Caricamento...
Caricamento...
Trasparenza sui fornitori terzi che trattano dati personali per conto di Gitogi Srl, ai sensi dell'art. 28(2) del Regolamento (UE) 2016/679.
Il presente documento è redatto in lingua italiana. La versione in lingua inglese ha valore meramente informativo: in caso di discrepanza, prevale il testo italiano.
Ultimo aggiornamento: 12 aprile 2026
Ai sensi dell'art. 28, par. 2 del Regolamento (UE) 2016/679 (GDPR), Gitogi Srl, in qualità di titolare e/o responsabile del trattamento, pubblica e mantiene aggiornato il presente elenco dei sub-responsabili del trattamento a cui affida specifiche attività di trattamento di dati personali. Ciascun sub-responsabile opera sulla base di un Data Processing Agreement (DPA) conforme all'art. 28 GDPR e, ove applicabile, nel rispetto delle garanzie per il trasferimento internazionale di dati di cui agli artt. 44-49 GDPR.
| Nome | Entità giuridica | Scopo del trattamento | Dati trattati | Sede / Data residency | Meccanismo di trasferimento | Soggetto a consenso | Link DPA |
|---|---|---|---|---|---|---|---|
| Supabase | Supabase Inc. | Database, autenticazione, storage | Tutti i dati personali archiviati (account, profili, progressi, consensi) | EU (eu-central-1, Frankfurt) | N/A (dati in EU) | No | DPA |
| Stripe | Stripe Inc. | Elaborazione pagamenti e abbonamenti | Email, nome, dati di fatturazione, metodi di pagamento | USA / EU | EU-US DPF + SCCs | No | DPA |
| Anthropic | Anthropic PBC | Chat AI (Claude Sonnet 4 — provider primario) | Messaggi chat, segnali lead estratti | USA | EU-US DPF + SCCs | Sì | DPA |
| OpenAI | OpenAI LLC | Chat AI fallback (GPT-4o-mini), embeddings (text-embedding-3-small), validazione batch | Messaggi chat, chunk documentali per RAG | USA | EU-US DPF + SCCs | Sì | DPA |
| Resend | Resend Inc. | Invio email transazionali e notifiche | Indirizzi email, contenuto email, stato consegna | USA | EU-US DPF | No | DPA |
| Upstash | Upstash Inc. | Rate limiting (Redis) | Chiavi rate limit (IP hashati), dati effimeri con TTL | EU | N/A (dati in EU) | No | DPA |
| PostHog | PostHog Inc. | Analisi prodotto e comportamento utenti | Dati di sessione, eventi di interazione, proprieta utente | EU Cloud (eu.posthog.com) | N/A (EU Cloud) | Sì | DPA |
| Google LLC | Analytics (GA4), reCAPTCHA Enterprise, Google Workspace | Dati di sessione, IP, fingerprint dispositivo, eventi di navigazione | USA / EU | EU-US DPF + SCCs | Sì | DPA | |
| Sentry | Functional Software Inc. | Monitoraggio errori e session replay | Contesto errori, stack trace, dati sessione mascherati | USA | EU-US DPF | Sì | DPA |
| Perplexity | Perplexity AI Inc. | Ricerca web per Knowledge Base Brain (opzionale) | Query di ricerca (nessun dato personale inviato) | USA | EU-US DPF | No | DPA |
| Google AI | Google LLC | Cross-referencing documentale a contesto lungo (opzionale) | Riassunti documentali (nessun dato personale inviato) | USA / EU | EU-US DPF + SCCs | No | DPA |
| AWS | Amazon Web Services Inc. | Cloud hosting (AWS Amplify — frontend, SSR, CDN) | Tutti i dati in transito (richieste HTTP, header, log CDN) | EU (eu-west-1, Ireland) | N/A (dati in EU) | No | DPA |
| Aruba | Aruba SpA | Cloud hosting (Aegis), fatturazione elettronica e conservazione sostitutiva | Dati clienti Aegis (elaborazione in-memory), fatture elettroniche, dati fiscali | Italia | N/A (dati in Italia) | No | DPA |
| Microsoft / Azure | Microsoft Corporation | Infrastruttura cloud (Aegis) | Dati clienti Aegis (elaborazione in-memory) | EU (Ireland) | N/A (dati in EU) | No | DPA |
| Browserless | Browserless.io | Scraping JS-rendered per monitoraggio normativo (opzionale, nessun dato personale) | URL di siti normativi pubblici (nessun dato personale inviato) | USA | EU-US DPF | No | DPA |
In conformità con i nostri obblighi contrattuali e con l'art. 28(2) GDPR, Gitogi Srl notifica via email ai clienti attivi qualsiasi modifica a questo elenco con almeno 30 (trenta) giorni di anticipo rispetto all'effettiva attivazione del nuovo sub-responsabile. Durante tale periodo, il cliente ha diritto di opporsi alla modifica. In assenza di opposizione scritta entro il termine indicato, la modifica si intende accettata. L'elenco aggiornato è sempre consultabile su questa pagina.
I trasferimenti di dati personali verso paesi terzi avvengono esclusivamente sulla base di garanzie adeguate ai sensi degli artt. 44-49 GDPR. I principali meccanismi utilizzati sono: (a) EU-US Data Privacy Framework (DPF) — decisione di adeguatezza della Commissione europea del 10 luglio 2023 ai sensi dell'art. 45 GDPR; (b) Standard Contractual Clauses (SCCs) — clausole contrattuali tipo adottate dalla Commissione europea ai sensi dell'art. 46(2)(c) GDPR, nella versione aggiornata (Decisione 2021/914); (c) Trattamento in UE — ove il sub-responsabile garantisca la residenza dei dati all'interno dello Spazio Economico Europeo, non si configura alcun trasferimento internazionale.
Per qualsiasi domanda relativa ai sub-responsabili del trattamento o per esercitare il diritto di opposizione, contattare il nostro team privacy: privacy@gitogi.com.
Vedi anche: Informativa Privacy · Data Processing Agreement · Misure di Sicurezza