Elenco dei sub-responsabili del trattamento
Ultimo aggiornamento: dicembre 2025
Il presente Elenco dei sub-responsabili del trattamento descrive i responsabili del trattamento terzi (“Sub-responsabili del trattamento”) di cui Ampliro AB (“Ampliro”, “noi”, “nostro” o “ci”) si avvale per supportare la fornitura della piattaforma Diplino e dei servizi correlati disponibili su diplino.com (il “Servizio”).
Tali Sub-responsabili del trattamento possono trattare dati personali per conto dei clienti (i “Titolari del trattamento”) in conformità al nostro Accordo sul trattamento dei dati (DPA) e alla Normativa applicabile in materia di protezione dei dati (incluso il GDPR ove pertinente).
Ampliro rimane responsabile dell’adempimento degli obblighi dei propri Sub-responsabili del trattamento come stabilito nel DPA.
1. Informazioni generali sui Sub-responsabili del trattamento
Ci avvaliamo di Sub-responsabili del trattamento per fornire infrastruttura, trattamento dei pagamenti, invio di e-mail e altri servizi di supporto necessari per gestire Diplino. Per ciascun Sub-responsabile del trattamento, noi:
- Stipuliamo un accordo scritto sul trattamento dei dati che include obblighi equivalenti a quelli imposti ad Ampliro ai sensi del DPA.
- Garantiamo che misure tecniche e organizzative adeguate siano implementate dal Sub-responsabile del trattamento.
- Ove richiesto, implementiamo garanzie adeguate per i trasferimenti di dati personali verso paesi al di fuori dell’UE/SEE (ad es. clausole contrattuali tipo).
L’elenco seguente riflette i principali Sub-responsabili del trattamento utilizzati nella configurazione standard di Diplino. In alcuni casi, i clienti possono scegliere di integrare servizi aggiuntivi autonomamente; tali integrazioni non sono coperte dal presente elenco.
2. Sub-responsabili del trattamento attuali
2.1 Supabase Inc.
- Servizio: Infrastruttura backend, inclusi hosting di database, autenticazione e archiviazione di file/oggetti per Diplino.
- Ubicazione / data center: Principalmente data center UE (ad es., Francoforte, Germania) per i dati dei clienti; Supabase ha sede negli Stati Uniti.
- Dati trattati:
- Dati dell’account utente (ad es. nomi, indirizzi e-mail, hash delle password).
- Dati di organizzazione e configurazione.
- Dati relativi a certificati e credenziali (ad es. dettagli dei destinatari, informazioni sui corsi, date di rilascio/scadenza).
- File e allegati caricati (se utilizzati dal cliente).
- Log e metadati relativi all’utilizzo dell’applicazione.
- Ruolo: Sub-responsabile del trattamento (fornitore di infrastruttura).
- Garanzie:
- Dati archiviati in infrastruttura basata nell’UE per le distribuzioni standard di Diplino.
- SOC 2 Type II e/o certificazioni di sicurezza comparabili (come mantenute da Supabase).
- Termini di trattamento dei dati e addendum conforme al GDPR.
- Clausole contrattuali tipo e garanzie aggiuntive ove si verifichi qualsiasi accesso dall’esterno dell’UE/SEE.
2.2 Stripe Inc.
- Servizio: Trattamento dei pagamenti, gestione degli abbonamenti e fatturazione per i piani Diplino.
- Ubicazione / data center: UE e Stati Uniti (con opzioni di residenza dei dati nell’UE); Stripe ha sede negli Stati Uniti.
- Dati trattati:
- Dati di contatto per la fatturazione (ad es. nome, e-mail, organizzazione, indirizzo).
- Informazioni relative al pagamento (ad es. dettagli della carta, identificativi di transazione) gestite principalmente direttamente da Stripe.
- Stato dell’abbonamento e metadati richiesti per la fatturazione e la gestione dell’account.
- Ruolo: Sub-responsabile del trattamento / titolare autonomo del trattamento per determinate attività di trattamento dei pagamenti.
- Garanzie:
- Processore di pagamento certificato PCI DSS Level 1.
- Accordi sul trattamento dei dati e clausole contrattuali tipo per trasferimenti di dati verso gli Stati Uniti ove applicabile.
- Misure robuste di sicurezza e prevenzione delle frodi come documentate da Stripe.
Nota: Diplino non conserva numeri completi di carte di pagamento sui propri sistemi. Questi sono gestiti direttamente da Stripe o dalle sue banche acquirenti.
