Versione: 1.1
Data: 16/06/2026
Premessa
Il presente elenco integra l'Informativa privacy e l'Accordo sul trattamento dei dati (DPA) tra Traction Group S.r.l. («Responsabile») e i propri Clienti («Titolari»). Indica i fornitori terzi (sub-responsabili o titolari autonomi, a seconda dei casi) di cui Traction Group si avvale per erogare il Servizio AISA.
I dati sono ospitati e conservati nell'Unione Europea (server Cloud.it, Italia). I trasferimenti verso fornitori extra-SEE sono assistiti dalle garanzie richieste dal Capo V GDPR — Clausole Contrattuali Standard (SCC) e/o adesione al Data Privacy Framework UE-USA — e ciascun fornitore è vincolato da un accordo sul trattamento dei dati (DPA).
Fornitori attivi per il servizio base
Fornitori di cui Traction Group si avvale per erogare le funzionalità standard del Servizio AISA.
| Fornitore | Finalità / Servizio | Ruolo privacy | Categorie di dati | Ubicazione | Trasferimento extra-UE |
|---|---|---|---|---|---|
| OpenAI API | Elaborazione dei contenuti delle conversazioni tramite modelli di IA per generare le risposte dell'assistant | Sub-responsabile | Contenuti delle conversazioni (possono includere dati personali inseriti dagli utenti finali) | USA | SCC. Dati non usati per addestramento; conservazione limitata (fino a 30 gg) per sola sicurezza/abuso, poi cancellati |
| Google Gemini API | Supporto alla generazione automatica della prima configurazione dell'assistant durante l'onboarding | Sub-responsabile | Nome, email, azienda, telefono, sito web | USA | SCC e/o DPF. Piano a pagamento: dati non usati per addestramento |
| Google Sheets | Foglio di calcolo transitorio per i dati di onboarding/lead (in via transitoria) | Sub-responsabile | Nome, email, azienda, telefono, sito web | USA | SCC e/o DPF |
| Stripe | Gestione di pagamenti e fatturazione | Titolare autonomo per parte dei trattamenti | Nome, email, indirizzo, telefono, P. IVA/Codice Fiscale, dati dell'abbonamento | USA | SCC e/o DPF |
| Meta — Ads / Lead Ads | Campagne pubblicitarie e acquisizione lead | Da qualificare separatamente rispetto alla messaggistica WhatsApp | Dati forniti dall'utente tramite form, identificativi campagna, metadata pubblicitari | USA | SCC |
| Zapier | Automazione/integrazione dei flussi di acquisizione lead dalle campagne | Sub-responsabile | Nome, email, azienda, telefono, sito web | USA | SCC |
| Infobip | Invio di email e messaggi (es. notifiche, comunicazioni) verso i Clienti | Sub-responsabile | Email, numero di telefono, contenuti delle comunicazioni | UE | Nessuno (dati nell'UE) |
| MailerSend | Invio di email transazionali e comunicazioni | Sub-responsabile | Email, nome, contenuti delle comunicazioni | Entità USA; hosting dati nell'UE (Belgio) | Data Privacy Framework UE-USA + DPA |
| Cloud.it | Hosting dell'infrastruttura e conservazione dei dati a riposo | Sub-responsabile | Tutti i dati trattati (a riposo) | UE (Italia) | Nessuno (dati nell'UE) |
Fornitori attivi solo se il Cliente abilita funzionalità opzionali
Fornitori coinvolti unicamente quando il Cliente attiva specifiche funzionalità aggiuntive.
| Fornitore | Finalità / Servizio | Ruolo privacy | Categorie di dati | Ubicazione | Trasferimento extra-UE |
|---|---|---|---|---|---|
| Meta — WhatsApp Business Platform | Canale di messaggistica WhatsApp, solo se attivato dal Cliente | Da qualificare secondo la configurazione contrattuale e tecnica | Numero di telefono, contenuto dei messaggi, metadata tecnici della conversazione | USA | SCC |
Fornitori o canali futuri / non ancora attivi
Canali e fornitori non ancora attivi: saranno aggiunti all'elenco con le relative garanzie prima dell'attivazione.
| Fornitore / Canale | Finalità / Servizio | Ruolo privacy | Stato |
|---|---|---|---|
| Meta — Messenger / Instagram | Canali di messaggistica aggiuntivi | Da qualificare all'attivazione | Non ancora attivo |
| Telegram, Slack, Microsoft Teams | Canali di messaggistica aggiuntivi | Da qualificare all'attivazione | Non ancora attivo |
Componenti non considerati sub-responsabili
I seguenti componenti software sono self-hosted all'interno dell'infrastruttura di Traction Group (server Cloud.it, UE), non comportano comunicazione di dati a terzi e pertanto non costituiscono sub-responsabili: autenticazione (SuperTokens), motore di ricerca (Typesense), orchestratore di automazioni (n8n), CRM interno (Autocust), database (PostgreSQL), cache (Redis) e il crawler dei contenuti. Eventuali comunicazioni verso terzi avvengono unicamente attraverso i fornitori elencati nella tabella.
Modifiche e notifica (art. 28(2) GDPR)
Traction Group può aggiungere o sostituire sub-responsabili per esigenze del Servizio. In tal caso informerà i Clienti (Titolari) con ragionevole preavviso, di norma almeno 15 giorni prima dell'attivazione del nuovo sub-responsabile, tramite email all'amministratore dell'account e aggiornamento della presente pagina con data e numero di versione aggiornati. Il Cliente può opporsi a un nuovo sub-responsabile per motivi ragionevoli e documentati di protezione dei dati, secondo quanto previsto dal DPA.
Cronologia versioni
- 1.1 (16/06/2026) — Aggiunta colonna «Ruolo privacy»; separazione tra fornitori attivi, opzionali e futuri; righe distinte per Meta WhatsApp e Meta Ads/Lead Ads; nomi dei servizi più precisi; preavviso di 15 giorni per nuovi sub-responsabili.
- 1.0 (16/06/2026) — Prima pubblicazione dell'elenco.
Per domande o per esercitare i tuoi diritti: [email protected] o via PEC [email protected].