Elenco dei sub-responsabili
Rev. 1 — Maggio 2026
Il presente documento elenca i fornitori (sub-responsabili del trattamento, ai sensi dell'art. 28, par. 2 e par. 4 GDPR) di cui Florens Code S.r.l.si avvale per erogare il servizio Verlio. Per ciascun sub-responsabile sono indicati: ragione sociale, ruolo specifico nell'erogazione del servizio, paese di ubicazione dei sistemi che trattano i dati, e — qualora il trasferimento avvenga al di fuori dello Spazio Economico Europeo — la base giuridica del trasferimento ai sensi degli artt. 44 e seguenti del GDPR.
Florens Code S.r.l. ha selezionato i sub-responsabili sulla base di una valutazione di affidabilità, sicurezza tecnica e organizzativa, e ne monitora periodicamente il rispetto degli obblighi di legge e contrattuali.
1. — Elenco dei sub-responsabili
| Sub-responsabile | Servizio fornito | Sede / paese trattamento | Base trasferimento extra-SEE |
|---|---|---|---|
| Railway Corp. Privacy | Hosting dell'applicazione web, dell'API e del database PostgreSQL del Servizio | Unione Europea (region EU-West) | Non applicabile — dati conservati nello Spazio Economico Europeo |
| Cloudflare, Inc. Privacy | Object storage R2 dei file audio/video e dei documenti di riferimento caricati, CDN, DNS | Unione Europea (jurisdiction EU) | Non applicabile — bucket R2 configurato in region UE |
| Stripe Payments Europe Ltd Privacy | Processore dei pagamenti, archiviazione sicura dei dati delle carte di credito, fatturazione | Irlanda — Spazio Economico Europeo | Non applicabile — Stripe Europe è soggetto di diritto irlandese |
| Sendinblue (Brevo) S.A. Privacy | Invio di e-mail transazionali (verifica account, recupero password, notifiche di servizio) | Francia — Spazio Economico Europeo | Non applicabile — dati conservati nello Spazio Economico Europeo |
| RunPod Inc. Privacy | Computazione GPU per l'esecuzione dei modelli di trascrizione automatica (Whisper + diarizzazione pyannote). I file audio vengono trattati esclusivamente in memoria durante l'elaborazione e non sono conservati permanentemente. | Stati Uniti d'America | Clausole Contrattuali Standard (CCS / Standard Contractual Clauses) approvate dalla Commissione UE con Decisione 2021/914, integrate da misure tecniche supplementari (cifratura del trasporto, non persistenza del dato) |
| Anthropic PBC Privacy | API del modello linguistico Claude, utilizzato per il passaggio di cleanup testuale (rimozione di esitazioni, normalizzazione di terminologia, riconoscimento dei termini di dominio). Anthropic dichiara di non utilizzare i dati API per addestrare i propri modelli (zero retention policy per i clienti enterprise) | Stati Uniti d'America | Clausole Contrattuali Standard (CCS) approvate dalla Commissione UE con Decisione 2021/914, e impegno contrattuale di Anthropic alla non-conservazione dei dati cliente. |
| Google Ireland Limited Privacy | Servizio OAuth 2.0 per l'autenticazione opzionale tramite account Google. Solo dati di autenticazione (e-mail, identificativo Google, foto profilo); nessun contenuto del Servizio viene trasmesso a Google. | Irlanda — Spazio Economico Europeo (società europea del gruppo Alphabet) | Non applicabile — Google Ireland è soggetto di diritto irlandese |
2. — Procedura di modifica dell'elenco
Il Titolare può modificare l'elenco dei sub-responsabili in qualunque momento, in particolare per sostituirne uno con un fornitore equivalente o per integrarne uno nuovo a fronte di nuovi servizi offerti. Qualunque modifica è annotata in questa pagina con aggiornamento della revisione in testa al documento.
Per i clienti che abbiano sottoscritto un Data Processing Agreement (DPA)con Florens Code S.r.l., il Titolare si impegna a fornire un preavviso ragionevole prima dell'introduzione di nuovi sub-responsabili che comportino il trasferimento di dati extra-SEE, riconoscendo al cliente la facoltà di obiettare per motivi giustificati e di risolvere il contratto qualora l'obiezione non sia accoglibile.
3. — Misure di protezione comuni a tutti i sub-responsabili
Tutti i sub-responsabili elencati sopra sono vincolati contrattualmente da Florens Code S.r.l. al rispetto delle seguenti misure di protezione minime:
- cifratura dei dati in transito (TLS 1.2 o superiore);
- cifratura dei dati a riposo, ove applicabile;
- controllo degli accessi mediante autenticazione e profili di autorizzazione;
- obbligo di riservatezza esteso al personale autorizzato al trattamento;
- divieto di utilizzare i dati per finalità diverse da quelle del servizio fornito a Florens Code S.r.l.;
- obbligo di notificare tempestivamente eventuali violazioni dei dati personali;
- cooperazione del sub-responsabile per consentire al Titolare di rispondere alle richieste degli interessati nell'esercizio dei diritti previsti dagli artt. 15-22 GDPR.
4. — Contatti
Per qualunque richiesta relativa ai sub-responsabili o per chiedere copia degli accordi di trattamento dei dati stipulati con essi, il cliente può scrivere a info@verlio.ai o alla PEC florenscode@pec.it.