Lista Subprocessor
Titolare: BAUTRUST AG, Via San Gottardo 10, 6900 Lugano (Svizzera), CHE-282.456.034.
Lista dei sub-responsabili del trattamento (art. 28 GDPR, art. 9 nLPD) che BAUTRUST AG utilizza per erogare Sistema Finestra Vendite. Tutti sono vincolati da contratto conforme GDPR e nLPD (SCC 2021 o DPF certificato per i trasferimenti extra-UE).
Sub-responsabili attivi
| Provider | Ruolo | Paese | Meccanismo | Policy |
|---|---|---|---|---|
| Supabase Inc. | Database PostgreSQL + Auth (Google OAuth + email-password) + Storage file branding | Germania (eu-central-1, Francoforte) | Hosting UE per dati at rest, nessun trasferimento extra-UE | Link |
| Vercel Inc. | Hosting frontend + Serverless Functions (incluso render PDF) | USA (edge UE dove disponibile) | EU-US Data Privacy Framework + Standard Contractual Clauses 2021 | Link |
| OpenRouter | Proxy LLM routing per generazione note tecniche stima | USA | EU-US DPF + SCC 2021 | Link |
| Google LLC | Modello AI Gemini 2.5 Flash (provider sottostante via OpenRouter) | USA / Irlanda | EU-US DPF + SCC 2021 | Link |
| Sparticuz Chromium (GitHub Releases / CDN @sparticuz/chromium-min) | Binary Chromium headless scaricato runtime per render PDF server-side | USA (GitHub LLC, CDN distribuito) | EU-US DPF + SCC 2021 (GitHub Inc.) | Link |
| Resend Inc. | Email transazionali (invito accesso, notifiche account, assistenza) | USA (datacenter UE disponibili) | EU-US DPF + SCC 2021 | Link |
Dettaglio per provider
Supabase Inc.
Ruolo: Database PostgreSQL + Auth (Google OAuth + email-password) + Storage file branding
Paese: Germania (eu-central-1, Francoforte)
Certificazioni dichiarate dal provider: SOC2, ISO 27001
Dati trattati: Credenziali account, profilo tenant, stime, listino, foto consulenti, asset branding
Meccanismo di trasferimento: Hosting UE per dati at rest, nessun trasferimento extra-UE
Privacy policy del provider: https://supabase.com/privacy
Vercel Inc.
Ruolo: Hosting frontend + Serverless Functions (incluso render PDF)
Paese: USA (edge UE dove disponibile)
Certificazioni dichiarate dal provider: SOC2, DPF
Dati trattati: IP, user-agent, log HTTP, esecuzione codice serverless
Meccanismo di trasferimento: EU-US Data Privacy Framework + Standard Contractual Clauses 2021
Privacy policy del provider: https://vercel.com/legal/privacy-policy
OpenRouter
Ruolo: Proxy LLM routing per generazione note tecniche stima
Paese: USA
Certificazioni dichiarate dal provider: DPF
Dati trattati: Prompt LLM (descrizione lavori), risposte modello, metadata
Meccanismo di trasferimento: EU-US DPF + SCC 2021
Privacy policy del provider: https://openrouter.ai/privacy
Google LLC
Ruolo: Modello AI Gemini 2.5 Flash (provider sottostante via OpenRouter)
Paese: USA / Irlanda
Certificazioni dichiarate dal provider: SOC2, ISO 27001, DPF
Dati trattati: Prompt e risposte LLM (no training by default su API)
Meccanismo di trasferimento: EU-US DPF + SCC 2021
Privacy policy del provider: https://policies.google.com/privacy
Sparticuz Chromium (GitHub Releases / CDN @sparticuz/chromium-min)
Ruolo: Binary Chromium headless scaricato runtime per render PDF server-side
Paese: USA (GitHub LLC, CDN distribuito)
Certificazioni dichiarate dal provider: SOC2 (GitHub), ISO 27001 (GitHub)
Dati trattati: Solo download binary lato server. Nessun dato personale trasmesso al CDN.
Meccanismo di trasferimento: EU-US DPF + SCC 2021 (GitHub Inc.)
Privacy policy del provider: https://docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement
Resend Inc.
Ruolo: Email transazionali (invito accesso, notifiche account, assistenza)
Paese: USA (datacenter UE disponibili)
Certificazioni dichiarate dal provider: SOC2, GDPR
Dati trattati: Indirizzi email destinatari, contenuto email transazionali, log delivery
Meccanismo di trasferimento: EU-US DPF + SCC 2021
Privacy policy del provider: https://resend.com/legal/privacy-policy
Modifiche e preavviso
Nuovi sub-responsabili o sostituzioni vengono comunicati al Cliente con almeno 30 (trenta) giorni di preavviso via email. Il Cliente che si opponga alla modifica notificata ha diritto di recedere dal contratto entro il termine di avviso, senza penali, ai sensi dell'art. 3.4 del DPA.
Trasferimenti internazionali
Trasferimenti USA coperti da EU-US Data Privacy Framework (DPF) + Clausole Contrattuali Standard 2021 (SCC). Trasferimenti UE-Svizzera coperti dalla decisione di adeguatezza UE del 15 gennaio 2024.
I dati at-rest sono ospitati nella regione UE eu-central-1 (Francoforte) di Supabase. Nessun trasferimento extra-UE per dati at-rest.
Fornitori non qualificati come sub-responsabili
Alcuni strumenti operativi interni di Bautrust (es. Telegram, Spoki) non trattano dati personali dei clienti finali del Titolare nell'ambito del Servizio e non sono pertanto qualificabili come sub-responsabili ai fini del DPA.
Domande: assistenza@gruppoalberti.it - BAUTRUST AG, Via San Gottardo 10, 6900 Lugano, Svizzera.