Il nostro approccio privacy, in dettaglio tecnico
La versione breve è qui. Questa pagina è la versione lunga: il flusso esatto, i modelli usati e il modo in cui la nostra architettura lo applica.
Il «PII sandwich»
Nessuna IA cloud di terze parti vede mai i vostri dati personali in chiaro. Non è una promessa contrattuale — è un vincolo di architettura. Ecco il flusso completo quando caricate un CV e generiamo una lettera di motivazione:
1. Il vostro CV arriva sui nostri server in Svizzera (Ginevra / Meyrin GE).
Hosting sovrano — hardware che gestiamo noi stessi,
non un'istanza cloud in affitto.
↓
2. Il nostro motore IA locale (Phi-4 / Qwen2.5, eseguiti localmente
sulle nostre GPU a Ginevra) legge il vostro CV e SOSTITUISCE ogni
dato identificativo con un marcatore:
"Marie Dupont" → [PERSON_A]
"marie@email.ch" → [EMAIL_X]
"Banque Exemple SA" → [COMPANY_Y]
"+41 78 234 56 78" → [PHONE_1]
"Rue du Rhône 14, 1204" → [ADDRESS_1]
↓
3. SOLO A QUESTO PUNTO parte — e solo la versione anonimizzata —
verso un modello cloud, sotto un accordo sul trattamento dei dati (DPA) UE,
zero conservazione:
Il modello cloud vede: "[PERSON_A] ha lavorato presso [COMPANY_Y]
per 4 anni come [ROLE]…"
Il modello cloud non vede MAI: "Marie Dupont … Banque Exemple SA …"
↓
4. La risposta torna con i marcatori. Il nostro motore locale li
sostituisce con i vostri veri dati PRIMA di inviarvela.
↓
5. La lettera finale arriva a voi, completa e personalizzata — senza
che alcuna IA cloud abbia mai visto le vostre informazioni identificative.
Le due «fette di pane» (anonimizzazione + de-anonimizzazione) sono locali. Il «ripieno» cloud tocca solo marcatori.
Quale modello tratta cosa, e dove
Non usiamo la stessa IA per tutto. Ogni compito è instradato verso un livello di sensibilità, e il livello determina il fornitore — chi chiama non sceglie mai liberamente.
| Livello | Compiti | Fornitore | Localizzazione | Cosa vede |
|---|---|---|---|---|
| PII — dati personali | Estrazione del CV, anonimizzazione/de-anonimizzazione, scoring di matching, prima bozza della lettera | Motore locale (Phi-4, Qwen2.5) | Le nostre GPU a Ginevra — non lasciano la Svizzera | Il vostro vero CV, le vostre vere info |
| PREMIUM — ragionamento di qualità | Rifinitura della lettera di motivazione, gestione di contenziosi | Claude (Sonnet) | DPA UE, zero conservazione | Solo versioni anonimizzate (marcatori) |
| PUBLIC — contenuti pubblici | Parsing di offerte indicizzate, contenuti marketing | Modello Kimi | API pubblica | Descrizioni di posizioni pubbliche — mai un CV, mai dati del candidato |
Regola dura: il router non passa mai da un livello a un altro. Se il nostro motore locale non è disponibile, un interruttore di sicurezza fa fallire la chiamata PII invece di reindirizzarla verso un fornitore cloud. Preferiamo un messaggio di errore a una fuga.
Applicato dall'architettura, non una promessa di marketing
Il routing di sensibilità è implementato nel cuore del backend: un solo fornitore è cablato per livello all'avvio, e ogni chiamata LLM deve passare per questo router. Concretamente:
- una chiamata PII non può mai raggiungere un fornitore cloud;
- se il motore locale non è disponibile, l'interruttore di sicurezza fa fallire le chiamate PII invece di reindirizzarle;
- ogni chiamata è registrata.
Una suite di test automatizzati verifica queste tre garanzie in continuo, a ogni modifica del codice.
Pista di audit (prova IFPDT / nLPD / GDPR)
Ogni chiamata LLM è registrata in un registro di audit con un hash SHA-256 dell'input — mai il testo in chiaro. Manteniamo così una traccia verificabile (chi ha chiamato cosa, quale livello, quale fornitore, quando) senza duplicare alcun dato personale. I nostri amministratori possono esportare questo registro in CSV per metterlo a disposizione di un audit (IFPDT, responsabile del trattamento, esperto GDPR). Richiesta di accesso audit a legal@ninjob.ch.
Un confronto onesto
Secondo la documentazione pubblica dei concorrenti (stato 2026):
| Trattamento del vostro CV / dei vostri dati | Cosa annunciano | |
|---|---|---|
| aiapply | Inviato a un modello cloud generalista | Documenta apertamente l'uso di un'IA cloud; nessuna anonimizzazione locale |
| jobwinner.ai | Estensione costruita su WordPress | Nessuna politica di trattamento IA documentata |
| ninjob | Anonimizzato localmente a Ginevra prima di qualsiasi chiamata cloud; il cloud vede solo marcatori | Architettura documentata pubblicamente (sopra) — non solo un impegno contrattuale |
Non diciamo che gli altri «rubano» i vostri dati — la maggior parte ha DPA e cifratura TLS. Ma la cifratura TLS è trasparente per l'IA cloud che riceve il contenuto: vede il vostro CV in chiaro. Da noi, non lo vede mai, perché ciò che lascia la Svizzera sono marcatori.
Responsabili del trattamento cloud
| Responsabile | Uso | Dati trasmessi | Quadro |
|---|---|---|---|
| Anthropic (Claude) | Rifinitura di lettere, contenziosi | Solo testo anonimizzato | DPA UE, zero conservazione per l'addestramento |
| Moonshot (Kimi) | Parsing di offerte pubbliche, marketing | Nessun dato del candidato | Solo contenuti pubblici |
Nessun responsabile cloud riceve dati identificativi del candidato. L'elenco aggiornato dei responsabili figura anche nella nostra informativa sulla privacy.
I vostri diritti
Conforme alla nLPD (Svizzera) + GDPR (UE):
- Accedere a tutti i vostri dati:
/account/export - Correggere ciò che volete
- Cancellare il vostro account → tutti i vostri dati cancellati entro 30 giorni
- Portabilità: esportazione completa in JSON o CSV
- Revoca del consenso: in qualsiasi momento, senza giustificazione
Per approfondire
- Come funziona la nostra privacy (versione semplice)
- Informativa sulla privacy completa
- Condizioni generali d'uso
Una domanda sulla privacy non trattata qui? Scrivete a legal@ninjob.ch — una persona, non un bot.