Responsabili e sub-responsabili del trattamento
Fornitori di servizi terzi che trattano dati per nostro conto
Versione 1.1 · Ultimo aggiornamento: 26 aprile 2026
Versione giuridicamente vincolante
La versione tedesca del presente documento è giuridicamente vincolante. Le traduzioni in altre lingue sono fornite unicamente per comodità; in caso di conflitto o discrepanza prevale la versione tedesca.
Ai sensi dell’articolo 28 del GDPR e della Legge federale svizzera sulla protezione dei dati (LPD), rendiamo noti i fornitori terzi di cui CHW-Services si avvale per erogare il servizio preparAItor. Ogni fornitore è stato selezionato con cura ed è vincolato da un contratto di trattamento dei dati conforme ai nostri standard di sicurezza e conformità.
Questo elenco comprende sia responsabili del trattamento (quando agiamo come titolare per gli utenti finali) sia sub-responsabili del trattamento (quando agiamo come responsabile per clienti business con un accordo per il trattamento dei dati). Gli obblighi previsti dall’art. 28 GDPR e dall’art. 9 LPD si applicano in modo analogo in entrambi i casi.
Comunicheremo ai clienti le modifiche rilevanti di questo elenco (aggiunte, sostituzioni o modifiche significative dell’ambito) almeno 30 giorni prima della loro efficacia. I clienti business con un accordo per il trattamento dei dati (DPA) possono opporsi ai nuovi sub-responsabili durante il periodo di preavviso contattando admin@preparaitor.ch.
| Sub-responsabile | Finalità | Categorie di dati | Ubicazione |
|---|---|---|---|
| Google LLC (Firebase) | Autenticazione, database (Firestore), archiviazione di file, App Check | Dati dell’account, contenuto del CV, documenti generati, dati di utilizzo | europe-west6 (Zurigo, Svizzera) |
| Google LLC (Vertex AI / Gemini) | Generazione di documenti tramite IA, analisi dei contenuti, grounding web per l’arricchimento aziendale, simulazione di colloqui (incluso il trattamento transitorio di dati audio durante le sessioni di colloquio vocale; le registrazioni vocali non vengono conservate, solo le trascrizioni cifrate). Google non utilizza i dati dei clienti per addestrare i propri modelli. | Contenuto del CV, offerte di lavoro, dati aziendali, audio del colloquio (transitorio) e trascrizioni | europe-west3 (Francoforte, Germania) |
| Google LLC (Cloud KMS) | Gestione delle chiavi di crittografia per la crittografia a livello di campo dei dati sensibili | Solo chiavi di crittografia (nessun dato personale) | europe-west6 (Zurigo, Svizzera) |
| Google LLC (Cloud Run) | Generazione di documenti PDF/DOCX ed elaborazioni onerose | Contenuti dei documenti durante la generazione | europe-west6 (Zurigo, Svizzera) |
| Google LLC (reCAPTCHA Enterprise) | Rilevamento di bot e prevenzione delle frodi tramite Firebase App Check su ogni richiesta API | Indirizzo IP, fingerprint del dispositivo, segnali di interazione | Infrastruttura globale — garanzie di trasferimento: DPA di Google Cloud con SCC |
| Stripe, Inc. | Elaborazione dei pagamenti, gestione degli abbonamenti, portale clienti, gestione dei webhook | Dati di pagamento, indirizzo di fatturazione, ID cliente, metadati delle transazioni | Data center europei (primari), con fallback negli Stati Uniti |
| Brevo SAS (ex Sendinblue) | Invio di e-mail transazionali (conferma account, reimpostazione della password, notifiche di fatturazione, notifiche sui documenti pronti) | Indirizzo e-mail, nome visualizzato, contenuto dell’e-mail | Unione Europea (Francia) |
| Microsoft Corporation | Sincronizzazione dei file su OneDrive (facoltativa, solo se l’utente collega esplicitamente il proprio account OneDrive) | Documenti generati, token OAuth (crittografati) | Data center europei (primari) |
| Google LLC (Google Drive) | Sincronizzazione dei file su Google Drive (facoltativa, solo se l’utente collega esplicitamente il proprio account Google) | Documenti generati, token OAuth (crittografati) | Regione del Google Drive dell’utente — garanzie di trasferimento: DPA di Google Cloud con SCC |
Garanzie di trasferimento
- • Clausole contrattuali tipo (SCC) stipulate con tutti i fornitori, ove applicabile
- • Accordi sul trattamento dei dati (DPA) in essere con ogni fornitore
- • Crittografia in transito (HTTPS/TLS) e a riposo
- • Crittografia a livello di campo tramite Google Cloud KMS per i dati personali sensibili
- • Localizzazione dei dati nei data center europei ove tecnicamente fattibile
- • Audit periodici di sicurezza e conformità
- • Transfer Impact Assessment (TIA) per tutti i flussi transfrontalieri secondo i requisiti Schrems II
- • Nessun servizio terzo di analisi o telemetria in uso (nessun Google Analytics, nessun SDK di tracciamento errori, nessun pixel marketing)
- • Conformità alla LPD svizzera e al GDPR dell’UE
Cronologia delle modifiche
- 26 aprile 2026—Versione 1.1 — Chiarito il ruolo titolare vs. responsabile del trattamento. Specificato che i dati audio dei colloqui vocali sono trattati in modo transitorio da Vertex AI e non vengono conservati. Aggiunta dichiarazione esplicita che non vengono utilizzati servizi di analisi o telemetria.
- 10 aprile 2026—Versione 1.0 — Pubblicazione iniziale.
Per domande sui nostri responsabili e sub-responsabili, per richiedere un DPA o per opporsi alle modifiche, contattaci all’indirizzo admin@preparaitor.ch.
Vedi anche: Politica sulla privacy · Termini di servizio