Elenco dei sub-responsabili del trattamento

Ultimo aggiornamento: dicembre 2025

Il presente Elenco dei sub-responsabili del trattamento descrive i responsabili del trattamento terzi (“Sub-responsabili del trattamento”) di cui Ampliro AB (“Ampliro”, “noi”, “nostro” o “ci”) si avvale per supportare la fornitura della piattaforma Diplino e dei servizi correlati disponibili su diplino.com (il “Servizio”).

Tali Sub-responsabili del trattamento possono trattare dati personali per conto dei clienti (i “Titolari del trattamento”) in conformità al nostro Accordo sul trattamento dei dati (DPA) e alla Normativa applicabile in materia di protezione dei dati (incluso il GDPR ove pertinente).

Ampliro rimane responsabile dell’adempimento degli obblighi dei propri Sub-responsabili del trattamento come stabilito nel DPA.


1. Informazioni generali sui Sub-responsabili del trattamento

Ci avvaliamo di Sub-responsabili del trattamento per fornire infrastruttura, trattamento dei pagamenti, invio di e-mail e altri servizi di supporto necessari per gestire Diplino. Per ciascun Sub-responsabile del trattamento, noi:

  • Stipuliamo un accordo scritto sul trattamento dei dati che include obblighi equivalenti a quelli imposti ad Ampliro ai sensi del DPA.
  • Garantiamo che misure tecniche e organizzative adeguate siano implementate dal Sub-responsabile del trattamento.
  • Ove richiesto, implementiamo garanzie adeguate per i trasferimenti di dati personali verso paesi al di fuori dell’UE/SEE (ad es. clausole contrattuali tipo).

L’elenco seguente riflette i principali Sub-responsabili del trattamento utilizzati nella configurazione standard di Diplino. In alcuni casi, i clienti possono scegliere di integrare servizi aggiuntivi autonomamente; tali integrazioni non sono coperte dal presente elenco.


2. Sub-responsabili del trattamento attuali

2.1 Supabase Inc.

  • Servizio: Infrastruttura backend, inclusi hosting di database, autenticazione e archiviazione di file/oggetti per Diplino.
  • Ubicazione / data center: Principalmente data center UE (ad es., Francoforte, Germania) per i dati dei clienti; Supabase ha sede negli Stati Uniti.
  • Dati trattati:
    • Dati dell’account utente (ad es. nomi, indirizzi e-mail, hash delle password).
    • Dati di organizzazione e configurazione.
    • Dati relativi a certificati e credenziali (ad es. dettagli dei destinatari, informazioni sui corsi, date di rilascio/scadenza).
    • File e allegati caricati (se utilizzati dal cliente).
    • Log e metadati relativi all’utilizzo dell’applicazione.
  • Ruolo: Sub-responsabile del trattamento (fornitore di infrastruttura).
  • Garanzie:
    • Dati archiviati in infrastruttura basata nell’UE per le distribuzioni standard di Diplino.
    • SOC 2 Type II e/o certificazioni di sicurezza comparabili (come mantenute da Supabase).
    • Termini di trattamento dei dati e addendum conforme al GDPR.
    • Clausole contrattuali tipo e garanzie aggiuntive ove si verifichi qualsiasi accesso dall’esterno dell’UE/SEE.

2.2 Stripe Inc.

  • Servizio: Trattamento dei pagamenti, gestione degli abbonamenti e fatturazione per i piani Diplino.
  • Ubicazione / data center: UE e Stati Uniti (con opzioni di residenza dei dati nell’UE); Stripe ha sede negli Stati Uniti.
  • Dati trattati:
    • Dati di contatto per la fatturazione (ad es. nome, e-mail, organizzazione, indirizzo).
    • Informazioni relative al pagamento (ad es. dettagli della carta, identificativi di transazione) gestite principalmente direttamente da Stripe.
    • Stato dell’abbonamento e metadati richiesti per la fatturazione e la gestione dell’account.
  • Ruolo: Sub-responsabile del trattamento / titolare autonomo del trattamento per determinate attività di trattamento dei pagamenti.
  • Garanzie:
    • Processore di pagamento certificato PCI DSS Level 1.
    • Accordi sul trattamento dei dati e clausole contrattuali tipo per trasferimenti di dati verso gli Stati Uniti ove applicabile.
    • Misure robuste di sicurezza e prevenzione delle frodi come documentate da Stripe.

Nota: Diplino non conserva numeri completi di carte di pagamento sui propri sistemi. Questi sono gestiti direttamente da Stripe o dalle sue banche acquirenti.


