Responsabili del trattamento (Processori)

Sub-processori del servizio sestosenso, ex art. 28 GDPR.

Ultimo aggiornamento: 6 giugno 2026

Premessa

Ai sensi dell'art. 28 del Regolamento (UE) 2016/679 («GDPR»), il Responsabile del trattamento è la persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento, sulla base di un atto giuridico vincolante (Data Processing Agreement, di seguito anche «DPA») che disciplina oggetto, durata, natura, finalità del trattamento, tipologia di dati e categorie di Interessati, oltre agli obblighi e ai diritti del Titolare.

sestosenso («Titolare») ha sottoscritto i Data Processing Agreement (DPA) con i Responsabili che li offrono in modalità click-through (cosiddetto «click-through») tramite le proprie piattaforme commerciali (Stripe, Resend, Vercel, Render, Supabase, Cloudflare); per gli ulteriori Responsabili eventualmente attivati in seguito, il Titolare provvede alla sottoscrizione del relativo DPA prima dell'attivazione produttiva del rapporto. Il Titolare conserva evidenza documentale di tale adesione.

Tabella 2 — Responsabili attivati su specifica funzionalità: il loro coinvolgimento dipende dalla scelta del Cliente di utilizzare le funzioni di import OCR del menu da immagini o PDF e di traduzione automatica delle voci del menu nelle lingue supportate, e si limita ai dati strettamente necessari a tali funzioni. In tali casi vengono comunicati ai Responsabili opt-in esclusivamente le immagini e/o gli estratti testuali dei menu del Cliente, e non vengono comunicati dati personali degli Interessati (clienti finali del ristorante o personale del Cliente).

L'elenco che segue è soggetto ad aggiornamento. Le modifiche sostanziali — quali l'aggiunta di un nuovo Responsabile con accesso a dati personali degli Interessati, o il mutamento del Paese di trattamento — vengono notificate ai Clienti via email almeno trenta (30) giorni prima dell'entrata in vigore, salvo i casi di sostituzione urgente per ragioni di sicurezza o di forza maggiore.

Tabella 1 — Responsabili attivi

Responsabile	Sede	Finalità	Dati comunicati	Base trasferimento	Stato
Stripe Payments Europe Ltd (gruppo Stripe Inc., USA)	Dublino, Irlanda	Gestione pagamenti, abbonamenti, fatturazione	Email, dati di fatturazione, importi, identificativi abbonamento	Intra-UE per l'entità irlandese; EU-US Data Privacy Framework (Decisione UE 2023/1795) e Clausole Contrattuali Standard 2021/914 in via sussidiaria per il gruppo USA	Attivo
Resend Inc.	Delaware, Stati Uniti d'America	Invio email transazionali e di marketing	Indirizzo email, nome, contenuto del messaggio	EU-US Data Privacy Framework (Decisione UE 2023/1795)	Attivo
Supabase Inc.	Francoforte, Germania (regione attiva del progetto); casa madre con sede in Delaware, Stati Uniti d'America	Storage delle immagini e dei contenuti multimediali dei menu	Esclusivamente i contenuti multimediali caricati (immagini dei menu); nessun dato strutturato del Servizio	Intra-UE per lo storage attivo a Francoforte; EU-US Data Privacy Framework (Decisione UE 2023/1795) e Clausole Contrattuali Standard 2021/914 invocabili in via sussidiaria per trattamenti residuali di supporto della casa madre statunitense	Attivo
Vercel Inc.	California, Stati Uniti d'America	Hosting del frontend, edge functions, CDN	Log tecnici (indirizzo IP, user-agent, timestamp), contenuti pubblici del menu	EU-US Data Privacy Framework (Decisione UE 2023/1795)	Attivo
Render Services Inc.	Francoforte, Germania (regione attiva del database e dei container del Servizio); casa madre con sede in California, Stati Uniti d'America	Hosting del backend e del database PostgreSQL principale del Servizio (Francoforte, Germania), esecuzione dei container applicativi	Tutti i dati strutturati del Servizio (dati di Account, dati di ristoranti e menu) e i dati personali degli Interessati eventualmente conservati nel database, oltre ai log applicativi e ai dati di sessione tecnica	Intra-UE per il database e i container attivi a Francoforte; EU-US Data Privacy Framework (Decisione UE 2023/1795) e Clausole Contrattuali Standard 2021/914 invocabili in via sussidiaria per trattamenti residuali di supporto della casa madre statunitense	Attivo
Cloudflare, Inc. (USA)	California, Stati Uniti d'America; lo storage di backup R2 è ubicato in giurisdizione UE	Backup cifrati offsite del database e delle immagini (object storage R2, giurisdizione UE)	Copie di backup cifrate dell'intero database e delle immagini; le chiavi di cifratura non sono nella disponibilità del Responsabile (cifratura lato client), che tratta quindi esclusivamente dati cifrati non leggibili	Bucket R2 in giurisdizione UE; in via sussidiaria, EU-US Data Privacy Framework (Decisione UE 2023/1795) e Clausole Contrattuali Standard 2021/914 per la casa madre statunitense. DPA sottoscritto: Cloudflare Customer DPA	Attivo
Bird B.V.	Amsterdam, Paesi Bassi	Invio di SMS transazionali per la verifica del numero di telefono (codice OTP) in fase di registrazione	Numero di telefono (formato E.164) e contenuto del messaggio (codice OTP)	Intra-UE: l'entità contraente ha sede ad Amsterdam (Paesi Bassi). Eventuali trasferimenti verso Paesi terzi lungo la catena di recapito dell'SMS (operatori telefonici e/o sub-responsabili o infrastrutture del fornitore) sono coperti dalle Clausole Contrattuali Standard UE (2021/914) ed eventuali meccanismi di adeguatezza applicabili (es. EU-U.S. Data Privacy Framework).	Attivo

