Sub-processors di inRegolex
Versione: 2026-05-04 · Ultima modifica: 26/05/2026 Aggiornamento: questa pagina viene aggiornata almeno 30 giorni prima di ogni cambiamento sostanziale del parco fornitori. Modifiche minori (es. cambio regione di una sotto-zona AWS) sono notificate via email all'indirizzo di account.
inRegolex si avvale dei seguenti Responsabili del trattamento
(art. 28 GDPR) per erogare il Servizio. Ogni fornitore è vincolato
da un Data Processing Agreement (DPA) sottoscritto da inRegolex
prima dell'attivazione e accessibile su richiesta scritta a
privacy@inregolex.com.
I dati personali condivisi con ciascun fornitore sono limitati a quelli necessari per la specifica funzione e non vengono mai usati dal fornitore per finalità proprie di marketing o profilazione.
Tabella dei sub-processor
| # | Fornitore | Funzione | Tipologia di dati | Sede del trattamento | Trasferimento extra-SEE |
|---|---|---|---|---|---|
| 1 | Vercel Inc. | Hosting applicativo, edge runtime, cron | Tutti i dati di applicazione (in transito ed in cache temporanea) | UE (fra1 Francoforte / dub1 Dublino) |
No (per default; data-region pinning attivo) |
| 2 | Supabase Inc. | Database PostgreSQL gestito, Auth (magic link), file storage | Account, Proprietà, Ospiti, Ricevute PDF | UE (eu-west-1 Dublino) |
No |
| 3 | Stripe Payments Europe Ltd. | Elaborazione pagamenti, fatturazione abbonamenti | Email, codice cliente Stripe, ID transazione (mai dati di carta lato inRegolex) | UE (Irlanda) + USA | Sì — Stripe è certificata DPF (Data Privacy Framework) |
| 4 | Resend, Inc. | Invio email transazionali (magic link, alert, ricevute) | Email destinatario, oggetto, corpo del messaggio | UE (Francoforte) | No (per i progetti nel tier EU) |
| 5 | Twilio Inc. | Invio SMS di alert critici (solo piano Studio) | Numero di telefono, testo SMS | USA + UE | Sì — Twilio è certificata DPF |
| 6 | Sentry (Functional Software, Inc.) | Cattura errori di esecuzione, monitoraggio cron | Stack trace, route HTTP, ID utente (PII filtrata via beforeSend) |
UE (Francoforte) | No (per i progetti nel tier EU) |
| 7 | Cloudflare, Inc. | Anti-bot Turnstile sulla pagina di login | Indirizzo IP, fingerprint del browser (gestito da Cloudflare) | Anycast globale | Sì — Cloudflare è certificata DPF |
| 8 | GitHub, Inc. (Microsoft) | Repository di codice + cron orari di backup | Nessun dato personale degli utenti finali — solo codice sorgente e log dei cron | USA | Sì — Microsoft è certificata DPF |
Nota su Polizia di Stato (Servizio Alloggiati Web) e Agenzia delle Entrate: questi soggetti non sono sub-processor ai sensi dell'art. 28 GDPR. Operano come Titolari autonomi del trattamento ai sensi delle rispettive normative di settore (art. 109 TULPS, D.Lgs. 32/2023). La trasmissione dei dati è una comunicazione obbligatoria per legge, non un atto di outsourcing — vedi §7.1 dell'Informativa Privacy.
Procedura di obiezione
L'aggiunta di un nuovo sub-processor è notificata via email all'indirizzo di account almeno 30 giorni prima dell'attivazione effettiva. L'utente può:
- Accettare — non è richiesta nessuna azione esplicita;
- Obiettare per iscritto entro 30 giorni a
privacy@inregolex.com, indicando le motivazioni. inRegolex valuterà se è possibile continuare a erogare il Servizio senza il fornitore in oggetto. Se la sostituzione non è possibile, l'utente avrà diritto al recesso dal contratto con rimborso pro-rata della porzione di abbonamento non goduta.
DPA disponibili su richiesta
Per ottenere copia del DPA firmato con uno qualunque dei fornitori
sopra elencati, scrivere a privacy@inregolex.com indicando:
- ragione sociale e identificativo fiscale (P.IVA o codice fiscale)
- nominativo del referente privacy
- fornitore di interesse
Risposta entro 7 giorni lavorativi.
Questo documento integra l'Informativa Privacy ai sensi degli artt. 13.1.e, 28.4 GDPR.
Changelog
| Data | Modifica |
|---|---|
| 26/05/2026 | Prima pubblicazione ufficiale con changelog |
| 04/05/2026 | Prima redazione del documento |