Elenco Sub-responsabili del trattamento
Versione: 1.0 (bozza) Ultimo aggiornamento: 2026-04-12 Stato: Bozza — in revisione legale
Questo documento e in bozza. Da non pubblicare senza revisione di un avvocato abilitato in materia di diritto IT / privacy EU.
Il presente documento elenca i sub-responsabili del trattamento ("Subprocessors") di cui Castaldo Solutions (di seguito, il "Responsabile") si avvale nell'erogazione del servizio WorkSiteCRM. L'elenco costituisce parte integrante del DPA ai sensi dell'art. 28(2) e 28(4) GDPR.
1. Elenco sub-responsabili attivi
| Sub-responsabile | Servizio | Dati trattati | Sede / Legal basis transfer |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Gestione pagamenti e subscription | Email, nome, dati di fatturazione, metadata subscription | Irlanda (UE) — nessun trasferimento extra-UE necessario |
| Vercel Inc. | Hosting applicazione web | Tutti i Dati del Cliente (in transito e nei log) | USA — SCC (art. 46 GDPR) se extra-UE |
| Neon Inc. | Database gestito PostgreSQL | Tutti i Dati del Cliente (at rest) | USA — SCC (art. 46 GDPR) se extra-UE |
| Resend Inc. | Invio email transazionali | Email destinatari, nome, contenuto dei messaggi transazionali (notifiche, reset password, inviti) | USA — SCC + misure supplementari se USA |
| Sentry Inc. | Monitoring errori applicativi | Stack trace, user ID, URL visitato, user agent, metadata di sessione | [USA] — SCC (art. 46 GDPR) + misure supplementari |
| OpenWeather Ltd. (solo se attivato il modulo Weather Gantt) | Previsioni meteo per cantieri | Coordinate GPS del progetto | Regno Unito — decisione di adeguatezza Commissione UE (28 giugno 2021) |
Nota importante: i placeholder
[...]corrispondono a scelte di architettura ancora da finalizzare. La versione definitiva del documento sara pubblicata con i provider effettivamente adottati e sara allineata con la configurazione di produzione.
2. Strumenti di garanzia per trasferimenti extra-UE
Per i sub-responsabili con sede al di fuori dello Spazio Economico Europeo, il trasferimento dei dati avviene sulla base di:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021;
- Misure tecniche supplementari (encryption at rest e in transit, pseudonimizzazione dove possibile, controllo accessi);
- Misure organizzative (contratti vincolanti, audit periodici, policy di risposta a richieste governative);
- Transfer Impact Assessment (TIA) effettuato caso per caso, in particolare per trasferimenti verso gli Stati Uniti, tenendo conto del EU-US Data Privacy Framework (Decisione di adeguatezza del 10 luglio 2023) per i provider certificati.
3. Sub-responsabili "internal" / professionisti
Il Responsabile può inoltre avvalersi di:
- Consulenti legali, fiscali e revisori contabili, vincolati da obbligo di riservatezza professionale;
- Personale tecnico interno o collaboratori esterni (freelance) vincolati da NDA e istruzioni scritte.
Tali soggetti trattano i dati esclusivamente in occasione di interventi specifici e nei limiti strettamente necessari.
4. Aggiornamento dell'elenco
Il Responsabile si impegna a:
- Mantenere aggiornato l'elenco dei sub-responsabili su questa pagina;
- Comunicare al Titolare con almeno 30 giorni di anticipo qualsiasi aggiunta, sostituzione o rimozione di sub-responsabili, tramite email all'indirizzo di contatto registrato nell'account;
- Consentire al Titolare di sollevare obiezione motivata entro 15 giorni dalla comunicazione;
- In caso di obiezione fondata non risolvibile con misure alternative, riconoscere al Titolare il diritto di recesso senza penali dal contratto con rimborso pro-rata dei corrispettivi già pagati e non goduti.
5. Contatto
Per domande relative ai sub-responsabili o per ricevere ulteriori informazioni sui contratti di sub-responsabilita stipulati, contattare: privacy@worksitecrm.it.
Questa bozza e stata redatta come template operativo e richiede revisione di un avvocato prima della pubblicazione.