Processor e sub-processor
Elenco completo dei responsabili del trattamento esterni utilizzati da MEDICHOME, con finalità, sede, garanzie legali.
Ultimo aggiornamento: 24 aprile 2026·v1.1-2026-04-24
In sintesi
1. Cosa è un processor
Ai sensi dell'art. 4.8 GDPR, il responsabile del trattamento (processor) e` il soggetto che tratta dati personali per conto del Titolare. MEDICHOME e` il Titolare; i provider tecnici elencati sotto agiscono come processor con specifiche finalita` contrattualizzate.
Sub-processor: processor nominati a loro volta da un nostro processor (es. i data center cloud usati da Supabase/Vercel). L'elenco completo e` disponibile nei DPA dei rispettivi processor.
2. Elenco dei processor
| Processor | Finalita` | Regione | Dati | Garanzie |
|---|---|---|---|---|
Supabase Inc. Privacy policy → | Database, Auth, Storage, Realtime | UE (data residency eu-west-1) Delaware (USA) — processing in eu-west-1 Ireland | Tutti i dati piattaforma | DPA DPA + SCC + data residency garantita |
Vercel Inc. Privacy policy → | Hosting applicazione, edge network, deploy | Multi-region con routing EU USA | Log accesso, IP, user-agent | DPA DPA + SCC |
Stripe Inc. Privacy policy → | Pagamenti abbonamenti professionisti | USA (tokenizzazione) + EU USA | Email, nome, dati fatturazione, pagamento tokenizzato | DPA DPA + SCC UE 2021/914 |
Stripe Tax Privacy policy → | Calcolo automatico IVA UE (one stop shop) | USA USA | Ragione sociale, P.IVA, indirizzo fatturazione | DPA DPA + SCC |
Anthropic PBC Privacy policy → | API Claude per agenti AI (Matching, Verification, Coordination, Quality) | USA USA | Metadata operativi, no PII cleartext, opt-out training | DPA DPA + SCC + zero data retention API + no training opt-out |
Resend Privacy policy → | Invio email transazionali (conferme, reminder, notifiche) | UE + USA (mail routing internazionale) USA — delivery via SMTP mondiali | Email, contenuto messaggio template | DPA DPA + SCC |
Twilio Inc. Privacy policy → | SMS di verifica telefono e notifiche operative | USA + UE USA — delivery via operatori mobile IT/UE | Numero telefono, contenuto SMS (template) | DPA DPA + SCC |
OneSignal Inc. Privacy policy → | Push notifications browser/mobile | USA USA | Device token, timezone, preferenze push | DPA DPA + SCC |
PostHog Inc. Privacy policy → | Analytics prodotto anonimizzato | UE (Germania) USA — istanza eu-central-1 | Eventi UI anonimizzati, no PII, IP truncated | DPA DPA + SCC + data residency EU + IP anonymization |
Cal.com Inc. Privacy policy → | Gestione slot di disponibilità professionista | UE Germania (EU) | Orari professionista, eventi booking (no PII paziente) | DPA DPA + processing interamente UE |
Veriff OU Privacy policy → | KYC / verifica identità professionista (opzionale) | UE Estonia (EU) | Documento identità, selfie, dati biometrici (session-only) | DPA DPA + processing EU + biometria cancellata post-verifica |
FattureInCloud Privacy policy → | Fatturazione elettronica SDI | IT Italia | Dati fiscali fatturazione professionisti | DPA DPA + processor italiano, nessun trasferimento extra-UE |
CARTO (CartoDB Inc.) Privacy policy → | Tile di mappa base (CDN basemaps) | UE Spagna + USA | IP richiesta tile (log CDN minimal) | DPA CDN pubblico tile OSM, no profilazione |
OpenStreetMap Foundation Privacy policy → | Geocoding (Nominatim) e tile vettoriali | UK (decisione di adeguatezza UE) UK | IP richiesta geocoding | Servizio pubblico open data; fair use policy rispettata |
3. Trasferimenti extra-UE
Per i processor con sede o processing al di fuori del SEE (Spazio Economico Europeo), il Titolare adotta le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con decisione 2021/914, integrate da misure supplementari quando necessario (encryption, IP truncation, opt-out training AI).
I trasferimenti avvengono esclusivamente verso:
- USA per Stripe, Anthropic, Vercel, Resend, Twilio, OneSignal — tutti coperti da SCC e DPA con misure tecniche aggiuntive.
- UK per OpenStreetMap — coperto da decisione di adeguatezza UE-UK (28 giugno 2021, rinnovata).
4. Notifica modifiche
Ai sensi dell'art. 28.2 GDPR, il Titolare informera` gli utenti di eventuali cambi sostanziali della catena di processor (aggiunta, rimozione, cambio region) con almeno 30 giorni di preavvisotramite:
- Aggiornamento di questa pagina (versione incrementata)
- Banner informativo in dashboard utente
- Email agli utenti attivi se il cambio impatta categorie di dati
L'utente puo` sempre opporsi a un nuovo processor esercitando il diritto di cancellazione dell'account (art. 17 GDPR).
5. Contatti
Per domande specifiche sui processor utilizzati, richiesta copia dei DPA, o esercizio dei diritti GDPR sui dati presso i processor:
DPO: dpo@getmedichome.com
Email privacy: privacy@getmedichome.com