ELENCO SUB-PROCESSOR
Fornitori terzi che trattano Dati Personali per conto di Nagevo
Nagevo
Ultimo aggiornamento: 14 maggio 2026
1. Premessa
Nel rispetto degli obblighi di trasparenza imposti dall'art. 28 del Regolamento (UE) 2016/679 (GDPR) e dall'art. 9 della Legge federale svizzera sulla protezione dei dati (nLPD), Nagevo pubblica l'elenco aggiornato dei Sub-processor utilizzati per l'erogazione del Servizio.
I Sub-processor sono fornitori terzi che trattano Dati Personali per conto di Nagevo e, indirettamente, del Cliente (l'Hotel), in qualità di Responsabili del trattamento di secondo livello. Per il quadro contrattuale di riferimento si rimanda al Data Processing Agreement (DPA) disponibile su nagevo.com/dpa.
Al momento della sottoscrizione del DPA, il Cliente conferisce a Nagevo un'autorizzazione generale all'utilizzo dei Sub-processor elencati nel presente documento e alla loro sostituzione o integrazione. Nagevo si impegna a notificare al Cliente ogni modifica sostanziale all'elenco con almeno 30 giorni di preavviso, tramite email o avviso nel pannello di controllo, riconoscendo al Cliente il diritto di opposizione motivata.
2. Classificazione dei Sub-processor
I Sub-processor di Nagevo sono raggruppati nelle seguenti categorie funzionali:
- Infrastruttura e sviluppo: fornitori di hosting, database, CDN, storage e strumenti di sviluppo necessari al funzionamento del Servizio.
- Pagamenti: elaboratori di pagamenti che gestiscono il flusso denaro Cliente→Nagevo e Ospite→Hotel.
- Comunicazioni: fornitori di servizi email transazionali e di posta elettronica aziendale.
- Analytics: strumenti di analisi dell'utilizzo del Servizio e del sito (solo con consenso dell'utente).
- Marketing e pubblicità: piattaforme utilizzate per campagne pubblicitarie e retargeting (solo previo consenso dell'utente).
3. Elenco riepilogativo
Segue una vista d'insieme di tutti i Sub-processor attualmente in uso. Il dettaglio completo per ciascun fornitore è nella sezione successiva.
| Fornitore | Finalità | Categoria | Sede |
|---|---|---|---|
| Supabase | Database, autenticazione, storage | Infrastruttura | USA / UE |
| Vercel | Hosting applicazione web | Infrastruttura | Globale |
| Cloudflare | CDN, R2 object storage, sicurezza | Infrastruttura | Globale |
| Stripe | Elaborazione pagamenti, Connect | Pagamenti | Irlanda / USA |
| Resend | Email transazionali | Comunicazioni | USA |
| Google Workspace | Email aziendale e comunicazioni business | Comunicazioni | Irlanda / USA |
| Google Analytics 4 | Analisi del traffico web (browser + server-side) | Analytics | Irlanda / USA |
| Meta (Facebook/Instagram) | Pixel pubblicitario + Conversions API, retargeting | Marketing | Irlanda / USA |
4. Dettaglio dei Sub-processor
Infrastruttura e sviluppo
4.1 Supabase
| Fornitore | Supabase |
| Entità legale | Supabase Inc. |
| Finalità del trattamento | Database gestionale (PostgreSQL), autenticazione utenti, storage immagini hotel e camere, Row Level Security per multi-tenancy. |
| Categorie di dati trattati | Tutti i Dati Personali inseriti nel gestionale: anagrafiche ospiti, prenotazioni, camere, tariffe, dati di fatturazione, credenziali utente (password hashate). |
| Ubicazione del trattamento | USA (server principali), con possibilità di selezione regione UE (Francoforte) per nuovi progetti. |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea; Data Processing Addendum pubblicato da Supabase; conformità dichiarata a GDPR, SOC 2 Type II, HIPAA. |
| Privacy Policy del fornitore | supabase.com/privacy |
| Certificazioni di sicurezza | SOC 2 Type II, HIPAA (Supabase Team Plan), ISO 27001 in corso di certificazione. |
4.2 Vercel
| Fornitore | Vercel |
| Entità legale | Vercel Inc. |
| Finalità del trattamento | Hosting dell'applicazione web Nagevo, serverless functions per API, edge network globale, gestione dominio, variabili d'ambiente, Vercel Web Analytics e Speed Insights. |
| Categorie di dati trattati | Dati di accesso al servizio (log di connessione, indirizzi IP), contenuti trasmessi tramite le funzioni serverless (tra cui le chiamate API che veicolano Dati Personali), metriche aggregate di performance. |
