Caricamento...
Caricamento...
Trasparenza sui fornitori terzi che trattano dati personali per conto di Gitogi Srl, ai sensi dell'art. 28(2) del Regolamento (UE) 2016/679.
Il presente documento è redatto in lingua italiana. La versione in lingua inglese ha valore meramente informativo: in caso di discrepanza, prevale il testo italiano.
Ultimo aggiornamento: 21 giugno 2026
Ai sensi dell'art. 28, par. 2 del Regolamento (UE) 2016/679 (GDPR), Gitogi Srl, in qualità di titolare e/o responsabile del trattamento, pubblica e mantiene aggiornato il presente elenco dei sub-responsabili del trattamento a cui affida specifiche attività di trattamento di dati personali. Ciascun sub-responsabile opera sulla base di un Data Processing Agreement (DPA) conforme all'art. 28 GDPR e, ove applicabile, nel rispetto delle garanzie per il trasferimento internazionale di dati di cui agli artt. 44-49 GDPR.
Registro: 13 sub-responsabili attivi · 5 condizionali (non attivi salvo attivazione esplicita, contrassegnati in tabella).
| Nome | Entità giuridica | Scopo del trattamento | Dati trattati | Sede / Data residency | Meccanismo di trasferimento | Soggetto a consenso | Link DPA |
|---|---|---|---|---|---|---|---|
| Supabase | Supabase Inc. | Database, autenticazione, storage | Tutti i dati personali archiviati (account, profili, progressi, consensi) | EU (eu-central-1, Frankfurt) | N/A (dati in EU) | No | DPA |
| Stripe | Stripe Inc. | Elaborazione pagamenti e abbonamenti | Email, nome, dati di fatturazione, metodi di pagamento | USA / EU | EU-US DPF + SCCs | No | DPA |
| Stripe (UK customers — GBP) Condizionale | Stripe Payments UK, Ltd. [LEGAL REVIEW PENDING] | Elaborazione pagamenti e abbonamenti per clienti UK in GBP — DEFERRED v1.1 (UK descoped da v1.0 il 2026-04-27)[NON ATTIVO IN v1.0 — DEFERRED v1.1] Sub-processor non attivo. Il commercial scope v1.0 è Italy-only, EUR-only (decisione 2026-04-27 — vedi `docs/COMPLETION_PLAN_v1_0.md` §1). Nessun dato di clienti UK transita attraverso questo sub-processor. Sarà attivato solo all'apertura del lancio UK (v1.1) dopo: (a) revisione UK counsel su entità legale e DPA, (b) attivazione `currency: 'gbp'` in `src/lib/stripe/checkout.ts`, (c) aggiunta UK-specific clauses nei documenti legali (Privacy Policy UK GDPR, Cookie Policy PECR, ToS Consumer Rights Act 2015). Lo manteniamo nella registry come segnaposto trasparente del v1.1 roadmap. | Nessun dato in v1.0. In v1.1, se attivato: email, nome, dati di fatturazione UK, metodi di pagamento (cards GBP, Bacs Direct Debit ove abilitato) | UK (Londra) [LEGAL REVIEW PENDING — confirm Stripe Payments UK, Ltd. data residency vs onward transfer to Stripe Inc. USA] | [v1.1 only] UK adequacy decision (EU→UK, in vigore 28 giugno 2021) per dati provenienti da clienti EU; UK IDTA + UK-US Data Bridge (in vigore 12 ottobre 2023) per onward transfer verso Stripe Inc. USA. [LEGAL REVIEW PENDING — confirm IDTA vs SCC choice + Data Bridge applicability] | No | DPA |
| Amazon Web Services (Bedrock) | Amazon Web Services EMEA SARL (Lussemburgo) | Chat AI primaria (Claude Opus/Sonnet/Haiku) e fallback interno (Mistral Large) via AWS Bedrock con cross-region EU inference profile; embeddings RAG della knowledge base (Cohere Embed v4, 1024 dim, eu-west-1 Irlanda) | Messaggi chat utenti, prompt di generazione deliverable, chunk documentali per KB analysis ed embedding, query di ricerca utente per embedding, segnali lead estratti | EU (eu-south-1 Milano primario; cross-region EU: eu-central-1 Frankfurt, eu-west-1 Ireland, eu-west-3 Paris) | N/A (dati residenti UE); AWS EMEA SARL è entità europea, AWS Inc. USA-parent (CLOUD Act residuo mitigato da EUDB + Bedrock regional guarantees) | Sì | DPA |
