Archivio legale

GOCOTECH Ltd · GOAi&digital

Elenco dei sub-responsabili

Sub-processorsv1.2In vigore: 8 giugno 2026SHA-256: 1074ab7a4ef9...

Elenco dei Sub-responsabili — List of Sub-processors

Allegato 3 al DPA · GOCOTECH Ltd · Sofia, Bulgaria · EIK 208828892 · powered by GOAi&digital

**Documento bilingue IT/EN.** La versione italiana precede quella inglese. In caso di conflitto prevale l'**italiano**. *Bilingual document IT/EN. The Italian version precedes the English one. In case of conflict, the **Italian** prevails.* Versione: 1.2 · Data: 8 giugno 2026 · Questo documento costituisce l'**Allegato 3** dell'Accordo sul trattamento dei dati (`03-data-processing-agreement-it-en.md`).

PARTE I — VERSIONE ITALIANA

1. Premessa

GOCOTECH Ltd (il "**Responsabile**"), nell'erogazione dei Servizi, si avvale dei sub-responsabili elencati nella tabella che segue, ai sensi dell'art. 28, par. 2 e 4, GDPR e della clausola 6 del DPA (autorizzazione generale). Ciascun sub-responsabile è vincolato da un proprio accordo sul trattamento dei dati con garanzie equivalenti a quelle del DPA.

I trasferimenti verso Paesi terzi sono coperti da **decisione di adeguatezza** (ove disponibile, es. EU-U.S. Data Privacy Framework) e/o dalle **Clausole Contrattuali Tipo (SCC)** della Commissione UE (Decisione 2021/914), integrate da misure supplementari ove necessario.

2. Sub-responsabili infrastrutturali (sempre attivi)

| Fornitore | Servizio fornito | Tipi di dati trattati | Sede / Paese di trattamento | Base per il trasferimento | DPA del fornitore |
|---|---|---|---|---|---|
| **Supabase, Inc.** | Database dedicato, storage file, autenticazione | Tutti i Dati del Cliente (anagrafiche, fatture, conversazioni, credenziali) | Datacenter UE — Francoforte (AWS eu-central-1) | UE/SEE (nessun trasferimento extra-UE per i dati ospitati) | supabase.com/legal/dpa |
| **Vercel, Inc.** | Hosting frontend, edge network, build | Metadati di richiesta, IP, contenuti in transito verso l'app | USA (con edge UE) | SCC + EU-U.S. DPF | vercel.com/legal/dpa |
| **Resend (Plus Five Five, Inc.)** | Invio email transazionali | Indirizzi email, nome, contenuto delle notifiche | USA | SCC | resend.com/legal/dpa |

3. Sub-responsabili AI / media (attivati su uso dei Servizi)

| Fornitore | Servizio fornito | Tipi di dati trattati | Sede / Paese | Base per il trasferimento | DPA del fornitore |
|---|---|---|---|---|---|
| **Anthropic, PBC** | LLM (Claude) — elaborazione conversazioni AI Sofia/Sara | Testo dei prompt e delle conversazioni inviate all'assistente | USA | SCC. NB: Anthropic **non addestra** i propri modelli su dati API dei clienti | anthropic.com/legal/commercial-terms · anthropic.com/legal/data-processing-addendum |
| **OpenAI, L.L.C. (OpenAI Ireland Ltd per UE)** | LLM, embeddings, trascrizione vocale (Whisper) | Testo, voce/audio inviati per elaborazione | USA / Irlanda (UE) | SCC + EU-U.S. DPF. NB: OpenAI **non addestra** sui dati API | openai.com/policies/data-processing-addendum |
| **ElevenLabs, Inc.** | Sintesi vocale (text-to-speech) | Testo da convertire in voce | USA | SCC | elevenlabs.io/dpa |
| **HeyGen (Movio Inc.)** | Generazione avatar video | Testo, immagini, parametri avatar | USA | SCC | heygen.com/policies |
| **fal.ai (Features & Labels, Inc.)** | Generazione immagini/audio | Prompt, immagini caricate per elaborazione | USA | SCC | fal.ai/legal |
| **RunPod, Inc.** | Render video (GPU compute) | Asset media in elaborazione (immagini, audio, video) | USA / UE (a seconda della region GPU) | SCC | runpod.io/legal |

4. Destinatari su istruzione del Cliente (integrazioni marketplace)

Su attivazione e configurazione del Cliente, e con le credenziali OAuth del Cliente, i Servizi possono trasmettere dati ai seguenti destinatari, che agiscono quali **titolari autonomi** o sub-responsabili a seconda del rapporto, su **istruzione del Titolare**:

| Destinatario | Servizio | Tipi di dati |
|---|---|---|
| **eBay** | Pubblicazione annunci, gestione ordini | Dati prodotto, ordini, anagrafiche acquirenti |
| **Amazon** | Marketplace, gestione ordini | Dati prodotto, ordini, anagrafiche acquirenti |
| **Google** (Ads/Calendar/Business) | Marketing, calendario, profilo attività | Dati account, eventi, dati di contatto |
Per tali destinatari, il Cliente (Titolare) è responsabile della base giuridica e del rapporto contrattuale diretto con il fornitore del marketplace.

