Database PostgreSQL, Storage, Auth, Realtime
- Ruolo
- Sub-responsabile (art. 28)
- Sede
- Irlanda (eu-west-1)
- Region
- EU/SEE
- Base giuridica
- EU/SEE
Region UE primaria (Irlanda). Nessun trasferimento extra-UE per i dati pazienti.
Area Legale — InnovaMed
Sub-processor list
Elenco aggiornato di tutti i fornitori tecnici coinvolti nel trattamento dei dati dei clienti InnovaMed.
Versione 1.0Ultima modifica: 21 aprile 2026
In qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, GLDA S.r.l. utilizza i fornitori di seguito elencati per erogare il servizio InnovaMed. Tutti i sub-processor sono vincolati contrattualmente da un accordo che replica gli obblighi art. 28 GDPR.
Per i trasferimenti di dati verso paesi terzi al di fuori dello Spazio Economico Europeo, GLDA applica i seguenti strumenti:
- EU-US Data Privacy Framework — decisione di adeguatezza (Commissione UE 10/07/2023) per i fornitori USA aderenti al programma.
- Standard Contractual Clauses (SCC) UE 2021/914 — per i trasferimenti verso paesi non coperti da decisione di adeguatezza.
Notifica modificheGLDA comunica ai clienti ogni aggiunta o sostituzione di sub-processor con almeno 30 giorni di preavviso via email all'indirizzo dell'account amministratore dello studio. Il medico cliente può opporsi con motivata giustificazione entro tale termine.
Elenco sub-processor attivi
| Fornitore | Servizio | Ruolo | Sede / Region | Base giuridica | DPA |
|---|---|---|---|---|---|
| Supabase Inc. | Database PostgreSQL, Storage, Auth, Realtime Region UE primaria (Irlanda). Nessun trasferimento extra-UE per i dati pazienti. | Sub-responsabile (art. 28) | Irlanda (eu-west-1) EU/SEE | EU/SEE | Link |
| Google LLC (Vertex AI) | AI inference (Gemini) per chatbot WhatsApp Region EU primaria. Zero Data Retention attiva sul modello. Fallback automatico a region USA solo in caso di disservizio EU (resilienza). | Sub-responsabile (art. 28) | Paesi Bassi (europe-west4) EU + USA fallback | EU-US DPF | Link |
| Meta Platforms Ireland Ltd. | WhatsApp Business API (transito messaggi) Transito end-to-end encrypted. Meta non può leggere il contenuto dei messaggi. | Sub-responsabile (art. 28) | Irlanda (server EU + fallback USA) EU + USA | EU-US DPF | Link |
| Vercel Inc. | Hosting applicativo (edge + serverless) | Fornitore IaaS | USA (edge globale, region preferita fra1 Francoforte) EU edge + USA control plane | EU-US DPF | Link |
| Resend Inc. | Invio email transazionali (onboarding, reset password, notifiche) | Sub-responsabile (art. 28) | USA (Delaware) USA | EU-US DPF | Link |
| Functional Software Inc. (Sentry) | Error tracking applicativo con PII scrubbing Configurazione region EU. PII scrubbing automatico prima dell'invio dei payload. | Sub-responsabile (art. 28) | USA / Germania (region eu.sentry.io) EU (eu.sentry.io) | EU-US DPF | Link |
| Telegram FZ-LLC | Notifiche operative interne (alert sistema al team InnovaFlow) Usato esclusivamente per alert di sistema verso il team tecnico InnovaFlow. Non transitano dati paziente né dati personali di clienti. | Fornitore SaaS | Emirati Arabi Uniti (Dubai) Extra-UE | SCC 2021/914 | Link |
| Cloudflare Inc. | CDN, DDoS protection, DNS | Fornitore IaaS | USA (edge globale) EU edge | EU-US DPF | Link |
AI inference (Gemini) per chatbot WhatsApp
- Ruolo
- Sub-responsabile (art. 28)
- Sede
- Paesi Bassi (europe-west4)
- Region
- EU + USA fallback
- Base giuridica
- EU-US DPF
Region EU primaria. Zero Data Retention attiva sul modello. Fallback automatico a region USA solo in caso di disservizio EU (resilienza).
WhatsApp Business API (transito messaggi)
- Ruolo
- Sub-responsabile (art. 28)
- Sede
- Irlanda (server EU + fallback USA)
- Region
- EU + USA
- Base giuridica
- EU-US DPF
Transito end-to-end encrypted. Meta non può leggere il contenuto dei messaggi.
Hosting applicativo (edge + serverless)
- Ruolo
- Fornitore IaaS
- Sede
- USA (edge globale, region preferita fra1 Francoforte)
- Region
- EU edge + USA control plane
- Base giuridica
- EU-US DPF
Invio email transazionali (onboarding, reset password, notifiche)
- Ruolo
- Sub-responsabile (art. 28)
- Sede
- USA (Delaware)
- Region
- USA
- Base giuridica
- EU-US DPF
Error tracking applicativo con PII scrubbing
- Ruolo
- Sub-responsabile (art. 28)
- Sede
- USA / Germania (region eu.sentry.io)
- Region
- EU (eu.sentry.io)
- Base giuridica
- EU-US DPF
Configurazione region EU. PII scrubbing automatico prima dell'invio dei payload.
Notifiche operative interne (alert sistema al team InnovaFlow)
- Ruolo
- Fornitore SaaS
- Sede
- Emirati Arabi Uniti (Dubai)
- Region
- Extra-UE
- Base giuridica
- SCC 2021/914
Usato esclusivamente per alert di sistema verso il team tecnico InnovaFlow. Non transitano dati paziente né dati personali di clienti.
CDN, DDoS protection, DNS
- Ruolo
- Fornitore IaaS
- Sede
- USA (edge globale)
- Region
- EU edge
- Base giuridica
- EU-US DPF