| Mistral AI (La Plateforme) EU-sovereign | Mistral AI SAS (Parigi, Francia) | Fallback AI cross-cloud EU-sovereign — Layer 3 della stack di resilienza. Attivo solo quando AWS Bedrock EU è completamente indisponibile. | Messaggi chat utenti e prompt di generazione durante outage catastrofico di AWS Bedrock EU | EU (Parigi, Francia — infrastruttura propria Mistral AI SAS) | N/A (società francese, infrastruttura in UE, nessun trasferimento extra-UE, nessuna esposizione US CLOUD Act) | Sì | DPA |
| Anthropic (API diretta) Condizionale | Anthropic PBC | Chat AI fallback extra-UE — disattivato di default. Attivabile dall'admin solo in scenari dev/staging o con DPIA supplementare.Sub-processor CONDIZIONATO: di default il layer anthropic-direct è DISABILITATO e con 'Hard fail' attivo viene comunque ignorato. I dati utente non transitano da Anthropic USA salvo attivazione esplicita admin documentata in DPIA. | Messaggi chat (solo se admin abilita esplicitamente il layer anthropic-direct nella admin AI Stack UI) | USA | EU-US DPF + SCCs | Sì | DPA |
| OpenAI (API diretta) Condizionale | OpenAI LLC | Solo KB Multi-LLM Consensus cross-check (P5) + fallback chat extra-UE condizionato. NB: embeddings RAG MIGRATI a Cohere Embed v4 su AWS Bedrock EU (giu 2026, F3.1) — OpenAI non è più usato per gli embeddings.Uso corrente: SOLO KB Multi-LLM Consensus per cross-verification di proposte discovery e validazione di citazioni normative (solo dati pubblici, PII filter attivo). Layer openai-direct per chat DISABILITATO di default. Embeddings RAG migrati a Cohere Embed v4 su Bedrock EU (F3.1, giu 2026). Migrazione del consensus cross-check a Mistral-su-Bedrock pianificata per eliminare del tutto OpenAI dallo stack. | Messaggi chat solo se layer openai-direct attivato dall'admin; query Multi-LLM Consensus su contenuti pubblici (URL, citazioni normative, nomi istituzioni) — PII filter built-in che blocca codici fiscali/IBAN/email/telefono prima del send | USA | EU-US DPF + SCCs | Sì | DPA |
| Resend | Resend Inc. | Invio email transazionali e notifiche | Indirizzi email, contenuto email, stato consegna | USA | EU-US DPF | No | DPA |
| Upstash | Upstash Inc. | Rate limiting (Redis) | Chiavi rate limit (IP hashati), dati effimeri con TTL | EU | N/A (dati in EU) | No | DPA |
| PostHog | PostHog Inc. | Analisi prodotto e comportamento utenti | Dati di sessione, eventi di interazione, proprieta utente | EU Cloud (eu.posthog.com) | N/A (EU Cloud) | Sì | DPA |
| Google LLC | Analytics (GA4), reCAPTCHA Enterprise, Google Workspace | Dati di sessione, IP, fingerprint dispositivo, eventi di navigazione | USA / EU | EU-US DPF + SCCs | Sì | DPA | |
| Sentry | Functional Software Inc. | Monitoraggio errori e session replay (attivo di default; Session Replay solo previo consenso analytics) | Contesto errori, stack trace, dati sessione mascherati | USA | EU-US DPF | No | DPA |
| Perplexity | Perplexity AI Inc. | Ricerca web per Knowledge Base Brain + Multi-LLM Consensus cross-check (P5) | Query di ricerca su contenuti normativi pubblici (URL, citazioni, nomi istituzioni); nessun dato personale inviato — PII filter attivo nel runner consensus | USA | EU-US DPF | No | DPA |
