Vercel, Supabase e Resend: DPA GDPR e Catena Contrattuale per Stack Moderni
Se usi Vercel, Supabase e Resend senza un DPA firmato, violi l'Art. 28 GDPR. Guida operativa alla catena contrattuale, ai trasferimenti extra-UE e al Registro dei Trattamenti.
Ordine degli Avvocati di Sciacca — n. 747 · Avvocato Diritto IT e Privacy
Risposta diretta: Se la tua applicazione web usa Vercel per il frontend, Supabase come database e Resend per le email, sei il Titolare del Trattamento e questi tre fornitori sono i tuoi Responsabili del Trattamento ai sensi dell'Art. 28 del GDPR. Ogni trattamento di dati personali per loro conto senza un Data Processing Agreement (DPA) formalmente stipulato è illecito e sanzionabile fino a 10 milioni di euro o il 2% del fatturato mondiale (Art. 83, par. 4, GDPR). L'elemento critico: il DPA di Supabase non è automatico — richiede una firma manuale. Quello di Vercel e Resend, invece, si attiva all'accettazione dei Terms of Service.
Fonti normative: Reg. UE 2016/679 (GDPR) — EUR-Lex · Garante Privacy — Linee guida cloud computing · EU-US Data Privacy Framework
Perché lo Stack Jamstack Crea Obblighi GDPR Immediati
L'adozione di architetture componibili — frontend su CDN edge, backend as a service, API transazionali — frammenta il percorso del dato su infrastrutture di soggetti terzi. Questa frammentazione non riduce la responsabilità: la amplifica.
Secondo l'Art. 4, par. 1, GDPR, qualsiasi informazione che permette di identificare direttamente o indirettamente un utente è un dato personale. Ne consegue che:
- Il log di accesso registrato da Vercel (IP, user agent, timestamp) è dato personale
- Il record nel database Supabase (email, nome, hash password) è dato personale
- Il destinatario dell'email processata da Resend (indirizzo, nome, contenuto del messaggio) è dato personale
Il Garante Privacy italiano ha ribadito nelle proprie linee guida sull'utilizzo del cloud che l'impiego di servizi SaaS standardizzati non esonera il Titolare dall'obbligo di verificare la conformità dei fornitori e di stipulare accordi vincolanti prima dell'inizio del trattamento.
I Ruoli Giuridici nella Catena Contrattuale
Prima di analizzare i singoli provider, è necessario comprendere la gerarchia imposta dal GDPR.
| Ruolo GDPR | Chi è nel tuo stack | Responsabilità principale |
|---|---|---|
| Titolare del Trattamento (Art. 4.7) | La tua azienda / startup / agenzia | Determinare finalità e mezzi; garantire la liceità; rispondere agli interessati |
| Responsabile del Trattamento (Art. 4.8) | Vercel, Supabase, Resend | Trattare solo su istruzione del Titolare; misure di sicurezza; assistere il Titolare |
| Sub-responsabile | AWS, GCP, Cloudflare (usati dai provider) | Rispondere al Responsabile con standard equivalenti |
Il Responsabile del Trattamento non può a sua volta ingaggiare sub-responsabili senza l'autorizzazione scritta del Titolare (Art. 28, par. 2, GDPR). I DPA dei tre provider contengono tutti un'autorizzazione generale scritta ai sub-responsabili, con obbligo di preavviso minimo in caso di variazioni.
Vercel: DPA Automatico e Certificazione DPF
Vercel eroga l'infrastruttura edge per il frontend dell'applicazione. Anche limitandosi all'hosting statico, la rete Vercel elabora indirizzi IP, user agent, geolocalizzazione approssimativa e metadati HTTP di ogni richiesta.
Come funziona il DPA
Il Data Processing Addendum di Vercel è incorporato nei Master Subscription Agreement. L'accettazione dei Terms of Service durante l'onboarding costituisce la stipula formale del contratto ex Art. 28 GDPR. Non è richiesta alcuna azione aggiuntiva, ma è necessario che l'account sia registrato a nome della persona giuridica Titolare del trattamento, non dell'individuo sviluppatore.
Azione richiesta: Verificare che l'account Vercel sia intestato alla ragione sociale e conservare la data di accettazione dei ToS come documentazione contrattuale.
