Trattamento Dati e Responsabili Esterni
Questa pagina rende trasparenti i fornitori esterni (Responsabili del Trattamento ai sensi dell'art. 28 GDPR) che City Around utilizza per erogare il servizio editoriale. Aggiorniamo l'elenco ogni volta che inseriamo o sostituiamo un fornitore con accesso ai dati personali dei nostri utenti.
1. Cosa sono i Responsabili del Trattamento
L'art. 28 GDPR prevede che, quando il titolare (City Around) affida operazioni di trattamento a un soggetto esterno (un fornitore tecnico, ad esempio l'hosting o la CDN), tale rapporto sia disciplinato da un atto giuridico vincolante che identifichi finalità, durata, natura del trattamento, tipo di dati, categorie di interessati e obblighi del responsabile. Per ogni fornitore elencato in questa pagina è in essere un Data Processing Agreement (DPA) conforme all'art. 28 GDPR.
2. Elenco dei Fornitori Attivi
| Fornitore | Servizio | Categoria di Dati | Localizzazione Trattamento | Garanzie Trasferimento Extra-UE |
|---|---|---|---|---|
| Cloudflare, Inc. | Content Delivery Network, protezione DDoS, mascheramento IP | Dati di traffico (IP, user-agent, log richieste) | Datacenter UE + EU/US (failover) | Clausole Contrattuali Standard 2021/914/UE, cifratura in transito |
| DigitalOcean, LLC | Hosting infrastrutturale (origin server) | Log applicativi, dati statici | Datacenter Frankfurt (DE) | Trattamento all'interno SEE |
| Let's Encrypt (ISRG) | Emissione certificati SSL | Nome di dominio, IP | USA | Servizio di natura tecnica, dati non personali in senso stretto |
| Backblaze, Inc. | Backup di sicurezza dei contenuti | Dati statici, log compressi | Datacenter UE (Amsterdam) | Trattamento all'interno SEE |
| Mailgun Technologies (Sinch) | Trasmissione email transazionale | Email del destinatario, contenuto messaggio | UE (Francoforte) o USA | Clausole Contrattuali Standard, cifratura TLS |
3. Come Verifichiamo i Fornitori
Prima di affidare a un nuovo fornitore operazioni che comportano trattamento dati personali, valutiamo:
- Esistenza di un DPA conforme all'art. 28 GDPR firmato preventivamente.
- Localizzazione del trattamento e garanzie di trasferimento extra-UE (Clausole Contrattuali Standard, misure tecniche aggiuntive).
- Certificazioni rilevanti (ISO/IEC 27001, SOC 2 Type II) o pubblicazione di un security overview.
- Storia di incidenti di sicurezza dichiarati e gestione degli stessi.
- Disponibilità a sottoporsi ad audit ragionevoli da parte del titolare.
4. Quando Cambiamo Fornitore
Quando sostituiamo un fornitore con accesso ai dati personali, applichiamo la seguente procedura:
- Aggiorniamo l'elenco di questa pagina con la nuova denominazione e i nuovi dati.
- Notifichiamo il cambio nella home page (in caso di fornitore essenziale come hosting o CDN) per almeno 14 giorni.
- Verifichiamo che i dati eventualmente trasferiti al fornitore precedente vengano cancellati secondo i termini contrattuali.
5. Diritto di Conoscere e Richiedere Modifiche
Hai sempre diritto a chiederci ulteriori dettagli sui nostri fornitori scrivendoci a privacy [at] cityaround [punto] it. Se ritieni che uno dei fornitori in elenco non offra garanzie adeguate, puoi presentarci osservazioni motivate: ne terremo conto nelle valutazioni successive.
6. Conservazione del DPA
Il testo dei DPA firmati con ciascun fornitore è conservato negli archivi interni del titolare. Su richiesta motivata del Garante Privacy o dell'interessato (limitatamente alle clausole rilevanti per il trattamento dei suoi dati), forniamo copia parziale del DPA tramite l'indirizzo legale@cityaround.it.