Lista sub-responsabili

Art. 28 GDPR — Aggiornata al 14 luglio 2026

Cos'è questa pagina

EV Guard, in qualità di Titolare del trattamento, utilizza alcuni fornitori esterni (sub-responsabili) per erogare il servizio. Questa pagina elenca pubblicamente e in modo trasparente tutti i fornitori che possono trattare dati personali per nostro conto, ai sensi dell'art. 28, par. 2 GDPR.

Variazioni della lista (aggiunte o sostituzioni) vengono pubblicate qui con almeno 30 giorni di preavviso. Clienti business (Polizia, CPO, Parcheggi) ricevono notifica via email all'indirizzo amministrativo indicato in fase di contratto e possono opporsi entro tale termine.

FornitoreFinalitàDati trattatiPaeseGaranzie / DPA
Supabase (via Lovable Cloud)Hosting database PostgreSQL, autenticazione, storage foto, Row-Level Security.Account utenti, segnalazioni, foto, log audit, metadati.UE (Francoforte, Germania — eu-central-1)

Nessun trasferimento extra-UE per i dati di produzione.

DPA fornitore →
Cloudflare Workers (via Lovable)Esecuzione server-side (SSR, server functions, API pubbliche, cron).Richieste HTTP, IP temporaneo del client, payload delle API.Rete globale (edge più vicino all'utente, EU-first)

SCC (Standard Contractual Clauses) UE — Cloudflare aderisce al EU-US Data Privacy Framework.

DPA fornitore →
Lovable (Lovable AB)Piattaforma di hosting applicativo, build, deploy continuo.Codice sorgente, log di build, metadati di deploy. Nessun dato personale degli utenti finali in chiaro.UE (Svezia) + sub-fornitori UE.

Trattamento UE.

DPA fornitore →
ResendInvio email transazionali (conferme, notifiche, PEC bridge, alert).Indirizzo email destinatario, contenuto del messaggio, metadati di invio.USA (con server EU per clienti europei).

SCC UE + EU-US Data Privacy Framework.

DPA fornitore →
Google (Gemini Vision API)Validazione automatica delle foto delle segnalazioni (rilevamento veicolo + colonnina).Solo l'immagine della segnalazione (no metadati utente, no targa in chiaro inviata al modello).USA / UE (endpoint europei dove disponibili).

SCC UE + EU-US Data Privacy Framework. Le immagini NON vengono usate per addestramento.

DPA fornitore →
Paddle (in arrivo)Merchant of Record per i pagamenti dei piani Pro (Polizia, CPO, Parcheggi).Email, ragione sociale, P.IVA, dati di fatturazione, ultime 4 cifre della carta.UK / UE.

SCC UE. Paddle è Merchant of Record: EV Guard non riceve i dati completi della carta.

DPA fornitore →

Garanzie comuni a tutti i sub-responsabili

  • • Contratto di nomina ex art. 28 GDPR (DPA) firmato con ciascun fornitore.
  • • Crittografia in transito (TLS 1.2+) e a riposo (AES-256).
  • • Trasferimenti extra-UE coperti da SCC UE 2021/914 e, dove applicabile, EU-US DPF.
  • • Divieto di utilizzo dei dati per finalità diverse da quelle indicate.
  • • Obbligo di notifica di data breach entro 24 ore.
  • • Cancellazione o restituzione dei dati al termine del servizio.

Contatti

Per richieste sul trattamento dei dati o per ricevere copia del DPA firmato: privacy@evguard.it

Vedi anche: Template DPA (art. 28 GDPR) · Registro dei trattamenti · DPIA