Tabella 1-bis — Responsabili attivi su base di consenso (strumenti di marketing e misurazione delle conversioni)

I Responsabili indicati nella presente tabella sono attivi e operativi, ma il relativo trattamento è subordinato al consenso dell'Interessato (Visitatore) raccolto tramite il banner cookie. Gli strumenti di tracciamento (Meta Pixel + Conversions API; Google Ads gtag + Enhanced Conversions) si attivano esclusivamente dopo l'opt-in prestato dall'Interessato e unicamente sulle pagine di marketing e istituzionali del sito (es. landing page promozionali, pagine pubbliche di presentazione del Servizio). Tali strumenti non sono mai caricati sulle pagine del menu digitale fruite dai consumatori tramite scansione del codice QR (percorsi /{ristorante}): su tali pagine non opera alcun pixel o tag di terze parti, a prescindere dallo stato del consenso. La base giuridica del trattamento è il consenso dell'Interessato ai sensi dell'art. 6, par. 1, lett. a), del GDPR e dell'art. 122 del D.Lgs. 196/2003 (Codice Privacy); il consenso è revocabile in qualsiasi momento tramite il pannello di gestione delle preferenze del banner cookie.

Responsabile	Sede	Finalità	Dati comunicati	Base giuridica	Base trasferimento	Stato
Meta Platforms Ireland Ltd (gruppo Meta Platforms, Inc., USA)	Dublino, Irlanda	Meta Pixel e Conversions API (CAPI) per il remarketing su Facebook e Instagram e la misurazione delle conversioni delle campagne pubblicitarie. Attivi solo dopo il consenso e solo sulle pagine di marketing/istituzionali; mai sulle pagine del menu digitale dei consumatori.	Identificativi del visitatore e cookie (es. `_fbp`, `fbclid`), eventi di navigazione e di conversione, indirizzo IP e user-agent. Per la Conversions API, ove disponibili e previo consenso, dati di contatto in forma sottoposta ad hashing (email e/o numero di telefono cifrati con SHA-256 lato server) ai fini della corrispondenza degli eventi.	Consenso (art. 6, par. 1, lett. a), GDPR; art. 122 Codice Privacy)	Intra-UE per l'entità irlandese; EU-US Data Privacy Framework (Decisione UE 2023/1795) e Clausole Contrattuali Standard 2021/914 in via sussidiaria per il gruppo statunitense	Attivo (su consenso)
Google Ireland Ltd (gruppo Google LLC / Alphabet Inc., USA)	Dublino, Irlanda	Google Ads gtag ed Enhanced Conversions per la misurazione delle conversioni pubblicitarie e il remarketing. Attivi solo dopo il consenso e solo sulle pagine di marketing/istituzionali; mai sulle pagine del menu digitale dei consumatori.	Identificativi del visitatore e cookie (es. `_gcl`, `gclid`), eventi di navigazione e di conversione, indirizzo IP e user-agent. Per le Enhanced Conversions, ove disponibili e previo consenso, dati di contatto in forma sottoposta ad hashing (email e/o numero di telefono cifrati con SHA-256 lato server) ai fini della corrispondenza delle conversioni.	Consenso (art. 6, par. 1, lett. a), GDPR; art. 122 Codice Privacy)	Intra-UE per l'entità irlandese; EU-US Data Privacy Framework (Decisione UE 2023/1795) e Clausole Contrattuali Standard 2021/914 in via sussidiaria per il gruppo statunitense	Attivo (su consenso)

