Registro dei sub-responsabili
Ultimo aggiornamento: 23/02/2026
1. Finalità
Il presente documento identifica i sub-responsabili del trattamento terzi incaricati da GlobeID Limited (“GlobeID”) di trattare Dati Personali per conto dei Clienti in relazione ai servizi PassportScan Cloud, ai sensi dell’articolo 28(2) e 28(4) del GDPR.
Il presente Elenco dei Sub-responsabili costituisce parte integrante del Data Processing Agreement (DPA).
2. Principi Generali
- I sub-responsabili sono nominati esclusivamente ove strettamente necessari per la fornitura dei Servizi
- Tutti i sub-responsabili sono vincolati da accordi scritti in materia di protezione dei dati che impongono obblighi non meno rigorosi di quelli previsti nel DPA
- GlobeID rimane pienamente responsabile per gli atti e le omissioni dei propri sub-responsabili ai sensi dell’articolo 28(4) GDPR
- I database principali della piattaforma sono ospitati esclusivamente all’interno dell’Unione Europea (AWS eu-west-1 – Irlanda)
- Qualora sia abilitato lo storage regionale S3, le immagini dei documenti sono archiviate nella regione AWS corrispondente alla giurisdizione operativa dell’hotel
- Non è configurata alcuna replica cross-region dei database principali
- PassportScan non mantiene un Cardholder Data Environment (CDE)
3. Sub-responsabili Autorizzati (Tabella Unificata)
| Sub-responsabile | Categoria di Servizio | Finalità / Funzione | Categorie di Dati Trattati | Luogo del Trattamento |
|---|---|---|---|---|
| Amazon Web Services, Inc. (AWS) | Infrastruttura Cloud & Hosting | Hosting dei servizi applicativi, database, storage oggetti cifrato (S3), backup, sicurezza infrastrutturale | Dati identificativi, dati di prenotazione, log, immagini di documenti (ove abilitato) | Core: UE (Irlanda – eu-west-1). S3: Regione allineata alla giurisdizione dell’hotel (può includere regioni extra-SEE) |
| Clerk, Inc. | Identità & Autenticazione | Autenticazione utenti, verifica dell’identità, gestione del ciclo di vita delle sessioni | Indirizzo email, indirizzo IP, metadati del dispositivo, token di sessione | Come indicato nella documentazione Clerk |
| Datadog, Inc. | Logging & Monitoraggio | Monitoraggio dell’infrastruttura, performance applicative, logging di sicurezza, rilevazione anomalie | Metadati dei log, indirizzi IP, eventi di autenticazione, dati diagnostici tecnici | Come indicato nella documentazione Datadog |
| Google LLC (Google Workspace) | Produttività Aziendale & Comunicazione | Comunicazioni aziendali interne, email, gestione documentale | Dati di contatto aziendali, comunicazioni operative limitate | Come indicato da Google |
| Stripe, Inc. | Elaborazione Pagamenti | Acquisto crediti e attivazione account | Trattati da Stripe: dati della carta di pagamento, dati di fatturazione, identificativi di transazione. Ricevuti da PassportScan: ID transazione, stato pagamento, importo, valuta, email di fatturazione (se fornita) |
Come indicato nella documentazione Stripe |
4. Esclusioni Esplicite
- Nessun sub-responsabile ha accesso ai dati dei documenti di identità in forma decifrata
- PassportScan non memorizza né tratta numeri di carta, codici CVV o date di scadenza
- Stripe tratta i dati dei titolari di carta all’interno della propria infrastruttura conforme PCI-DSS
- Non è attiva alcuna replica cross-region dei database di produzione principali
5. Trasferimenti Internazionali di Dati
Qualora i sub-responsabili trattino dati al di fuori dello Spazio Economico Europeo (SEE),
GlobeID garantisce l’adozione di adeguate garanzie, incluse le Clausole Contrattuali Standard (SCC)
o altri meccanismi di trasferimento leciti ai sensi del Capitolo V del GDPR.
Per lo storage regionale S3 al di fuori del SEE, i trasferimenti si basano sul Data Processing Addendum di AWS e sulle SCC applicabili.
6. Aggiornamenti e Notifiche
GlobeID può aggiornare periodicamente il presente Elenco dei Sub-responsabili.
I Clienti saranno informati in merito a nuovi sub-responsabili mediante la pubblicazione
di una versione aggiornata del Registro dei Sub-responsabili.
Ove richiesto dalla normativa applicabile o dal DPA, i Clienti potranno opporsi secondo
la procedura contrattuale prevista nel DPA.
La versione più recente del presente documento sarà sempre pubblicata con la data di aggiornamento.
