Come pensare alla zero retention per le immagini AI

Privacy

La zero retention non è una singola casella da spuntare. È un insieme di scelte di prodotto e di infrastruttura che riducono dove i contenuti degli utenti possono essere conservati.

Date
13 giugno 2026
Author
Unexposed

Un flusso di lavoro per la zero retention in cui i record scompaiono dopo la consegna dell’output

La zero retention sembra una policy. In pratica, è un vincolo di progettazione.

La domanda importante non è se un prodotto dice “non memorizziamo i prompt”. La domanda importante è se il sistema è stato costruito in modo che prompt e immagini sorgente abbiano pochissimi posti dove andare.

Separare i contenuti dalle operazioni

I metadati operativi sono utili. I team devono sapere se i job stanno fallendo, quali modelli sono lenti, quante immagini sono state generate e se una coda è sovraccarica.

I contenuti degli utenti sono diversi. Prompt, maschere, immagini di riferimento, output generati e asset caricati non dovrebbero essere trattati come log ordinari.

Un buon design di zero retention mantiene queste due tipologie di dati separate fin dall’inizio.

Far sì che temporaneo significhi temporaneo

Alcuni dati devono esistere mentre un job è in esecuzione. Il prompt deve arrivare al modello. Le immagini sorgente devono essere lette. Gli output devono essere restituiti.

Il punto chiave è mantenere quei dati in percorsi a vita breve e cancellarli quando il job è terminato. L’archiviazione temporanea dovrebbe essere noiosa, esplicita e facile da ispezionare.

Evitare la retention accidentale

Gli errori di privacy più grandi sono spesso accidentali:

  • corpi delle richieste nei log di errore
  • screenshot negli strumenti di supporto
  • prompt negli eventi di analytics
  • file sorgente copiati in cartelle di debug
  • output generati salvati per “revisione della qualità”

La zero retention richiede di controllare questi percorsi ordinari, non solo lo schema del database.

Spiegare il modello in modo chiaro

I clienti non dovrebbero aver bisogno di una formazione di sicurezza per capire cosa succede ai loro contenuti. Una spiegazione semplice è di solito un buon segnale che anche il sistema stesso è semplice.

Se la storia richiede troppe eccezioni, probabilmente anche l’implementazione ne richiede troppe.

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.