| Google AI (Gemini API) Condizionale | Google LLC | Cross-referencing documentale a contesto lungo (deprecato — sostituito da Bedrock Sonnet 4.6 200K ctx)Sub-processor LEGACY: usato solo se config admin imposta AI_PROVIDER=anthropic (modalità pre-Bedrock). Non attivo in produzione corrente. | Riassunti di documenti normativi pubblici (nessun dato personale inviato) | USA / EU | EU-US DPF + SCCs | No | DPA |
| Vercel | Vercel Inc. | Hosting applicazione web (Next.js SSR), edge functions, CDN globale, cron scheduler | Tutti i dati in transito (richieste HTTP, header, log funzioni serverless, log CDN) | EU (fra1, Frankfurt) — region pinned via vercel.json | EU-US DPF + SCCs (Vercel Inc. è società USA con dati residenti UE) | No | DPA |
| Aruba | Aruba SpA | Fatturazione elettronica e conservazione sostitutiva | Fatture elettroniche, dati fiscali | Italia | N/A (dati in Italia) | No | DPA |
| Browserless | Browserless.io | Scraping JS-rendered per monitoraggio normativo (opzionale, nessun dato personale) | URL di siti normativi pubblici (nessun dato personale inviato) | USA | N/A — nessun dato personale trasferito | No | DPA |
| Odoo Condizionale | Odoo S.A. (Belgio) | Piattaforma ERP gestionale e relativo hosting (Odoo Online / Odoo.sh) per i clienti dei progetti di implementazione OdooSub-processor attivo SOLO per i clienti dei progetti di implementazione Odoo che adottano l'hosting Odoo Online/Odoo.sh. NON riguarda gli utenti della piattaforma SaaS/academy di gitogi.com, i cui dati non transitano da Odoo. Per tali progetti Odoo S.A. va indicato nel DPA specifico di progetto. | Dati aziendali e personali gestiti nell'ERP del Cliente (anagrafiche clienti/fornitori, contatti, documenti, dati operativi e contabili) — solo per i clienti che adottano l'hosting Odoo | EU (regione selezionata in fase di attivazione; opzione UE disponibile — infrastruttura Odoo S.A.; backup e sub-fornitori secondo i termini Odoo) | DPA incluso nei termini di abbonamento Odoo; per Odoo Online/Odoo.sh il Cliente è Titolare e Odoo S.A. Responsabile (art. 28 GDPR) | No | DPA |
In conformità con i nostri obblighi contrattuali e con l'art. 28(2) GDPR, Gitogi Srl notifica via email ai clienti attivi qualsiasi modifica a questo elenco con almeno 30 (trenta) giorni di anticipo rispetto all'effettiva attivazione del nuovo sub-responsabile. Durante tale periodo, il cliente ha diritto di opporsi alla modifica. In assenza di opposizione scritta entro il termine indicato, la modifica si intende accettata. L'elenco aggiornato è sempre consultabile su questa pagina.
I trasferimenti di dati personali verso paesi terzi avvengono esclusivamente sulla base di garanzie adeguate ai sensi degli artt. 44-49 GDPR. I principali meccanismi utilizzati sono: (a) EU-US Data Privacy Framework (DPF) — decisione di adeguatezza della Commissione europea del 10 luglio 2023 ai sensi dell'art. 45 GDPR; (b) Standard Contractual Clauses (SCCs) — clausole contrattuali tipo adottate dalla Commissione europea ai sensi dell'art. 46(2)(c) GDPR, nella versione aggiornata (Decisione 2021/914); (c) Trattamento in UE — ove il sub-responsabile garantisca la residenza dei dati all'interno dello Spazio Economico Europeo, non si configura alcun trasferimento internazionale.
Per qualsiasi domanda relativa ai sub-responsabili del trattamento o per esercitare il diritto di opposizione, contattare il nostro team privacy: privacy@gitogi.com.
Vedi anche: Informativa Privacy · Data Processing Agreement · Misure di Sicurezza