Tabella 2 — Responsabili opt-in (attivati solo a fronte della specifica scelta del Cliente di utilizzare le funzioni di import OCR del menu o di traduzione automatica delle voci del menu)

Responsabile	Sede	Finalità	Dati comunicati	Base trasferimento	Stato
Lambda Labs Inc.	California, Stati Uniti d'America	Inferenza su GPU per riconoscimento di testo da immagini	Immagini del menu del Cliente (prive di dati personali degli Interessati)	EU-US Data Privacy Framework (Decisione UE 2023/1795)	Opt-in
OpenAI Ireland Ltd / OpenAI, L.L.C.	Dublino, Irlanda / Delaware, Stati Uniti d'America	Modelli linguistici di grandi dimensioni (LLM) per il riconoscimento e la classificazione delle voci di menu	Estratti testuali dei menu del Cliente	Intra-UE per l'entità irlandese; EU-US Data Privacy Framework e Clausole Contrattuali Standard 2021/914 in via sussidiaria per l'entità statunitense	Opt-in
xAI Corp	California, Stati Uniti d'America	Modelli linguistici per la strutturazione automatica del menu in fase di import OCR e per la traduzione automatica delle voci del menu nelle lingue supportate.	Estratti testuali dei menu del Cliente	EU-US Data Privacy Framework (Decisione UE 2023/1795)	Opt-in

Tabella 3 — Responsabili pianificati (non attivi alla data di pubblicazione, dichiarati per trasparenza)

Responsabile	Sede	Finalità prevista	Stato
PostHog Inc.	Delaware, Stati Uniti d'America	Analytics di prodotto e test A/B sul comportamento degli utenti del Servizio	Pianificato

Disclaimer: l'elenco dei Responsabili pianificati ha valore esclusivamente informativo e descrive scenari di evoluzione del Servizio. I sub-processori specifici indicati possono essere sostituiti, integrati o rimossi senza preavviso individuale, in funzione delle scelte tecniche e commerciali del Titolare. Qualora la presente sezione venga aggiornata per riflettere l'attivazione effettiva di tali Responsabili, ovvero per qualsiasi modifica sostanziale, il Titolare provvederà a notificare i Clienti via email all'indirizzo associato al rispettivo Account, con almeno trenta (30) giorni di anticipo rispetto all'entrata in vigore delle modifiche.

Note conclusive

I Responsabili indicati nella Tabella 3 non sono allo stato in alcun modo coinvolti nel trattamento dei dati personali; verranno attivati esclusivamente all'esito di un aggiornamento della Cookie Policy e dell'Informativa Privacy e, ove pertinente, della raccolta del consenso degli Interessati ai sensi dell'art. 7 GDPR e dell'art. 122 del D.Lgs. 196/2003 (Codice Privacy). All'attivazione, la presente pagina sarà aggiornata e i relativi Responsabili saranno migrati nella Tabella 1.

In tutti i casi in cui un Responsabile sia stabilito al di fuori dello Spazio Economico Europeo (SEE), il trasferimento dei dati avviene esclusivamente sulla base di garanzie adeguate ai sensi del Capo V GDPR — segnatamente: (i) decisioni di adeguatezza adottate dalla Commissione Europea, tra cui in particolare la Decisione UE 2023/1795 relativa all'EU-US Data Privacy Framework, e (ii) Clausole Contrattuali Standard adottate con Decisione UE 2021/914, in sussidiaria o in combinazione con misure tecniche e organizzative supplementari.

L'Interessato che desideri ricevere copia delle garanzie adottate per i trasferimenti extra-UE può formulare richiesta scritta ai recapiti indicati nell'Informativa Privacy.