2.3 Resend Inc.
- Servizio: Invio di e-mail transazionali (ad es. invio di notifiche di rilascio certificati, e-mail relative all’account e altre comunicazioni del Servizio).
- Ubicazione / data center: Infrastruttura principalmente basata negli Stati Uniti (con opzioni regionali a seconda della configurazione e della roadmap di Resend).
- Dati trattati:
- Indirizzi e-mail dei destinatari.
- Contenuto delle e-mail (oggetto e corpo), che può includere informazioni relative ai certificati o dettagli dell’account.
- Metadati di consegna e coinvolgimento (ad es. timestamp, stato di consegna).
- Ruolo: Sub-responsabile del trattamento (servizio di invio e-mail).
- Garanzie:
- Accordo sul trattamento dei dati che include clausole contrattuali tipo per dati UE/SEE.
- SOC 2 Type II e/o controlli di sicurezza comparabili.
- Misure tecniche e organizzative per proteggere il traffico e-mail e i log.
2.4 OpenRouter Inc.
- Servizio: Assistenza chatbot basata su IA e instradamento di modelli linguistici, utilizzati per fornire supporto e assistenza facoltativi all’interno di Diplino (ad es. aiuto nel prodotto, guida conversazionale).
- Ubicazione / data center: Infrastruttura principalmente basata negli Stati Uniti; OpenRouter instrada il traffico verso fornitori di modelli secondo i propri termini.
- Dati trattati:
- Messaggi di chat e prompt inviati tramite l’interfaccia dell’assistente IA.
- Dati contestuali necessari per rispondere alle richieste degli utenti (ad es. contesto generico dell’applicazione o configurazione), come configurati da Diplino.
- Diplino non invia intenzionalmente payload di certificati o set completi di dati di certificati a OpenRouter nell’ambito del normale funzionamento.
- Ruolo: Sub-responsabile del trattamento (servizio di instradamento e inferenza IA).
- Garanzie:
- Accordo sul trattamento dei dati che include clausole contrattuali tipo per trasferimenti dall’UE/SEE.
- Assicurazioni contrattuali secondo cui i dati inviati tramite l’API non sono utilizzati per addestramento di modelli o profilazione per impostazione predefinita (soggette alle politiche attuali di OpenRouter).
- Configurazione volta a minimizzare, ove possibile, la quantità di dati personali condivisi nei prompt.
Nota: L’uso dell’assistente IA è facoltativo e può essere limitato o disabilitato dal cliente, a seconda delle sue politiche e dei suoi requisiti interni.
3. Modifiche ai Sub-responsabili del trattamento
Possiamo aggiungere, sostituire o rimuovere Sub-responsabili del trattamento di tanto in tanto man mano che il nostro Servizio evolve.
- Forniremo avviso di qualsiasi nuovo incarico a un Sub-responsabile del trattamento almeno 30 giorni prima che il nuovo Sub-responsabile del trattamento inizi a trattare dati personali per conto dei clienti (ad esempio, aggiornando questa pagina e/o inviando un’e-mail o una notifica in-app).
- I clienti che abbiano un DPA valido in essere con Ampliro possono opporsi per iscritto all’uso di un nuovo Sub-responsabile del trattamento per ragionevoli motivi connessi alla protezione dei dati entro 14 giorni dal ricevimento di tale avviso.
Se un cliente si oppone ragionevolmente e le parti non riescono a risolvere l’obiezione (ad esempio, modificando la configurazione o utilizzando un Sub-responsabile del trattamento alternativo), il cliente può avere il diritto di cessare i Servizi interessati in conformità ai termini del DPA e dell’Accordo principale.
4. Integrazioni controllate dal cliente
I clienti possono, a propria discrezione, collegare Diplino a ulteriori strumenti o piattaforme di terzi (ad es. tramite API, webhook o integrazioni personalizzate). Tali strumenti non sono Sub-responsabili del trattamento incaricati da Ampliro; sono invece incaricati direttamente dal cliente, che è responsabile di:
- Esaminare e accettare i termini e le informative sulla privacy di tali fornitori.
- Garantire che qualsiasi trasferimento di dati sia lecito e adeguatamente protetto.
5. Contatto
In caso di domande sul presente Elenco dei sub-responsabili del trattamento o sul nostro uso di Sub-responsabili del trattamento in relazione a Diplino, La preghiamo di contattarci a:
- E-mail: privacy@diplino.com
- Indirizzo postale:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden