Lista Sub-Responsabili del Trattamento — MerlinOptima
Ultimo aggiornamento: 2026-04-12
Versione: 1.0
Il presente documento elenca i soggetti terzi che trattano dati personali per conto di MerlinOptima in qualità di sub-responsabili del trattamento ai sensi dell'art. 28 GDPR. Per ciascun fornitore sono indicati il ruolo svolto, le categorie di dati ricevuti, la sede di trattamento, lo stato del Data Processing Agreement (DPA) e il meccanismo di trasferimento applicabile qualora i dati escano dallo Spazio Economico Europeo.
| Nome | Ruolo | Dati ricevuti | Sede | DPA | Meccanismo di trasferimento | Note |
|---|---|---|---|---|---|---|
| OpenRouter | Gateway API verso modelli AI | CV con PII rimossa (esperienze, formazione, competenze, progetti, certificazioni) + descrizione annuncio di lavoro | Stati Uniti | Da verificare/firmare | SCCs (da verificare) | Inoltra le richieste a Google e Anthropic; header X-OR-Training: false attivo |
| Google (Gemini via OpenRouter) | Elaborazione AI del CV e della lettera di presentazione | Come sopra | Stati Uniti | DPA via catena OpenRouter | DPF (Google Cloud è certificato Data Privacy Framework) | Modello Gemini 3 Flash accessibile esclusivamente tramite OpenRouter |
| Anthropic (Claude via OpenRouter) | Elaborazione AI del CV e della lettera di presentazione | Come sopra | Stati Uniti | DPA via catena OpenRouter | SCCs | Modello Claude Sonnet accessibile esclusivamente tramite OpenRouter |
| Mistral AI (Ministral via OpenRouter) | Parsing di annunci di lavoro | Descrizione annuncio (massimo 3000 caratteri) | Unione Europea (Francia) | DPA via catena OpenRouter | N/A (trattamento intra-UE) | Utilizzato esclusivamente per il parsing del testo dell'annuncio |
| PostHog | Analytics di prodotto | ID utente pseudonimizzato, eventi di utilizzo, email e nome su identify | Unione Europea (Francoforte, eu.i.posthog.com) | Da firmare (click-through disponibile su https://posthog.com/dpa) | N/A (trattamento intra-UE) | Opt-out di default; attivato solo previo consenso esplicito |
| Vercel | Hosting applicazione e Blob storage | Tutti i dati in transito verso il backend + foto profilo su Blob | Edge EU/US | Da accettare (https://vercel.com/legal/dpa) | SCCs | Le foto profilo vengono eliminate alla cancellazione dell'account |
| Neon | Database PostgreSQL gestito | Tutti i dati persistenti dell'applicazione | Region da verificare nella configurazione del progetto | Da richiedere | SCCs (o N/A se confermata region EU) | Point-in-Time Recovery fino a 7 giorni |
| Google OAuth | Autenticazione social login | Email, nome, immagine profilo, token OAuth | Stati Uniti | DPA Google | DPF | Utilizzato solo se l'utente sceglie l'accesso con Google |
| GitHub OAuth | Autenticazione social login | Email, username, token OAuth | Stati Uniti | DPA GitHub | DPF (Microsoft) | Utilizzato solo se l'utente sceglie l'accesso con GitHub |
| Resend | Email transazionali (quando attivo) | Indirizzo email del destinatario, nome, contenuto del messaggio | Stati Uniti | Da richiedere | SCCs | Servizio non ancora attivo in produzione |
| Stripe | Gestione pagamenti (a lancio commerciale) | Customer ID, dati di fatturazione | Stati Uniti | Auto-accettato tramite termini Stripe | DPF | Attivo solo con il lancio commerciale del servizio |
Questo elenco viene aggiornato ad ogni variazione dei sub-responsabili. Gli utenti registrati vengono informati delle modifiche sostanziali tramite email o avviso in-app, con preavviso ragionevole per esercitare i propri diritti.