Sub-processor: i fornitori che trattano i tuoi dati
Questa pagina elenca tutti i fornitori (sub-processor) di cui Vericheck si avvale per erogare il servizio, ai sensi dell'art. 28 GDPR e dell'art. 13.1.e Reg. UE 2016/679. Per ciascuno è indicata la funzione, la sede legale e la garanzia di legittimità del trasferimento extra-UE quando applicabile.
Ultimo aggiornamento: 2026-05-12. Le modifiche di rilievo a questo elenco vengono comunicate via email agli utenti registrati con almeno 30 giorni di preavviso.
| Categoria | Fornitore | Funzione | Sede | Garanzia trasferimento |
|---|---|---|---|---|
| Hosting e CDN | Vercel Inc. | Erogazione del sito web (edge functions, cache, deploy) | USA | EU-US Data Privacy Framework |
| Database e auth | Supabase Inc. | PostgreSQL gestito, Supabase Auth, Storage | USA (region EU AWS Francoforte) | SCC + dati storage in EU |
| Email transazionali | Resend Inc. | Invio email di conferma, notifiche, double opt-in newsletter | USA | SCC |
| Pagamenti carta | Stripe Inc. | Elaborazione pagamenti con carta | USA | EU-US DPF (PCI-DSS Level 1) |
| Pagamenti alternativi | PayPal Inc. | Elaborazione pagamenti PayPal | USA / Lussemburgo (PayPal Europe) | EU-US DPF |
| Intelligenza artificiale | Anthropic PBC | Qualificazione lead, assistente AI, analisi documenti | USA | SCC + no training on user data |
| Protezione bot | Cloudflare Inc. | Turnstile (CAPTCHA invisibile sui form) | USA | EU-US DPF |
| Monitoraggio errori | Functional Software Inc. (Sentry) | Diagnostica errori applicativi server e client | USA | EU-US DPF (region EU disponibile) |
| Videocall | Daily.co | Stanze videocall on-demand (solo se l'utente avvia una call) | USA | SCC |
| Rate limiting | Upstash Inc. | Redis edge per protezione abusi su form pubblici | USA / EU (region EU) | SCC |
| Analytics di prodotto | PostHog Inc. | Product analytics con autocapture eventi e registrazione di sessione (session recording) — dati non anonimi, solo dopo consenso analytics | USA / EU (region EU) | SCC + consenso esplicito |
| Heatmap e session recording | Microsoft Clarity | Analisi del comportamento con registrazione di sessione (session replay) — dati non anonimi, solo dopo consenso analytics | USA | EU-US DPF + consenso esplicito |
| Web Analytics + Speed Insights | Vercel Analytics | Core Web Vitals reali + page views (cookieless aggregato) | USA | EU-US DPF + IP anonymization |
Cosa significa "sub-processor"
Un sub-processor è un fornitore terzo che tratta dati personali per conto del Titolare (Vericheck). Ogni sub-processor è vincolato contrattualmente al rispetto degli stessi obblighi GDPR del Titolare (art. 28.4 GDPR).
Trasferimenti extra-UE
Per i fornitori con sede negli Stati Uniti applichiamo: EU-US Data Privacy Framework (decisione di adeguatezza 10 luglio 2023) per i fornitori certificati, oppure Standard Contractual Clauses (decisione 2021/914) per gli altri.
Data Processing Agreement (DPA)
Vericheck ha sottoscritto con ciascun sub-processor un Data Processing Agreement ai sensi dell'art. 28 GDPR. Per gli studi notarili, le agenzie e i CAF/Patronati che vogliono ricevere copia dei DPA in essere ai fini di una propria valutazione di compliance, è possibile farne richiesta scrivendo a privacy@vericheck.it.
Registro dei Trattamenti (art. 30 GDPR)
Vericheck tiene aggiornato il Registro dei Trattamenti ai sensi dell'art. 30 GDPR. Pur non essendo formalmente obbligata in quanto realtà con meno di 250 persone, lo mantiene per scelta di trasparenza. Il registro non è pubblico ma è disponibile su richiesta motivata per controparti contrattuali e su istanza dell'autorità di controllo.