Lista Sub-Responsabili del Trattamento — MerlinOptima
Ultimo aggiornamento: 2026-05-31
Versione: 1.4
Il presente documento elenca i soggetti terzi che trattano dati personali per conto di MerlinOptima in qualità di sub-responsabili del trattamento ai sensi dell'art. 28 GDPR. Per ciascun fornitore sono indicati il ruolo svolto, le categorie di dati ricevuti, la sede di trattamento, lo stato del Data Processing Agreement (DPA) e il meccanismo di trasferimento applicabile qualora i dati escano dallo Spazio Economico Europeo.
| Nome | Ruolo | Dati ricevuti | Sede | DPA | Meccanismo di trasferimento | Note |
|---|---|---|---|---|---|---|
| OpenRouter | Gateway API verso modelli AI | CV con PII rimossa (esperienze, formazione, competenze, progetti, certificazioni) + descrizione annuncio di lavoro + transcript intervista guidata onboarding (testi forniti dall'utente sulle proprie esperienze, PII rimossa) | Stati Uniti | Incorporato per riferimento nei ToS §10.2 (applicabile all'uso commerciale; non richiede firma separata, Art. 28(9)) | SCCs (incluse nel DPA dei ToS) | Inoltra le richieste a Google e Anthropic; header X-OR-Training: false + Zero Data Retention attivo per Google e Anthropic (routing solo verso endpoint no-retention) |
| Google (Gemini via OpenRouter) | Elaborazione AI del CV, della lettera di presentazione e dell'intervista guidata di onboarding | Come sopra | Stati Uniti | DPA via catena OpenRouter; Google Cloud DPA (Vertex) | DPF (Google Cloud è certificato Data Privacy Framework) | ZDR attivo → routing forzato su endpoint Vertex (no conservazione), AI Studio disabilitati. Gemini 3 Flash accessibile esclusivamente tramite OpenRouter (pinnato per l'intervista guidata) |
| Anthropic (Claude via OpenRouter) | Elaborazione AI per la preparazione al colloquio (/api/interview-prep) | CV/profilo + descrizione annuncio (PII rimossa ove applicabile) | Stati Uniti | DPA via catena OpenRouter | SCCs | ZDR attivo → routing su Bedrock/Vertex (no conservazione), endpoint first-party Anthropic disabilitati. Claude Sonnet accessibile esclusivamente tramite OpenRouter (pinnato in /api/interview-prep) |
| Mistral AI (Ministral via OpenRouter) | Parsing di annunci di lavoro | Descrizione annuncio (massimo 3000 caratteri) | Unione Europea (Francia) | DPA via catena OpenRouter | N/A (trattamento intra-UE) | Utilizzato esclusivamente per il parsing del testo dell'annuncio |
| PostHog | Analytics di prodotto | ID utente pseudonimizzato, eventi di utilizzo, email e nome su identify | Unione Europea (Francoforte, eu.i.posthog.com) | Da firmare (click-through disponibile su https://posthog.com/dpa) | N/A (trattamento intra-UE) | Opt-out di default; attivato solo previo consenso esplicito |
| Vercel | Hosting applicazione e Blob storage | Tutti i dati in transito verso il backend + foto profilo su Blob | Edge EU/US | Da accettare (https://vercel.com/legal/dpa) | SCCs | Le foto profilo vengono eliminate alla cancellazione dell'account |
| Neon | Database PostgreSQL gestito | Tutti i dati persistenti dell'applicazione | Region da verificare nella configurazione del progetto | Da richiedere | SCCs (o N/A se confermata region EU) | Point-in-Time Recovery fino a 7 giorni |
| Google OAuth | Autenticazione social login | Email, nome, immagine profilo, token OAuth | Stati Uniti | DPA Google | DPF | Utilizzato solo se l'utente sceglie l'accesso con Google |
| GitHub OAuth | Autenticazione social login | Email, username, token OAuth | Stati Uniti | DPA GitHub | DPF (Microsoft) | Utilizzato solo se l'utente sceglie l'accesso con GitHub |
| Resend | Email transazionali (quando attivo) | Indirizzo email del destinatario, nome, contenuto del messaggio | Stati Uniti | Da richiedere | SCCs | Servizio non ancora attivo in produzione |
| Stripe | Gestione pagamenti (a lancio commerciale) | Customer ID, dati di fatturazione | Stati Uniti | Auto-accettato tramite termini Stripe | DPF | Attivo solo con il lancio commerciale del servizio |
| Sentry (Functional Software EU GmbH) | Error monitoring e performance tracing applicativo | Stack trace, breadcrumb tecnici, route HTTP, userId pseudonimo. Scrubber PII attivo lato server (email/telefono redatti prima dell'invio) | Unione Europea (Francoforte, de.sentry.io) | Da firmare (https://sentry.io/legal/dpa/) | N/A (trattamento intra-UE) | Configurato in sentry.client.config.ts e instrumentation.ts; init solo se NEXT_PUBLIC_SENTRY_DSN presente |
| Upstash | Rate limiting e cache tecnica (Redis serverless) | userId pseudonimo, indirizzo IP, hash dell'email (blocco anti-brute-force del login), dati di cache per-utente (tier, dashboard) | Da verificare nella configurazione del progetto (pinnare region UE) | Da firmare (https://upstash.com/trust/dpa) | SCCs (o N/A se confermata region UE) | Chiavi mo:rl:*, login:attempts:*, mo:cache:*. Vedi lib/rate-limit.ts e lib/cache.ts |
Modelli NON listati intenzionalmente: xAI/Grok è disponibile via OpenRouter ma è bloccato a livello applicativo (lib/ai-client.ts getModelConfigs throw se XAI_DISCLOSED!=='true'). Prima di abilitare xAI in produzione: aggiungere riga in questa tabella + aggiornare Privacy Policy §5 + settare XAI_DISCLOSED=true.
Questo elenco viene aggiornato ad ogni variazione dei sub-responsabili. Gli utenti registrati vengono informati delle modifiche sostanziali tramite email o avviso in-app, con preavviso ragionevole per esercitare i propri diritti.