Ultimo aggiornamento: 17/04/2026
Versione 1.0
Il presente documento costituisce l'elenco pubblico e aggiornato dei sub-responsabili del trattamento (c.d. "sub-processors") che MiaChiesa S.r.l. utilizza per fornire i propri servizi, ai sensi dell'art. 28, par. 2 e 4, del Regolamento (UE) 2016/679 (GDPR).
I sub-responsabili elencati di seguito trattano dati personali per conto di MiaChiesa S.r.l. nell'ambito del Contratto di Nomina a Responsabile del trattamento stipulato con ciascuna Parrocchia e Unità Pastorale cliente, disponibile all'indirizzo /dpa-responsabile.
MiaChiesa S.r.l. seleziona i propri sub-responsabili con particolare cura, verificando che offrano garanzie sufficienti in termini di misure tecniche e organizzative adeguate (art. 28, par. 1, GDPR) e stipulando con ciascuno un accordo scritto che impone obblighi equivalenti a quelli previsti dal Contratto di Nomina.
| Sub-responsabile | Finalità | Categorie di dati | Regione dei dati / Sede legale | Base giuridica del trasferimento | Privacy |
|---|---|---|---|---|---|
| Supabase Inc. | Infrastruttura database, autenticazione, storage file, realtime | Tutti i dati degli utenti, delle parrocchie e delle UP | Dati conservati nella regione Zurigo (Svizzera – Paese terzo riconosciuto adeguato dalla Commissione UE ex art. 45 GDPR). Sede legale della società: Stati Uniti. | Decisione di adeguatezza per la Svizzera + Clausole Contrattuali Standard (SCC) UE per la sede statunitense | Informativa |
| Stripe Payments Europe Ltd. / Stripe, Inc. | Elaborazione pagamenti (donazioni, iscrizioni eventi, abbonamenti), emissione fatture, KYC degli enti beneficiari (Stripe Connect) | Dati identificativi del donatore, dati fiscali, importo, metodo di pagamento (tokenizzato), identificativi della transazione | Titolare europeo: Stripe Payments Europe Ltd. (Irlanda, UE). Dati trattati prevalentemente in UE; possibile accesso da USA per funzioni di supporto e conformità. | SCC UE + certificazione PCI-DSS Level 1 + Data Privacy Framework | Informativa |
| Google LLC / Google Ireland Ltd. | Gemini API (generazione assistita di volantini), Google Calendar API (sincronizzazione eventi), Google Fonts, Google Maps, Google Ads (tracciamento conversioni) | Per la funzionalità AI: prompt testuali e immagini fornite dall'utente. Per Calendar: token OAuth + eventi sincronizzati. Per Ads: identificativi di conversione anonimi | Titolare europeo: Google Ireland Ltd. (Irlanda, UE). Gemini API e alcuni servizi sono trattati negli Stati Uniti; Google Calendar, Fonts e Maps hanno data center distribuiti globalmente con residenza UE quando tecnicamente possibile. | SCC UE + Data Privacy Framework | Informativa |
| Meta Platforms Ireland Ltd. / Meta Platforms, Inc. | Pubblicazione contenuti su Pagine Facebook e account Instagram Professional tramite Graph API; Facebook Pixel per il tracciamento conversioni | Page Access Token, identificativi della Pagina/Account, contenuto dei post pubblicati, identificativi di conversione anonimi | Titolare europeo: Meta Platforms Ireland Ltd. (Irlanda, UE). Dati degli utenti europei conservati nei data center Meta in Europa; trasferimenti verso gli USA per operazioni di servizio. | SCC UE + Data Privacy Framework | Informativa |
| Resend, Inc. | Invio delle email transazionali della piattaforma (conferme, ricevute, notifiche, inviti) | Indirizzo email del destinatario, oggetto e contenuto del messaggio | Sede legale: Stati Uniti. Infrastruttura di invio distribuita a livello globale. | SCC UE | Informativa |
| PostHog Inc. | Analisi prodotto aggregata e miglioramento dell'esperienza utente (session replay e product analytics) | Identificativi pseudonimi di sessione, eventi di utilizzo, metadati del dispositivo, versione dell'app | Dati trattati sull'istanza UE di PostHog (eu.posthog.com – Francoforte, Germania). Sede legale della società: Stati Uniti. | SCC UE | Informativa |
| Functional Software, Inc. dba Sentry | Monitoraggio errori e qualità del servizio | Stack trace, metadati del dispositivo/browser, identificativo pseudonimo dell'utente (se autenticato) | Sede legale: Stati Uniti. Sentry offre una regione UE (Francoforte) utilizzata quando l'istanza MiaChiesa è configurata per il data residency europeo. | SCC UE + Data Privacy Framework | Informativa |
| Cloudflare, Inc. | Hosting del frontend web (Cloudflare Pages), CDN, protezione WAF/DDoS | Indirizzo IP, log di richiesta HTTP, metadati del dispositivo/browser | Sede legale: Stati Uniti. Traffico servito dai nodi edge più vicini all'utente, tipicamente in UE per utenti italiani; log aggregati centralmente. | SCC UE + Data Privacy Framework | Informativa |
MiaChiesa S.r.l. si riserva il diritto di aggiungere, sostituire o rimuovere sub-responsabili. In caso di introduzione di un nuovo sub-responsabile o di sostituzione di uno esistente, MiaChiesa darà preavviso alle Parrocchie/UP con almeno 30 (trenta) giorni di anticipo tramite aggiornamento della presente pagina e, ove disponibile, tramite comunicazione all'interno della piattaforma.
Ai sensi dell'art. 28, par. 2, GDPR, la Parrocchia/UP (Titolare) può opporsi per iscritto all'introduzione di un nuovo sub-responsabile entro il termine di preavviso. In caso di opposizione fondata su motivi di tutela dei dati, le parti negozieranno in buona fede una soluzione alternativa; in assenza di accordo, la Parrocchia/UP potrà recedere dal contratto con effetto alla data di entrata in servizio del nuovo sub-responsabile, senza penali.
Per domande o chiarimenti relativi ai sub-responsabili o al Contratto di Nomina, scrivere a [email protected] o via PEC a [email protected].