Caricamento...
Caricamento...
Trasparenza sui fornitori terzi che trattano dati personali per conto di Gitogi Srl, ai sensi dell'art. 28(2) del Regolamento (UE) 2016/679.
Il presente documento è redatto in lingua italiana. La versione in lingua inglese ha valore meramente informativo: in caso di discrepanza, prevale il testo italiano.
Ultimo aggiornamento: 20 aprile 2026
Ai sensi dell'art. 28, par. 2 del Regolamento (UE) 2016/679 (GDPR), Gitogi Srl, in qualità di titolare e/o responsabile del trattamento, pubblica e mantiene aggiornato il presente elenco dei sub-responsabili del trattamento a cui affida specifiche attività di trattamento di dati personali. Ciascun sub-responsabile opera sulla base di un Data Processing Agreement (DPA) conforme all'art. 28 GDPR e, ove applicabile, nel rispetto delle garanzie per il trasferimento internazionale di dati di cui agli artt. 44-49 GDPR.
| Nome | Entità giuridica | Scopo del trattamento | Dati trattati | Sede / Data residency | Meccanismo di trasferimento | Soggetto a consenso | Link DPA |
|---|---|---|---|---|---|---|---|
| Supabase | Supabase Inc. | Database, autenticazione, storage | Tutti i dati personali archiviati (account, profili, progressi, consensi) | EU (eu-central-1, Frankfurt) | N/A (dati in EU) | No | DPA |
| Stripe | Stripe Inc. | Elaborazione pagamenti e abbonamenti | Email, nome, dati di fatturazione, metodi di pagamento | USA / EU | EU-US DPF + SCCs | No | DPA |
| Stripe (UK customers — GBP) Condizionale | Stripe Payments UK, Ltd. [LEGAL REVIEW PENDING] | Elaborazione pagamenti e abbonamenti per clienti UK in GBP — DEFERRED v1.1 (UK descoped da v1.0 il 2026-04-27)[NON ATTIVO IN v1.0 — DEFERRED v1.1] Sub-processor non attivo. Il commercial scope v1.0 è Italy-only, EUR-only (decisione 2026-04-27 — vedi `docs/COMPLETION_PLAN_v1_0.md` §1). Nessun dato di clienti UK transita attraverso questo sub-processor. Sarà attivato solo all'apertura del lancio UK (v1.1) dopo: (a) revisione UK counsel su entità legale e DPA, (b) attivazione `currency: 'gbp'` in `src/lib/stripe/checkout.ts`, (c) aggiunta UK-specific clauses nei documenti legali (Privacy Policy UK GDPR, Cookie Policy PECR, ToS Consumer Rights Act 2015). Lo manteniamo nella registry come segnaposto trasparente del v1.1 roadmap. | Nessun dato in v1.0. In v1.1, se attivato: email, nome, dati di fatturazione UK, metodi di pagamento (cards GBP, Bacs Direct Debit ove abilitato) | UK (London) [LEGAL REVIEW PENDING — confirm Stripe Payments UK, Ltd. data residency vs onward transfer to Stripe Inc. USA] | [v1.1 only] UK adequacy decision (EU→UK, in vigore 28 giugno 2021) per dati provenienti da clienti EU; UK IDTA + UK-US Data Bridge (in vigore 12 ottobre 2023) per onward transfer verso Stripe Inc. USA. [LEGAL REVIEW PENDING — confirm IDTA vs SCC choice + Data Bridge applicability] | No | DPA |
| Amazon Web Services (Bedrock) | Amazon Web Services EMEA SARL (Lussemburgo) | Chat AI primaria (Claude Opus/Sonnet/Haiku) e fallback interno (Mistral Large) via AWS Bedrock con cross-region EU inference profile | Messaggi chat utenti, prompt di generazione deliverable, chunk documentali per KB analysis, segnali lead estratti | EU (eu-south-1 Milano primario; cross-region EU: eu-central-1 Frankfurt, eu-west-1 Ireland, eu-west-3 Paris) | N/A (dati residenti UE); AWS EMEA SARL è entità europea, AWS Inc. USA-parent (CLOUD Act residuo mitigato da EUDB + Bedrock regional guarantees) | Sì | DPA |
| Mistral AI (La Plateforme) EU-sovereign | Mistral AI SAS (Parigi, Francia) | Fallback AI cross-cloud EU-sovereign — Layer 3 della stack di resilienza. Attivo solo quando AWS Bedrock EU è completamente indisponibile. | Messaggi chat utenti e prompt di generazione durante outage catastrofico di AWS Bedrock EU | EU (Parigi, Francia — infrastruttura propria Mistral AI SAS) | N/A (società francese, infrastruttura in UE, nessun trasferimento extra-UE, nessuna esposizione US CLOUD Act) | Sì | DPA |
| Anthropic (API diretta) Condizionale | Anthropic PBC | Chat AI fallback extra-UE — disattivato di default. Attivabile dall'admin solo in scenari dev/staging o con DPIA supplementare.Sub-processor CONDIZIONATO: di default il layer anthropic-direct è DISABILITATO e con 'Hard fail' attivo viene comunque ignorato. I dati utente non transitano da Anthropic USA salvo attivazione esplicita admin documentata in DPIA. | Messaggi chat (solo se admin abilita esplicitamente il layer anthropic-direct nella admin AI Stack UI) | USA | EU-US DPF + SCCs | Sì | DPA |