2.3 Resend Inc.

  • Servizio: Invio di e-mail transazionali (ad es. invio di notifiche di rilascio certificati, e-mail relative all’account e altre comunicazioni del Servizio).
  • Ubicazione / data center: Infrastruttura principalmente basata negli Stati Uniti (con opzioni regionali a seconda della configurazione e della roadmap di Resend).
  • Dati trattati:
    • Indirizzi e-mail dei destinatari.
    • Contenuto delle e-mail (oggetto e corpo), che può includere informazioni relative ai certificati o dettagli dell’account.
    • Metadati di consegna e coinvolgimento (ad es. timestamp, stato di consegna).
  • Ruolo: Sub-responsabile del trattamento (servizio di invio e-mail).
  • Garanzie:
    • Accordo sul trattamento dei dati che include clausole contrattuali tipo per dati UE/SEE.
    • SOC 2 Type II e/o controlli di sicurezza comparabili.
    • Misure tecniche e organizzative per proteggere il traffico e-mail e i log.

2.4 OpenRouter Inc.

  • Servizio: Assistenza chatbot basata su IA e instradamento di modelli linguistici, utilizzati per fornire supporto e assistenza facoltativi all’interno di Diplino (ad es. aiuto nel prodotto, guida conversazionale).
  • Ubicazione / data center: Infrastruttura principalmente basata negli Stati Uniti; OpenRouter instrada il traffico verso fornitori di modelli secondo i propri termini.
  • Dati trattati:
    • Messaggi di chat e prompt inviati tramite l’interfaccia dell’assistente IA.
    • Dati contestuali necessari per rispondere alle richieste degli utenti (ad es. contesto generico dell’applicazione o configurazione), come configurati da Diplino.
    • Diplino non invia intenzionalmente payload di certificati o set completi di dati di certificati a OpenRouter nell’ambito del normale funzionamento.
  • Ruolo: Sub-responsabile del trattamento (servizio di instradamento e inferenza IA).
  • Garanzie:
    • Accordo sul trattamento dei dati che include clausole contrattuali tipo per trasferimenti dall’UE/SEE.
    • Assicurazioni contrattuali secondo cui i dati inviati tramite l’API non sono utilizzati per addestramento di modelli o profilazione per impostazione predefinita (soggette alle politiche attuali di OpenRouter).
    • Configurazione volta a minimizzare, ove possibile, la quantità di dati personali condivisi nei prompt.

Nota: L’uso dell’assistente IA è facoltativo e può essere limitato o disabilitato dal cliente, a seconda delle sue politiche e dei suoi requisiti interni.


3. Modifiche ai Sub-responsabili del trattamento

Possiamo aggiungere, sostituire o rimuovere Sub-responsabili del trattamento di tanto in tanto man mano che il nostro Servizio evolve.

  • Forniremo avviso di qualsiasi nuovo incarico a un Sub-responsabile del trattamento almeno 30 giorni prima che il nuovo Sub-responsabile del trattamento inizi a trattare dati personali per conto dei clienti (ad esempio, aggiornando questa pagina e/o inviando un’e-mail o una notifica in-app).
  • I clienti che abbiano un DPA valido in essere con Ampliro possono opporsi per iscritto all’uso di un nuovo Sub-responsabile del trattamento per ragionevoli motivi connessi alla protezione dei dati entro 14 giorni dal ricevimento di tale avviso.

Se un cliente si oppone ragionevolmente e le parti non riescono a risolvere l’obiezione (ad esempio, modificando la configurazione o utilizzando un Sub-responsabile del trattamento alternativo), il cliente può avere il diritto di cessare i Servizi interessati in conformità ai termini del DPA e dell’Accordo principale.


4. Integrazioni controllate dal cliente

I clienti possono, a propria discrezione, collegare Diplino a ulteriori strumenti o piattaforme di terzi (ad es. tramite API, webhook o integrazioni personalizzate). Tali strumenti non sono Sub-responsabili del trattamento incaricati da Ampliro; sono invece incaricati direttamente dal cliente, che è responsabile di:

  • Esaminare e accettare i termini e le informative sulla privacy di tali fornitori.
  • Garantire che qualsiasi trasferimento di dati sia lecito e adeguatamente protetto.

5. Contatto

In caso di domande sul presente Elenco dei sub-responsabili del trattamento o sul nostro uso di Sub-responsabili del trattamento in relazione a Diplino, La preghiamo di contattarci a:

  • E-mail: privacy@diplino.com
  • Indirizzo postale:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden