Mistral · ZDR + DPA + sub-processor — stato e richiesta (2026-06-04)

Sessione "sblocco infra". Riferimento: docs/sovereign-routing-provisioning.md §2, registry mistral-fr.

Stato accertato (verificato dal vivo sulla console + legale Mistral)

Voce Stato Azione
API key prod ✅ LIVE multiverbe-prodMISTRAL_API_KEY su Vercel · probe mistral:true
Training opt-out ✅ FATTO /plateforme/privacy toggle "addestrare i modelli" messo OFF (era ON) · Labs OFF
DPA ✅ GIÀ IN VIGORE Incorporato by reference nei Commercial Terms (DPA §1(a), §11.1: efficace dal primo processing). Nessuna firma separata. Customer=Controller, Mistral=Processor, dati in EEA/Francia, SCC Mod.4 come backstop. Doc: https://legal.mistral.ai/terms/data-processing-addendum
ZDR (Zero Data Retention) ⏳ DA RICHIEDERE Non self-serve. DPA §2.3 conferma che ZDR esiste e, se attivo, esonera anche l'abuse-monitoring retention. Va richiesto a Mistral. → testo sotto
Sub-processor notifiche ⏳ TODO Iscriversi alle notifiche sub-processor sul Trust Center: https://trust.mistral.ai/ (DPA §7: notifica email su aggiunta/sostituzione sub-processor; obiezioni a privacy@mistral.ai entro 10 gg)

Nota sovranità: il training-off non è ZDR. Training-off = non usano i nostri prompt per addestrare. ZDR = non li trattengono affatto (nemmeno per abuse monitoring transitorio). Per il claim "dati in Europa / nessuna ritenzione" serve lo ZDR confermato per iscritto.

Richiesta ZDR — pronta da inviare (founder)

A: privacy@mistral.ai (cc: il vostro contatto sales/support Mistral se ne avete uno) Oggetto: Zero Data Retention (ZDR) activation request — organization "digiverbe" (La Plateforme API)

Hello,

We are a commercial customer using the Mistral La Plateforme API (organization: digiverbe, account: metaverbe@gmail.com). We process EU/Swiss SME customer data through your API and need a fully sovereign, no-retention configuration.

We request:

  1. Activation of Zero Data Retention (ZDR) on our organization's API usage, so that inputs (prompts) and outputs are not retained — including the exemption from abuse-monitoring retention referenced in §2.3 of your DPA.
  2. Written confirmation of ZDR activation: its effective date, and its scope (which endpoints/models it covers).
  3. Confirmation that our data is processed within the EU/EEA (France) and the applicable data residency.

For context, we have already disabled "use of API calls to train Mistral models" in our privacy settings, and we rely on the Data Processing Addendum (https://legal.mistral.ai/terms/data-processing-addendum) incorporated into the Commercial Terms. ZDR is the remaining control we need for our compliance posture (Swiss nDSG / revFADP + GDPR).

Please advise on any plan/tier requirement for ZDR and the steps to enable it.

Thank you, Gregorio Ciurleo — Multiverbe (Metaverbe) [telefono/contatto]

Dopo la conferma ZDR

  • Registrare la conferma scritta in legal_acceptances (o ops/) come prova di due diligence.
  • Sbloccare la parte Mistral del claim SOV7 ("outreach: dati in Europa, no retention").
  • Aggiornare la sub-processor list versionata (P3) includendo Mistral con base giuridica DPA + ZDR.