| Ubicazione del trattamento | Infrastruttura edge globale con server in più regioni (UE, USA, Asia). |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea; Data Processing Addendum pubblicato da Vercel; conformità dichiarata a GDPR. |
| Privacy Policy del fornitore | vercel.com/legal/privacy-policy |
| Certificazioni di sicurezza | SOC 2 Type II, ISO 27001, PCI DSS. |
4.3 Cloudflare
| Fornitore | Cloudflare |
| Entità legale | Cloudflare Inc. |
| Finalità del trattamento | Content Delivery Network (CDN) per distribuzione asset statici, R2 object storage per file immagine caricati dagli hotel, protezione DDoS, WAF (Web Application Firewall). |
| Categorie di dati trattati | Metadati di connessione (IP, user agent), file caricati tramite il Servizio, dati di navigazione al solo scopo di sicurezza e performance. |
| Ubicazione del trattamento | Edge network globale con oltre 300 data center. |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC); Data Processing Addendum pubblicato da Cloudflare; conformità dichiarata a GDPR e nLPD. |
| Privacy Policy del fornitore | cloudflare.com/privacypolicy/ |
| Certificazioni di sicurezza | SOC 2 Type II, ISO 27001, ISO 27018, PCI DSS, FedRAMP. |
Pagamenti
4.4 Stripe
| Fornitore | Stripe |
| Entità legale | Stripe Payments Europe Ltd. (controllata di Stripe Inc., USA). |
| Finalità del trattamento | Elaborazione pagamenti per l'abbonamento al Servizio (Cliente → Nagevo) e per le prenotazioni ospiti tramite Stripe Connect (Ospite → Hotel). Gestione metodi di pagamento, fatturazione, rimborsi, antifrode. |
| Categorie di dati trattati | Dati di pagamento (numero carta, scadenza, CVC) NON memorizzati da Nagevo ma gestiti direttamente da Stripe in ambiente PCI-DSS. Nagevo riceve solo token di pagamento e metadati (ultime 4 cifre, tipo carta, Paese). Dati di fatturazione del Cliente e dell'Ospite finale. |
| Ubicazione del trattamento | Irlanda (entità UE) con trasferimenti a Stripe Inc. (USA) per parte dell'elaborazione. |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC); certificazione PCI-DSS Level 1; Data Processing Agreement pubblicato da Stripe; conformità a GDPR, nLPD e normative finanziarie europee (PSD2). |
| Privacy Policy del fornitore | stripe.com/privacy |
| Certificazioni di sicurezza | PCI-DSS Level 1, SOC 1/2, ISO 27001, ISO 22301. |
Comunicazioni
4.5 Resend
| Fornitore | Resend |
| Entità legale | Resend Inc. |
| Finalità del trattamento | Invio di email transazionali: conferme prenotazione agli ospiti, promemoria, ricevute, reset password, notifiche di sistema al Cliente (es. pagamenti falliti). Le email sono inviate dal sender noreply@nagevo.com tramite il sottodominio dedicato send.nagevo.com. |
| Categorie di dati trattati | Indirizzi email del destinatario, nome, contenuto delle email inviate dal Servizio, metadati di consegna (recapito, apertura, click). |
| Ubicazione del trattamento | USA. |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC); Data Processing Agreement pubblicato da Resend; conformità dichiarata a GDPR. |
| Privacy Policy del fornitore | resend.com/legal/privacy-policy |
| Certificazioni di sicurezza | SOC 2 Type II. |
4.6 Google Workspace
| Fornitore | Google Workspace |
| Entità legale | Google Ireland Ltd. (controllata di Google LLC, USA). |
| Finalità del trattamento | Posta elettronica aziendale di Nagevo (claudio@nagevo.com e alias info@, support@, hello@, legal@, partnership@, dmarc-reports@), per comunicazioni business con i Clienti e ricezione di richieste relative al Servizio. Non utilizzato per email transazionali del prodotto, gestite tramite Resend. |
| Categorie di dati trattati | Indirizzi email di mittente e destinatario, contenuto delle email scambiate, metadati di consegna. |
| Ubicazione del trattamento | Irlanda (entità UE) con trasferimenti a Google LLC (USA). |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC); Data Processing Amendment pubblicato da Google; conformità dichiarata a GDPR. |
| Privacy Policy del fornitore | workspace.google.com/terms/dpa_terms.html |
| Certificazioni di sicurezza | ISO 27001, ISO 27017, ISO 27018, SOC 2/3, FedRAMP Moderate. |
Analytics (solo con consenso dell'utente finale)
4.7 Google Analytics 4
| Fornitore | Google Analytics 4 (GA4) |
