Elenco Sub-responsabili del Trattamento
Ai sensi dell'art. 28, par. 2 e 4, del Regolamento (UE) 2016/679 ("GDPR"), il presente documento elenca i sub-responsabili del trattamentodi cui RegisPro si avvale per l'erogazione del Servizio. L'elenco e' versionato e ogni modifica sostanziale e' comunicata con preavviso di almeno 30 giorni ai titolari del trattamento (scuole e docenti).
1. Ruoli
RegisPro (Simone Frosini, P.IVA 07077510480) opera in due qualifiche distinte a seconda del flusso di dati:
- Titolare del trattamento per i dati dei docenti utenti della Piattaforma (registrazione, autenticazione, fatturazione, assistenza, sicurezza, marketing).
- Responsabile del trattamentoper i dati di studenti, classi, voti, comunicazioni didattiche inseriti dal docente o dall'istituzione scolastica nell'ambito della propria funzione. Il titolare e' la scuola, oppure il docente quando opera come libero professionista (lezioni private). In tale ipotesi, i fornitori elencati nella tabella seguente operano come sub-responsabili.
2. Elenco aggiornato dei sub-responsabili
| Fornitore | Finalita' | Sede | Trasferimento extra-UE | Garanzie |
|---|---|---|---|---|
| Supabase Inc. | Database PostgreSQL, autenticazione, storage file lezioni, real-time | Sede legale: USA. Data center utilizzato: Stoccolma (eu-north-1) | Nessun trasferimento operativo: dati elaborati e conservati in UE | DPA Supabase + SCC 2021/914 modulo 3 (Processor-to-Processor) per eventuale supporto da personale extra-UE. Supabase DPA |
| Vercel Inc. | Hosting front-end, edge network, serverless functions, build pipeline | USA, edge globale | Si' — esportazione verso USA | DPA Vercel + adesione al EU-U.S. Data Privacy Framework (Decisione di adeguatezza UE 2023/1795). Vercel DPA |
| Functional Software GmbH (Sentry) | Error tracking, performance monitoring e session replay su errore (con mascheramento integrale di testi, input e media) | Germania (regione "de") | No, dati elaborati in UE | DPA Sentry, regione Francoforte, mascheramento by-design. Sentry DPA |
| Google Ireland Limited | Google OAuth 2.0 per l'autenticazione dei docenti e Google Calendar API (su esplicita autorizzazione del docente) | Irlanda, UE | Possibile trasferimento USA per processing | SCC + EU-U.S. Data Privacy Framework (Google LLC certificata). Google DPA |
| Resend Inc. | Invio email transazionali (conferma registrazione, reset password, notifiche sistema) | USA | Si' | DPA Resend + SCC 2021/914 modulo 3. Resend DPA |
| Sendinblue SAS (Brevo) | Invio newsletter e comunicazioni di prodotto (solo a utenti che hanno prestato consenso marketing) | Francia, UE | No | DPA Brevo. Brevo DPA |
3. Titolari autonomi (non sub-responsabili) attivati con consenso
I seguenti soggetti sono titolari autonomidei dati che raccolgono direttamente attraverso la Piattaforma; il loro caricamento e' subordinato al consenso analitico dell'utente via cookie banner. In assenza di consenso, gli script non vengono mai caricati.
| Fornitore | Finalita' | Sede | Garanzie |
|---|---|---|---|
| Google Ireland Limited | Google Analytics 4 (ID G-3PXK2KY85C): statistiche di utilizzo aggregate, conversioni, pagine viste | Irlanda, UE | EU-U.S. Data Privacy Framework + IP anonymization |
| Microsoft Corporation | Microsoft Clarity (ID vh9w9777v4): heatmap, registrazioni di sessione, click map. Mascheramento integrale di campi sensibili. | USA | EU-U.S. Data Privacy Framework + SCC |
| Trustpilot A/S | Widget recensioni pubbliche sulla landing page | Danimarca, UE | DPA Trustpilot |
4. Infrastruttura tecnica accessoria
I seguenti servizi tecnici sono utilizzati come componenti dell'infrastruttura e non eseguono profilazione utente:
- Pusher Ltd. (WebSocket real-time per sincronizzazione lezioni e calendario) — sede USA, dati di sessione anonimi, DPA disponibile.
- Google Fonts (Google LLC) — self-hosted via <link> preconnect; nessun trasferimento di IP quando i font sono in cache locale.
5. Aggiornamenti
L'elenco e' aggiornato ad ogni modifica sostanziale. Le scuole e i docenti che hanno sottoscritto un accordo di nomina a responsabile del trattamento (DPA) ai sensi dell'art. 28 GDPR vengono notificati via email all'indirizzo associato al loro account con almeno 30 giorni di preavviso. Il titolare ha diritto di opporsi alla sostituzione del sub-responsabile entro tale termine ai sensi dell'art. 28, par. 2 GDPR.
6. Contatti
Per richieste relative all'elenco dei sub-responsabili o per sottoscrivere il DPA con RegisPro:
- Email: privacy@regispro.it
- Pagina DPA: Data Processing Agreement