Lista sub-responsabili
Art. 28 GDPR — Aggiornata al 14 luglio 2026
Cos'è questa pagina
EV Guard, in qualità di Titolare del trattamento, utilizza alcuni fornitori esterni (sub-responsabili) per erogare il servizio. Questa pagina elenca pubblicamente e in modo trasparente tutti i fornitori che possono trattare dati personali per nostro conto, ai sensi dell'art. 28, par. 2 GDPR.
Variazioni della lista (aggiunte o sostituzioni) vengono pubblicate qui con almeno 30 giorni di preavviso. Clienti business (Polizia, CPO, Parcheggi) ricevono notifica via email all'indirizzo amministrativo indicato in fase di contratto e possono opporsi entro tale termine.
| Fornitore | Finalità | Dati trattati | Paese | Garanzie / DPA |
|---|---|---|---|---|
| Supabase (via Lovable Cloud) | Hosting database PostgreSQL, autenticazione, storage foto, Row-Level Security. | Account utenti, segnalazioni, foto, log audit, metadati. | UE (Francoforte, Germania — eu-central-1) | Nessun trasferimento extra-UE per i dati di produzione. DPA fornitore → |
| Cloudflare Workers (via Lovable) | Esecuzione server-side (SSR, server functions, API pubbliche, cron). | Richieste HTTP, IP temporaneo del client, payload delle API. | Rete globale (edge più vicino all'utente, EU-first) | SCC (Standard Contractual Clauses) UE — Cloudflare aderisce al EU-US Data Privacy Framework. DPA fornitore → |
| Lovable (Lovable AB) | Piattaforma di hosting applicativo, build, deploy continuo. | Codice sorgente, log di build, metadati di deploy. Nessun dato personale degli utenti finali in chiaro. | UE (Svezia) + sub-fornitori UE. | Trattamento UE. DPA fornitore → |
| Resend | Invio email transazionali (conferme, notifiche, PEC bridge, alert). | Indirizzo email destinatario, contenuto del messaggio, metadati di invio. | USA (con server EU per clienti europei). | SCC UE + EU-US Data Privacy Framework. DPA fornitore → |
| Google (Gemini Vision API) | Validazione automatica delle foto delle segnalazioni (rilevamento veicolo + colonnina). | Solo l'immagine della segnalazione (no metadati utente, no targa in chiaro inviata al modello). | USA / UE (endpoint europei dove disponibili). | SCC UE + EU-US Data Privacy Framework. Le immagini NON vengono usate per addestramento. DPA fornitore → |
| Paddle (in arrivo) | Merchant of Record per i pagamenti dei piani Pro (Polizia, CPO, Parcheggi). | Email, ragione sociale, P.IVA, dati di fatturazione, ultime 4 cifre della carta. | UK / UE. | SCC UE. Paddle è Merchant of Record: EV Guard non riceve i dati completi della carta. DPA fornitore → |
Garanzie comuni a tutti i sub-responsabili
- • Contratto di nomina ex art. 28 GDPR (DPA) firmato con ciascun fornitore.
- • Crittografia in transito (TLS 1.2+) e a riposo (AES-256).
- • Trasferimenti extra-UE coperti da SCC UE 2021/914 e, dove applicabile, EU-US DPF.
- • Divieto di utilizzo dei dati per finalità diverse da quelle indicate.
- • Obbligo di notifica di data breach entro 24 ore.
- • Cancellazione o restituzione dei dati al termine del servizio.
Contatti
Per richieste sul trattamento dei dati o per ricevere copia del DPA firmato: privacy@evguard.it
Vedi anche: Template DPA (art. 28 GDPR) · Registro dei trattamenti · DPIA