoi dati per nostro conto —nomi, regione, ruolo e data dell'ultima revisione del DPA— si trova all'indirizzo /subprocessors. Riepilogo:
- Traduzione IA — Anthropic (Stati Uniti), OpenAI (Stati Uniti), Google / Vertex AI (Stati Uniti, regioni UE disponibili), Groq (Stati Uniti), OpenRouter (Stati Uniti). Vedere sopra.
- Hetzner Online GmbH (Germania, UE) — hosting di applicazioni e database.
- Stripe, Inc. (Stati Uniti / Irlanda) — fatturazione degli abbonamenti e acquisti una tantum. Non vediamo né memorizziamo mai i numeri completi delle carte; Stripe gestisce tutti i dati delle carte in conformità allo standard PCI DSS Livello 1.
- PostHog (ospitato in UE) — analisi opzionale del prodotto, caricata solo con il Suo esplicito consenso per l'analisi (opt-in per ogni visitatore).
- Customer.io (spazio di lavoro UE) — e-mail transazionali (codici di accesso, notifiche dell'account, ricevute di fatturazione) e —solo con il Suo esplicito consenso per il marketing— e-mail di aggiornamento del prodotto.
- Google Tag Manager + Google Ads (Stati Uniti) — analisi e misurazione delle conversioni degli annunci, caricati solo con il Suo esplicito consenso e gestiti tramite Consent Mode v2.
- Meta Platforms (Stati Uniti) — Pixel + Conversions API per la misurazione delle conversioni degli annunci, caricati solo con il Suo esplicito consenso per il marketing.
Le modifiche sostanziali a questo elenco (nuovo sub-responsabile del trattamento, cambio di regione) verranno segnalate su questa pagina e all'indirizzo /subprocessors prima che entrino in vigore per le nuove elaborazioni.
Conformità e certificazioni
Transept è un'azienda giovane. Seguiamo gli obblighi sostanziali dei framework indicati di seguito, ma non possediamo ancora certificazioni di terze parti. Siamo trasparenti su ciò che abbiamo e ciò che non abbiamo.
- GDPR (UE) e GDPR del Regno Unito — sì. Siamo conformi in qualità di titolare del trattamento per i dati dell'account e di utilizzo, e in qualità di responsabile del trattamento per i contenuti che Lei invia. Offriamo la serie completa di diritti dell'interessato, la residenza dei dati nell'UE per i contenuti archiviati, la notifica di violazione entro 72 ore e un DPA su richiesta.
- CCPA / CPRA (California) e altre leggi sulla privacy degli stati USA — sì. Rispettiamo il diritto di sapere, il diritto alla cancellazione, il diritto alla rettifica e il diritto di opporsi alla vendita o alla condivisione per tutti i residenti negli Stati Uniti (non vendiamo dati personali).
- SOC 2 — non ancora. Seguiamo pratiche allineate a SOC 2 per il controllo degli accessi, la crittografia, la gestione delle modifiche e la risposta agli incidenti, ma non siamo stati sottoposti a un audit di Tipo 1 o Tipo 2.
- ISO 27001 — non certificato.
- HIPAA — Transept non è una piattaforma conforme all'HIPAA. Non invii informazioni sanitarie protette.
- PCI DSS — i dati di pagamento sono gestiti da Stripe (PCI DSS Livello 1). Non vediamo né memorizziamo mai i dettagli completi delle carte.
Accordo sul trattamento dei dati (DPA)
Per i clienti aziendali, rendiamo disponibile su richiesta un Accordo sul trattamento dei dati (DPA). Copre i nostri obblighi in qualità di responsabile del trattamento ai sensi dell'Articolo 28 del GDPR —incluse le divulgazioni sui sub-responsabili del trattamento, le misure di sicurezza, le richieste degli interessati e la notifica delle violazioni.
Invii un'e-mail a [email protected] con l'e-mail del Suo account e i dettagli dell'azienda per richiedere un DPA.
Risposta agli incidenti
Se veniamo a conoscenza di una violazione dei dati personali che potrebbe comportare un rischio per i Suoi diritti e le Sue libertà, provvederemo a:
- Notificare gli utenti interessati senza ingiustificato ritardo, ed entro 72 ore qualora la gravità lo richieda ai sensi dell'Art. 33 del GDPR.
- Notificare l'autorità di controllo competente ove richiesto.
- Condividere ciò che sappiamo sulla natura della violazione, sui dati interessati, sulle probabili conseguenze e sulle misure che stiamo adottando per contenerla e porvi rimedio.
Per gli incidenti che influiscono sul servizio ma che non costituiscono violazioni dei dati (interruzioni, prestazioni ridotte), gli aggiornamenti vengono pubblicati tramite banner in-app ed e-mail agli utenti attivi.
Divulgazione responsabile
Se individua una vulnerabilità in Transept, invii un'e-mail a [email protected] con i dettagli. Le chiediamo di:
- Concederci un lasso di tempo ragionevole per indagare e risolvere il problema prima della divulgazione pubblica.
- Evitare violazioni della privacy, distruzione di dati o interruzioni del servizio durante i test.
- Effettuare test solo sul Suo account o sugli account a cui ha il permesso di accedere.
Al momento non gestiamo un programma di bug-bounty a pagamento, ma prenderemo in considerazione le segnalazioni attendibili e —se lo desidera— accrediteremo pubblicamente il segnalatore una volta rilasciata una correzione.
Maggiori informazioni
Per il testo legale completo, consulti la nostra Informativa sulla privacy e i Termini di servizio. Per qualsiasi aspetto non trattato in questa sede, invii un'e-mail a [email protected].