Kanryx
Torna alla homepage

Data Processing Agreement (DPA)

Ultimo aggiornamento: 22/05/2026

KANRYX — Preliminary IP Intelligence Platform
Accordo sul Trattamento dei Dati ai sensi dell'art. 28 Reg. UE 2016/679 (GDPR) — Versione 1.0 — Efficace dal: 22/05/2026

Questo DPA è destinato agli utenti che utilizzano KANRYX in ambito professionale o aziendale (B2B). Per i consumatori privati si applica la Privacy Policy.

Art. 1 — Parti

KANRYX — Titolare: Federico Battini — P.IVA 02424520506 — Sede: Via della Cartiera 12, 56025 Pontedera (PI), Italia — Ruolo: Data Processor — privacy@kanryx.com

Cliente — Ruolo: Data Controller — Identificato in fase di registrazione

Art. 2 — Oggetto e istruzioni di trattamento

KANRYX tratta i dati personali per conto del Data Controller esclusivamente ai fini dell'erogazione del servizio di analisi preliminare di brevettabilità.

Art. 3 — Zero Data Retention — Garanzia contrattuale

Zero Data Retention attivato e confermato per iscritto da Mistral AI (ticket #24723424, maggio 2026).

  • I file allegati (immagini/PDF) sono elaborati in memoria e mai salvati
  • Mistral AI non conserva i dati API di KANRYX oltre l'elaborazione né li utilizza per addestrare i propri modelli
  • Titolo, descrizione e report sono conservati al massimo 24 ore, poi cancellati automaticamente (o prima, su eliminazione dell'utente)
  • Dopo la cancellazione resta solo un dato anonimo (tipo report e data), mai il contenuto dell'invenzione

Art. 4 — Misure di sicurezza tecniche e organizzative

  • HTTPS/TLS 1.3 obbligatorio
  • Password bcrypt
  • JWT 1 ora con blacklist persistente
  • Rate limiting su tutti gli endpoint
  • Security headers (HSTS, X-Frame-Options, CSP)
  • Sanitizzazione input
  • Accesso amministrativo ristretto a un unico account con credenziali forti e audit log
  • Eliminazione automatica PDF dopo 24 ore

Art. 5 — Sub-processor

  • Scaleway SAS — Parigi (UE) — Hosting, DB, Storage — ISO 27001
  • Mistral AI SAS — Parigi (UE) — Analisi AI — ZDR attivo
  • Brevo SAS — Parigi (UE) — Email transazionali
  • Stripe Inc. — USA — Pagamenti — SCC, PCI DSS Level 1
  • Cloudflare, Inc. — USA — CDN/consegna del frontend statico e protezione anti-bot (solo dati tecnici di navigazione; nessun dato di analisi) — SCC / EU-U.S. DPF

KANRYX notifica il Data Controller con almeno 30 giorni di anticipo per ogni modifica ai sub-processor.

Art. 6 — Diritti di audit

Richieste di audit a privacy@kanryx.com con 30 giorni di preavviso. Risposta entro 30 giorni.

Art. 7 — Data breach

  • Notifica al Data Controller entro 48 ore dalla scoperta
  • Descrizione, categorie, conseguenze e misure adottate
  • Notifica al Garante entro 72 ore se vi è rischio (art. 33 GDPR)

Data l'architettura ZDR, l'esposizione in caso di breach è strutturalmente limitata ai dati di account.

Art. 8 — Trasferimenti extra-UE

Limitati a Stripe Inc. (USA, pagamenti) e Cloudflare, Inc. (USA, consegna del sito statico — soli dati tecnici di navigazione), coperti da SCC (decisione 2021/914/UE) e/o EU-U.S. Data Privacy Framework. I dati delle analisi restano esclusivamente nell'UE.

Art. 9 — Durata e cancellazione

Alla cancellazione dell'account KANRYX elimina tutti i dati entro 30 giorni, salvo obblighi di legge.

Art. 10 — Legge applicabile

GDPR e legge italiana. DPA firmato: privacy@kanryx.com