name: iubenda-subprocessors-turnkey description: Contenuto pronto-incolla per disclosare i sub-processor nella privacy policy Iubenda dell'APP (flow/4553637) + subset landing. Punto A — paste meccanico, ~10 min. last_update: 2026-06-03 owner: gregorio + claude status: ESEGUITO PARZIALE 2026-06-04 · 6 sub-processor PII inseriti nella policy app · resto coperto da /legal/subprocessors ref: sub-processors.md · pianeta-web-compliance-2026-06-03.md · skill multiverbe-ch-compliance
Punto A · Sub-processor nella privacy policy Iubenda (turnkey)
✅ STATO 2026-06-04 (eseguito da browser)
Inseriti e salvati 6 sub-processor nella privacy policy app (generatore-privacy-policy/3263684, step "Servizi che raccolgono dati personali"):
- Stripe (catalogo, valori auto-precompilati) · Supabase (catalogo) · Vercel (catalogo) · Brevo email (catalogo) · Anthropic (Claude) (custom, USA+SCC, link privacy) · Mistral AI (custom, FR/UE, link).
- Coprono tutti i flussi di dati personali cliente: pagamenti, dati/storage, hosting, email transazionale, AI, outreach.
Volutamente NON aggiunti a questo step Iubenda (il passo è "servizi che raccolgono DATI PERSONALI"):
- Kimi/Moonshot · Replicate · Google content (Gemini): generano da prompt/brief, non raccolgono dati personali dei visitatori → stanno nella lista canonica, non qui.
- Upstash (IP troncato) e Datatrans (pagamenti CH, Twint Q4 forse non ancora attivo): minori → coperti dalla lista canonica
/legal/subprocessors(live, PR #163), che è la disclosure completa SSoT. Aggiungibili a Iubenda in 2 min col form custom (§2) se si vuole la ridondanza.
Follow-up (NON fatti in sessione, dipendenze):
- Step 2 "Titolare del sito web" → serve ragione sociale registrata confermata (non inventarla).
- Step 3 "Integrazione" → embed/link della policy (wiring) + linkare
https://multiverbe.app/legal/subprocessors. - Landing
multiverbe.com(92115618): aggiungere il subset (§3) — non toccato in sessione.
Il set completo va nella policy dell'APP
multiverbe.app(flow/4553637, Advanced) — è dove lo stack processa i dati dei clienti. La landing ne riceve solo un sottoinsieme (§3). Dove arrivare in Iubenda: progettomultiverbe.app→ Attiva "Privacy e cookie policy" → editor → Servizi → "Aggiungi servizio" (catalogo) oppure "Servizio personalizzato".
Approccio consigliato (big-tech, anti-drift)
Non duplicare a mano 11 voci che poi divergono. Due mosse:
- Catalogo Iubenda per i servizi che ci sono già (clausole auto-generate, link auto-compilati): Stripe · Google · Vercel · Supabase · Brevo. Cerca il nome, clicca, fatto.
- Un blocco "Servizio personalizzato" per ciascuno dei restanti + link alla lista canonica versionata
https://multiverbe.app/legal/subprocessors(la SSoT è quella, vedi PR #163). Così la policy rimanda all'elenco unico.
1) Servizi da CATALOGO (cerca il nome, aggiungi)
| Servizio | Scopo (categoria Iubenda) | Note |
|---|---|---|
| Stripe | Gestione pagamenti | carta/transazione/email fatturazione/VAT |
| Google (Cloud / Gemini) | Hosting/Infra + generazione contenuti AI | prompt img/video/audio, no PII raw |
| Vercel | Hosting infrastrutturale | log richiesta, IP troncato, UA |
| Supabase | Hosting DB + Auth + Storage | tutti i dati cliente, workspace-scoped RLS |
| Brevo (ex Sendinblue) | Invio email + SMTP | email destinatario, corpo, eventi open/click |
2) Servizi PERSONALIZZATI (paste i campi)
Per ognuno: Iubenda → "Servizio personalizzato" → compila Nome / Tipi di dati / Luogo trattamento / Finalità / Link privacy. (URL privacy = verificare al momento; quelli sotto sono i noti.)
Anthropic (Claude) — Generazione contenuti / funzioni AI
- Dati: testo pseudonimizzato (PII rimossa via
pii-pseudonymize.tsprima della call) - Luogo: USA (SCC art. 46 GDPR) — fuori EU Data Boundary
- Privacy/DPA: https://privacy.claude.com/dpa
Mistral AI — Redazione email outreach
- Dati: bozza corpo email (template + variabili interpolate)
- Luogo: Francia / EU (via
api.mistral.ai, NON Vertex/Bedrock US) - Privacy: https://mistral.ai/terms (verificare DPA)
Moonshot AI (Kimi) — Site builder (generazione siti)
- Dati: brief sito + brand DNA (no PII cliente)
- Luogo: Singapore (CN/SG)
- Privacy: https://platform.moonshot.ai (verificare)
Datatrans / Payrexx — Pagamenti svizzeri (Twint + carte CH)
- Dati: metodo di pagamento, transazione, email fatturazione
- Luogo: Svizzera (adeguatezza UE)
- Privacy: https://www.datatrans.ch/it/dichiarazione-protezione-dati (verificare)
Upstash (Redis) — Rate-limiting / cache effimera
- Dati: IP troncato + workspace_id (no PII raw, TTL 60s)
- Luogo: EU (eu-west-1)
- Privacy: https://upstash.com/trust/privacy.pdf (verificare)
Replicate — Generazione immagini / alt-text asset
- Dati: prompt immagine (no PII cliente)
- Luogo: USA (SCC)
- Privacy: https://replicate.com/privacy (verificare)
Iubenda stesso si auto-disclosa (cookie banner / hosting policy). Non serve aggiungerlo a mano.
3) Landing multiverbe.com (92115618) — SOLO il subset
La policy della landing copre i visitatori della landing, non lo stack AI. Aggiungere SOLO:
- Vercel (hosting landing) · Supabase (se c'è form contatti/waitlist) · Iubenda (auto) · eventuale Google Analytics/Maps o Stripe se presenti sulla landing.
- NON aggiungere Anthropic/Mistral/Kimi/Brevo/Upstash/Replicate alla landing (non toccano i suoi visitatori).
4) Dopo il paste
- Salva/aggiorna la policy su entrambi i progetti.
- Verifica che la policy app linki
https://multiverbe.app/legal/subprocessors. - Quando si aggiunge/rimuove un sub-processor: aggiorna
sub-processors.md→ questo doc → la policy Iubenda → notifica clienti 30gg (revFADP art. 9) — vedi roadmap P2 inpianeta-web-compliance-2026-06-03.md. - ⚠️ Dipendenze ancora aperte (NON sbloccate da questo paste): ragione sociale registrata (per ToS) + verifica banner landing (Klaro vs Iubenda).