5. Aggiornamento dell'elenco

5.1. Il Responsabile può modificare il presente elenco aggiungendo o sostituendo sub-responsabili. Ogni modifica è comunicata al Titolare con **preavviso di almeno 30 (trenta) giorni** prima che il nuovo sub-responsabile inizi a trattare i Dati del Cliente.

5.2. Il Titolare può opporsi alla modifica per motivi ragionevoli e documentati relativi alla protezione dei dati, secondo la procedura di cui alla clausola 6.3 del DPA.

5.3. La versione corrente dell'elenco è sempre disponibile su richiesta a **privacy@gocotech.com** e/o pubblicata nell'area documentale del Cliente.

5.4. I link ai DPA dei fornitori e le sedi di trattamento sono verificati al momento della pubblicazione della presente versione. Qualora un fornitore aggiorni i propri documenti o sedi operative, GOCOTECH aggiorna il presente elenco secondo la procedura di cui sopra.

PART II — ENGLISH VERSION

1. Introduction

GOCOTECH Ltd (the "**Processor**"), in providing the Services, relies on the sub-processors listed in the table below, pursuant to Art. 28(2) and (4) GDPR and clause 6 of the DPA (general authorization). Each sub-processor is bound by its own data processing agreement with safeguards equivalent to those of the DPA.

Transfers to third countries are covered by an **adequacy decision** (where available, e.g. the EU-U.S. Data Privacy Framework) and/or by the **Standard Contractual Clauses (SCC)** of the EU Commission (Decision 2021/914), supplemented by additional measures where necessary.

2. Infrastructure sub-processors (always active)

| Provider | Service provided | Data types processed | Location / Processing country | Transfer basis | Provider DPA |
|---|---|---|---|---|---|
| **Supabase, Inc.** | Dedicated database, file storage, authentication | All Customer Data (identity, invoices, conversations, credentials) | EU datacenter — Frankfurt (AWS eu-central-1) | EU/EEA (no extra-EU transfer for hosted data) | supabase.com/legal/dpa |
| **Vercel, Inc.** | Frontend hosting, edge network, build | Request metadata, IP, content in transit to the app | USA (with EU edge) | SCC + EU-U.S. DPF | vercel.com/legal/dpa |
| **Resend (Plus Five Five, Inc.)** | Transactional email delivery | Email addresses, name, notification content | USA | SCC | resend.com/legal/dpa |

3. AI / media sub-processors (activated upon use of the Services)

| Provider | Service provided | Data types processed | Location / Country | Transfer basis | Provider DPA |
|---|---|---|---|---|---|
| **Anthropic, PBC** | LLM (Claude) — AI conversation processing for Sofia/Sara | Text of prompts and conversations sent to the assistant | USA | SCC. Note: Anthropic does **not train** its models on customer API data | anthropic.com/legal/commercial-terms · anthropic.com/legal/data-processing-addendum |
| **OpenAI, L.L.C. (OpenAI Ireland Ltd for EU)** | LLM, embeddings, speech transcription (Whisper) | Text, voice/audio sent for processing | USA / Ireland (EU) | SCC + EU-U.S. DPF. Note: OpenAI does **not train** on API data | openai.com/policies/data-processing-addendum |
| **ElevenLabs, Inc.** | Voice synthesis (text-to-speech) | Text to be converted to voice | USA | SCC | elevenlabs.io/dpa |
| **HeyGen (Movio Inc.)** | Video avatar generation | Text, images, avatar parameters | USA | SCC | heygen.com/policies |
| **fal.ai (Features & Labels, Inc.)** | Image/audio generation | Prompts, uploaded images for processing | USA | SCC | fal.ai/legal |
| **RunPod, Inc.** | Video rendering (GPU compute) | Media assets being processed (images, audio, video) | USA / EU (depending on GPU region) | SCC | runpod.io/legal |

4. Recipients on Customer instruction (marketplace integrations)

Upon the Customer's activation and configuration, and using the Customer's OAuth credentials, the Services may transmit data to the following recipients, acting as **independent controllers** or sub-processors depending on the relationship, on the **Controller's instruction**:

| Recipient | Service | Data types |
|---|---|---|
| **eBay** | Listing publication, order management | Product data, orders, buyer details |
| **Amazon** | Marketplace, order management | Product data, orders, buyer details |
| **Google** (Ads/Calendar/Business) | Marketing, calendar, business profile | Account data, events, contact data |
For such recipients, the Customer (Controller) is responsible for the legal basis and the direct contractual relationship with the marketplace provider.

5. List updates

5.1. The Processor may amend this list by adding or replacing sub-processors. Each change is communicated to the Controller with **at least 30 (thirty) days' prior notice** before the new sub-processor begins processing Customer Data.

5.2. The Controller may object to the change on reasonable, documented data-protection grounds, in accordance with the procedure under clause 6.3 of the DPA.

5.3. The current version of the list is always available on request at **privacy@gocotech.com** and/or published in the Customer's document area.

5.4. Provider DPA links and processing locations are verified as of the publication of this version. If a provider updates its documents or operating locations, GOCOTECH updates this list according to the procedure above.

*GOCOTECH Ltd · Sofia, Bulgaria · EIK 208828892 · powered by GOAi&digital*