Sub-processors di inRegola
Versione: 2026-05-04 Aggiornamento: questa pagina viene aggiornata almeno 30 giorni prima di ogni cambiamento sostanziale del parco fornitori. Modifiche minori (es. cambio regione di una sotto-zona AWS) sono notificate via email all'indirizzo di account.
inRegola si avvale dei seguenti Responsabili del trattamento
(art. 28 GDPR) per erogare il Servizio. Ogni fornitore è vincolato
da un Data Processing Agreement (DPA) sottoscritto da inRegola
prima dell'attivazione e accessibile su richiesta scritta a
privacy@inregola.net.
I dati personali condivisi con ciascun fornitore sono limitati a quelli necessari per la specifica funzione e non vengono mai usati dal fornitore per finalità proprie di marketing o profilazione.
Tabella dei sub-processor
| # | Fornitore | Funzione | Tipologia di dati | Sede del trattamento | Trasferimento extra-SEE |
|---|---|---|---|---|---|
| 1 | Vercel Inc. | Hosting applicativo, edge runtime, cron | Tutti i dati di applicazione (in transito ed in cache temporanea) | UE (fra1 Francoforte / dub1 Dublino) |
No (per default; data-region pinning attivo) |
| 2 | Supabase Inc. | Database PostgreSQL gestito, Auth (magic link), file storage | Account, Proprietà, Ospiti, Ricevute PDF | UE (eu-west-1 Dublino) |
No |
| 3 | Stripe Payments Europe Ltd. | Elaborazione pagamenti, fatturazione abbonamenti | Email, codice cliente Stripe, ID transazione (mai dati di carta lato inRegola) | UE (Irlanda) + USA | Sì — Stripe è certificata DPF (Data Privacy Framework) |
| 4 | Resend, Inc. | Invio email transazionali (magic link, alert, ricevute) | Email destinatario, oggetto, corpo del messaggio | UE (Francoforte) | No (per i progetti nel tier EU) |
| 5 | Twilio Inc. | Invio SMS di alert critici (solo piano Studio) | Numero di telefono, testo SMS | USA + UE | Sì — Twilio è certificata DPF |
| 6 | Sentry (Functional Software, Inc.) | Cattura errori di esecuzione, monitoraggio cron | Stack trace, route HTTP, ID utente (PII filtrata via beforeSend) |
UE (Francoforte) | No (per i progetti nel tier EU) |
| 7 | Cloudflare, Inc. | Anti-bot Turnstile sulla pagina di login | Indirizzo IP, fingerprint del browser (gestito da Cloudflare) | Anycast globale | Sì — Cloudflare è certificata DPF |
| 8 | GitHub, Inc. (Microsoft) | Repository di codice + cron orari di backup | Nessun dato personale degli utenti finali — solo codice sorgente e log dei cron | USA | Sì — Microsoft è certificata DPF |
Nota su Polizia di Stato (Servizio Alloggiati Web) e Agenzia delle Entrate: questi soggetti non sono sub-processor ai sensi dell'art. 28 GDPR. Operano come Titolari autonomi del trattamento ai sensi delle rispettive normative di settore (art. 109 TULPS, D.Lgs. 32/2023). La trasmissione dei dati è una comunicazione obbligatoria per legge, non un atto di outsourcing — vedi §7.1 dell'Informativa Privacy.
Procedura di obiezione
L'aggiunta di un nuovo sub-processor è notificata via email all'indirizzo di account almeno 30 giorni prima dell'attivazione effettiva. L'utente può:
- Accettare — non è richiesta nessuna azione esplicita;
- Obiettare per iscritto entro 30 giorni a
privacy@inregola.net, indicando le motivazioni. inRegola valuterà se è possibile continuare a erogare il Servizio senza il fornitore in oggetto. Se la sostituzione non è possibile, l'utente avrà diritto al recesso dal contratto con rimborso pro-rata della porzione di abbonamento non goduta.
DPA disponibili su richiesta
Per ottenere copia del DPA firmato con uno qualunque dei fornitori
sopra elencati, scrivere a privacy@inregola.net indicando:
- ragione sociale e P.IVA
- nominativo del referente privacy
- fornitore di interesse
Risposta entro 7 giorni lavorativi.
Questo documento integra l'Informativa Privacy ai sensi degli artt. 13.1.e, 28.4 GDPR.