| OpenAI (API diretta) Condizionale | OpenAI LLC | Embeddings RAG (text-embedding-3-small, 1536 dim) + fallback chat extra-UE condizionatoUso corrente: SOLO embeddings di contenuti editoriali pubblici (blog, guide). Layer openai-direct per chat DISABILITATO di default. Migrazione a Amazon Titan Embed v2 (Bedrock EU) pianificata — eliminerà anche questo uso residuo. | Chunk documentali pubblici della KB (nessun dato personale); messaggi chat solo se layer openai-direct attivato dall'admin | USA | EU-US DPF + SCCs | Sì | DPA |
| Resend | Resend Inc. | Invio email transazionali e notifiche | Indirizzi email, contenuto email, stato consegna | USA | EU-US DPF | No | DPA |
| Upstash | Upstash Inc. | Rate limiting (Redis) | Chiavi rate limit (IP hashati), dati effimeri con TTL | EU | N/A (dati in EU) | No | DPA |
| PostHog | PostHog Inc. | Analisi prodotto e comportamento utenti | Dati di sessione, eventi di interazione, proprieta utente | EU Cloud (eu.posthog.com) | N/A (EU Cloud) | Sì | DPA |
| Google LLC | Analytics (GA4), reCAPTCHA Enterprise, Google Workspace | Dati di sessione, IP, fingerprint dispositivo, eventi di navigazione | USA / EU | EU-US DPF + SCCs | Sì | DPA | |
| Sentry | Functional Software Inc. | Monitoraggio errori e session replay | Contesto errori, stack trace, dati sessione mascherati | USA | EU-US DPF | Sì | DPA |
| Perplexity | Perplexity AI Inc. | Ricerca web per Knowledge Base Brain (opzionale) | Query di ricerca (nessun dato personale inviato) | USA | EU-US DPF | No | DPA |
| Google AI (Gemini API) Condizionale | Google LLC | Cross-referencing documentale a contesto lungo (deprecato — sostituito da Bedrock Sonnet 4.6 200K ctx)Sub-processor LEGACY: usato solo se config admin imposta AI_PROVIDER=anthropic (modalità pre-Bedrock). Non attivo in produzione corrente. | Riassunti di documenti normativi pubblici (nessun dato personale inviato) | USA / EU | EU-US DPF + SCCs | No | DPA |
| Vercel | Vercel Inc. | Hosting applicazione web (Next.js SSR), edge functions, CDN globale, cron scheduler | Tutti i dati in transito (richieste HTTP, header, log funzioni serverless, log CDN) | EU (fra1, Frankfurt) — region pinned via vercel.json | EU-US DPF + SCCs (Vercel Inc. è società USA con dati residenti UE) | No | DPA |
| Aruba | Aruba SpA | Cloud hosting (Aegis), fatturazione elettronica e conservazione sostitutiva | Dati clienti Aegis (elaborazione in-memory), fatture elettroniche, dati fiscali | Italia | N/A (dati in Italia) | No | DPA |
| Microsoft / Azure | Microsoft Corporation | Infrastruttura cloud (Aegis) | Dati clienti Aegis (elaborazione in-memory) | EU (Ireland) | N/A (dati in EU) | No | DPA |
| Browserless | Browserless.io | Scraping JS-rendered per monitoraggio normativo (opzionale, nessun dato personale) | URL di siti normativi pubblici (nessun dato personale inviato) | USA | EU-US DPF | No | DPA |
In conformità con i nostri obblighi contrattuali e con l'art. 28(2) GDPR, Gitogi Srl notifica via email ai clienti attivi qualsiasi modifica a questo elenco con almeno 30 (trenta) giorni di anticipo rispetto all'effettiva attivazione del nuovo sub-responsabile. Durante tale periodo, il cliente ha diritto di opporsi alla modifica. In assenza di opposizione scritta entro il termine indicato, la modifica si intende accettata. L'elenco aggiornato è sempre consultabile su questa pagina.
I trasferimenti di dati personali verso paesi terzi avvengono esclusivamente sulla base di garanzie adeguate ai sensi degli artt. 44-49 GDPR. I principali meccanismi utilizzati sono: (a) EU-US Data Privacy Framework (DPF) — decisione di adeguatezza della Commissione europea del 10 luglio 2023 ai sensi dell'art. 45 GDPR; (b) Standard Contractual Clauses (SCCs) — clausole contrattuali tipo adottate dalla Commissione europea ai sensi dell'art. 46(2)(c) GDPR, nella versione aggiornata (Decisione 2021/914); (c) Trattamento in UE — ove il sub-responsabile garantisca la residenza dei dati all'interno dello Spazio Economico Europeo, non si configura alcun trasferimento internazionale.
Per qualsiasi domanda relativa ai sub-responsabili del trattamento o per esercitare il diritto di opposizione, contattare il nostro team privacy: privacy@gitogi.com.
Vedi anche: Informativa Privacy · Data Processing Agreement · Misure di Sicurezza