Ultimo aggiornamento: 11 maggio 2026 | Ai sensi dell'art. 28 par. 4 del Reg. UE 2016/679 (GDPR)
Questa pagina elenca tutti i Sub-processor (Responsabili del Trattamento secondari) di cui ARCANO ZERO – AI LAB SRL si avvale per l'erogazione del Servizio StartApp, ai sensi dell'art. 28 par. 4 GDPR. Ogni Sub-processor è vincolato da un Data Processing Agreement che impone gli stessi obblighi di protezione dati del contratto principale tra Titolare e Utente.
Notifica di nuovi Sub-processor: il Titolare comunicherà l'aggiunta di nuovi Sub-processor tramite aggiornamento di questa pagina con almeno 15 giorni di preavviso. Gli Utenti che desiderano opporsi a un nuovo Sub-processor possono contattare admin@arcanozero.com entro il periodo di preavviso.
Sub-processor Attivi
Supabase
- Entità giuridica
- Supabase Inc. (USA, infrastruttura EU)
- Finalità del trattamento
- Database PostgreSQL, autenticazione, storage file utente, Row Level Security
- Categorie di dati
- Tutti i dati di profilo, progetto, documenti generati, file caricati
- Ubicazione
- EU (Frankfurt, Germany) — su AWS
- Garanzia trasferimento
- Dati al riposo in UE; ToS Supabase + SCC UE per eventuale supporto USA
- DPA
- https://supabase.com/legal/dpa
- Privacy Policy
- https://supabase.com/privacy
Vercel
- Entità giuridica
- Vercel Inc. (USA)
- Finalità del trattamento
- Hosting frontend Next.js, edge delivery, CDN, server-side rendering, DDoS protection
- Categorie di dati
- IP address visitatori, user-agent, log di richieste HTTP, telemetria minimale
- Ubicazione
- USA + edge nodes globali
- Garanzia trasferimento
- SCC UE (Modulo 2 — Controller to Processor) ex DPA Vercel
- DPA
- https://vercel.com/legal/dpa
- Privacy Policy
- https://vercel.com/legal/privacy-policy
Anthropic
- Entità giuridica
- Anthropic, PBC (USA)
- Finalità del trattamento
- Elaborazione AI tramite Claude API: generazione documenti, consultant chat, estrazione dati da file, assist field, calcolo TAM
- Categorie di dati
- Contenuto dei prompt LLM: dati anagrafici founder, dati aziendali, dati finanziari, descrizioni progetto, file caricati (quando processati per estrazione)
- Ubicazione
- USA (con sub-processor cloud globali — vedi link)
- Garanzia trasferimento
- SCC UE incorporate nel Data Processing Addendum Anthropic (effettivo 24 Feb 2025), parte dei Commercial Terms of Service accettati dal Titolare. Anthropic NON usa i dati per addestramento (clausola contrattuale).
- DPA
- https://www.anthropic.com/legal/data-processing-addendum
- Privacy Policy
- https://www.anthropic.com/privacy
- Sub-processor a cascata
- https://www.anthropic.com/subprocessors
Stripe
- Entità giuridica
- Stripe Payments Europe Ltd. (Ireland) + Stripe Inc. (USA)
- Finalità del trattamento
- Elaborazione pagamenti, gestione abbonamenti, fatturazione, fraud detection
- Categorie di dati
- Email cliente, nome/ragione sociale, indirizzo fatturazione, importo transazione. Numero carta e CVC NON transitano dai server StartApp (tokenizzazione Stripe Elements lato client).
- Ubicazione
- EU (Ireland) primaria; USA per fraud detection
- Garanzia trasferimento
- SCC UE + certificazione PCI-DSS Level 1 ex DPA Stripe (auto-incluso nei Stripe Services Agreement)
- DPA
- https://stripe.com/legal/dpa
- Privacy Policy
- https://stripe.com/privacy
Catena di Notifica Data Breach
In caso di violazione presso un Sub-processor, le tempistiche di notifica sono le seguenti:
- Sub-processor → Titolare: entro 48 ore dalla scoperta della violazione (clausola DPA)
- Titolare → Garante per la protezione dei dati personali: entro 72 ore dalla notifica del Sub-processor (art. 33 GDPR)
- Titolare → Utenti interessati: senza ingiustificato ritardo, quando la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche (art. 34 GDPR)
Audit Rights
Gli Utenti con esigenze di audit più approfondite (es. clienti enterprise, controller con requisiti SOC 2 / ISO 27001 / regulatory) possono richiedere copia dei DPA sottoscritti, evidenze delle SCC, e (ove disponibili) report di certificazione dei singoli Sub-processor contattando admin@arcanozero.com.
Contatti
Titolare del Trattamento:
ARCANO ZERO – AI LAB SRL
Via Alessandro Torlonia n. 16, 00161 Roma (RM)
P.IVA / C.F.: 18432281006
Email DPO: admin@arcanozero.com
PEC: arcanozero@legalmail.it