| Entità legale | Google Ireland Ltd. (controllata di Google LLC, USA). |
| Finalità del trattamento | Analisi aggregata del traffico web sul sito nagevo.com. Misurazione conversioni, provenienza visitatori, percorso utente. Il trattamento avviene sia lato browser (tramite GA4 tag con cookie) sia server-side tramite Measurement Protocol per eventi di conversione, in entrambi i casi previo consenso dell'utente per la categoria analytics. |
| Categorie di dati trattati | Identificatori pseudonimi (cookie _ga, _ga_T6TFFEL1QF, _gid), indirizzo IP (anonimizzato tramite IP masking), pagine visitate, dispositivo, Paese. Per Measurement Protocol server-side: eventi di conversione aggregati senza identificatori individuali persistenti. |
| Ubicazione del trattamento | Irlanda (entità UE) con trasferimenti a Google LLC (USA). |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC); Data Processing Terms pubblicate da Google; Google Consent Mode v2 implementato lato Nagevo; IP anonymization attiva; ritenzione dati limitata a 14 mesi. |
| Privacy Policy del fornitore | policies.google.com/privacy |
| Certificazioni di sicurezza | ISO 27001, ISO 27017, ISO 27018, SOC 2/3. |
Marketing e pubblicità (solo con consenso dell'utente finale)
4.8 Meta Pixel e Conversions API
| Fornitore | Meta Pixel e Conversions API |
| Entità legale | Meta Platforms Ireland Ltd. (controllata di Meta Platforms Inc., USA). |
| Finalità del trattamento | Tracciamento conversioni da inserzioni pubblicitarie Meta (Facebook, Instagram). Creazione di audience personalizzate e lookalike. Ottimizzazione campagne pubblicitarie. Il trattamento avviene sia lato browser (Meta Pixel con cookie) sia server-side tramite Conversions API per eventi di conversione, in entrambi i casi previo consenso dell'utente per la categoria marketing. |
| Categorie di dati trattati | Identificatori pseudonimi (cookie _fbp, _fbc), indirizzo IP, user agent, eventi di interazione sul sito (PageView, Lead, Subscribe, ecc.). Per Conversions API server-side: dati identificativi sottoposti ad hashing SHA-256 prima dell'invio per migliorare la corrispondenza degli eventi (Event Match Quality), eventi di conversione aggregati. |
| Ubicazione del trattamento | Irlanda (entità UE) con trasferimenti a Meta Platforms Inc. (USA). |
| Garanzie per trasferimento extra-UE | Clausole Contrattuali Standard (SCC); Data Processing Terms pubblicati da Meta; hashing SHA-256 dei dati identificativi prima della trasmissione. |
| Privacy Policy del fornitore | facebook.com/privacy/policy |
| Certificazioni di sicurezza | ISO 27001, ISO 27018, SOC 2 (infrastruttura Meta). |
5. Altri fornitori di servizi non classificati come Sub-processor
I seguenti fornitori sono utilizzati da Nagevo per finalità interne o tecniche che non comportano trattamento di Dati Personali dei Clienti o degli Ospiti. Pertanto non sono qualificati come Sub-processor ai sensi del GDPR:
- GitHub (Microsoft Corporation): repository del codice sorgente. Nessun Dato Personale dei Clienti è archiviato nel codice.
- Namecheap: registrazione dominio nagevo.com e gestione DNS. Nessun Dato Personale dei Clienti coinvolto.
- Anthropic (Claude): strumento di sviluppo utilizzato internamente per la generazione di codice. Nessun accesso ai dati di produzione del Servizio.
- Strumenti interni di produttività (es. editor di codice): utilizzati da personale Nagevo per lo sviluppo del Servizio, senza accesso ai dati di produzione.
6. Aggiornamenti dell'elenco
Nagevo si impegna a:
- Aggiornare tempestivamente il presente documento ogni volta che si aggiungono, rimuovono o sostituiscono Sub-processor.
- Notificare ai Clienti con almeno 30 (trenta) giorni di preavviso l'attivazione di nuovi Sub-processor, tramite email all'indirizzo associato all'account e/o avviso nel pannello di controllo.
- Consentire al Cliente di opporsi a nuovi Sub-processor secondo le modalità previste all'art. 7.4 del DPA.
7. Contatti per questioni relative ai Sub-processor
Per richieste di informazioni, chiarimenti o opposizione all'utilizzo di Sub-processor:
E-mail privacy: legal@nagevo.com
Indirizzo postale: Nagevo — Claudio Berardi — Via Silvio Calloni 11, 6900 Lugano, Svizzera