Panoramica di tutti i sub-processors ai sensi dell'art. 28 par. 2 e 3 GDPR e dell'art. 9 cpv. 3 nLPD · Stand: 2026-05-02
Per l'esercizio della Piattaforma la Fornitrice impiega sub-processors. Questa pagina elenca tutti gli attuali sub-responsabili del trattamento con scopo, regione di trattamento e stato del contratto di trattamento dei dati (Data Processing Agreement, DPA). L'elenco viene aggiornato in caso di modifiche; i clienti possono sollevare obiezioni motivate ai sensi della cifra 15 delle CGC entro 30 giorni.
| Provider | Scopo | Regione | Stato DPA | Ultima modifica |
|---|---|---|---|---|
| MongoDB Atlas | Hosting database (dati operativi, campi cifrati CSFLE, audit trail) | europe-west6 (Zurigo) | Atlas-DPA | 2026-05-02 |
| Google Cloud EMEA Limited (Cloud Run, Cloud Storage, Cloud KMS, Cloud DLP, Vertex AI) | Compute, archivio file, gestione chiavi (la sovranità sulle chiavi resta presso la Fornitrice), pseudonimizzazione prima dell'elaborazione IA, elaborazione IA | europe-west6 (Zurigo) per i dati operativi, europe-west1 (Belgio) per l'elaborazione IA | Google Cloud Data Processing Addendum (in vigore) | 2026-05-02 |
| AWS SES | Invio e-mail transazionali (notifiche di sistema, e-mail di login, report) | eu-central-1 (Francoforte) | AWS-DPA | 2026-05-02 |
| Cloudflare Turnstile | Protezione anti-bot per formulari pubblici (login, registrazione, formulari di contatto) | globale (rete edge) | Cloudflare-DPA | 2026-05-02 |
| Twilio | SMS-2FA per utenti del portale (secondo livello di autenticazione) | Regione UE | Twilio-DPA | 2026-05-02 |
| PostHog EU Cloud | Product analytics — telemetria di prodotto e comportamentale pseudonimizzata (nessun dato personale in chiaro) | UE (Francoforte) | PostHog-DPA | 2026-05-04 |
I dati operativi della Piattaforma (database, archivio file, audit log) restano in Svizzera (regione europe-west6, Zurigo). L'elaborazione IA avviene nell'UE (regione europe-west1, Belgio); il sub-processor IA concreto è elencato nella tabella sopra. L'invio e-mail avviene tramite AWS SES nell'UE (eu-central-1, Francoforte). Cloudflare Turnstile opera come servizio edge a livello globale, ma restituisce solo un token anonimo di protezione anti-bot e non tratta dati della Piattaforma. Per eventuali trasferimenti in Stati terzi valgono le clausole contrattuali tipo (SCC) della Commissione europea.
Con ogni sub-processor sopra elencato sussiste un contratto di trattamento dei dati. I DPA sono archiviati nell'archivio compliance interno e vengono messi a disposizione dei clienti, su richiesta, per consultazione, nella misura contrattualmente o legalmente richiesta.
La Fornitrice informa i clienti in merito a previsti cambi o integrazioni dell'elenco dei sub-processor. Le obiezioni vanno indirizzate per iscritto a security@sothura.com ai sensi della cifra 15 delle CGC entro 30 giorni. In caso di obiezioni fondate rilevanti per la protezione dei dati o la sicurezza, al cliente spetta un diritto di disdetta straordinario, qualora non possa essere offerta un'alternativa equivalente.