Trasferimenti extra-UE
Vercel è certificata attivamente sotto l'EU-US Data Privacy Framework (DPF), l'accordo di adeguatezza adottato dalla Commissione Europea nel luglio 2023. Questa certificazione elimina la necessità di redigere Transfer Impact Assessment (TIA) per i trasferimenti verso i server statunitensi di Vercel. Le certificazioni di sicurezza indipendenti includono ISO 27001:2022 e SOC 2 Type 2.
Sub-responsabili principali di Vercel
| Sub-responsabile | Finalità | Localizzazione |
|---|---|---|
| Amazon Web Services | Infrastruttura cloud, storage | Globale / USA |
| Google Cloud Platform | Infrastruttura aggiuntiva | Globale / USA |
| Cloudflare | CDN, sicurezza perimetrale, edge | Globale / USA |
| Datadog | Monitoraggio, logging, performance | USA |
Supabase: Il Rischio della Firma Mancante
Supabase è il nodo ad alto rischio della catena. Come Backend-as-a-Service, ospita il database PostgreSQL con l'intera anagrafica degli utenti: email, credenziali crittografate, dati di profilazione, storico transazionale. Una violazione qui — o l'assenza del DPA — ha l'impatto normativo più elevato.
Il DPA non è automatico — passaggio critico
La prassi del settore SaaS tende al clickwrap (accettazione tacita): Supabase fa eccezione. Il Data Processing Addendum di Supabase NON diventa vincolante alla creazione dell'account. Per conformarsi all'Art. 28 GDPR, il Titolare deve seguire questa procedura manuale:
- Accedere alla Dashboard Supabase
- Navigare in Settings > Legal Documents
- Richiedere il DPA: Supabase genera un documento personalizzato tramite PandaDoc
- Compilare i dati aziendali e apporre la firma elettronica del rappresentante legale
L'omissione di questo passaggio colloca i dati del database in un vuoto contrattuale: il trattamento è illecito ex Art. 28 GDPR indipendentemente da qualsiasi altra misura tecnica adottata.
Punto critico: Il DPA ufficiale Supabase (revisione marzo 2025) è pubblicamente disponibile. Verificare che la firma sia stata effettuata dall'account organizzativo corretto e conservare il documento firmato.
Trasferimenti extra-UE e Data Residency
A differenza di Vercel e Resend, Supabase Inc. non è certificata sotto l'EU-US Data Privacy Framework. I trasferimenti transatlantici residui sono coperti dalle Standard Contractual Clauses (SCCs) della Commissione Europea, incorporate nel DPA. Supabase mette a disposizione un Transfer Impact Assessment (TIA) precompilato per documentare la liceità di fronte alle autorità ispettive.
La strategia principale per minimizzare l'esposizione è la Data Residency: alla creazione del progetto, selezionare la regione Europe (Frankfurt) — AWS eu-central-1. I dati a riposo rimarranno fisicamente nell'Unione Europea, riducendo significativamente la portata dei trasferimenti extra-UE. Questa scelta non è modificabile successivamente alla creazione del progetto.
Le certificazioni di sicurezza di Supabase includono SOC 2 Type 2 e supporto per HIPAA (con BAA separato per dati sanitari).
Sub-responsabili principali di Supabase
| Sub-responsabile | Finalità | Tipologia di dati |
|---|---|---|
| Amazon Web Services | Database, infrastruttura, storage | Tutti i dati del progetto |
| Cloudflare | Protezione DDoS, firewall applicativo | IP, log di traffico |
| Stripe | Pagamenti e abbonamenti del Titolare | Dati di fatturazione |
| PostHog / Sentry | Analitiche di prodotto, error logging | Metadati, sessioni |
| GitHub | Autenticazione SSO sviluppatori | Nome, email, profili |
Resend: DPA Automatico e il Loop Infrastrutturale
Resend gestisce il routing delle email transazionali e di marketing. Ogni email inviata tramite le sue API contiene per definizione dati personali: l'indirizzo del destinatario, il nome, il corpo del messaggio.
Come funziona il DPA
Come Vercel, il Data Processing Addendum di Resend è integrato nei Terms of Service e diventa legalmente vincolante all'accettazione. Resend ha ottenuto la certificazione EU-US Data Privacy Framework nel 2024, eliminando l'onere di Transfer Impact Assessment separati per i clienti europei.
Il loop infrastrutturale: Vercel e Supabase come sub-responsabili di Resend
L'analisi della lista ufficiale dei sub-responsabili autorizzati da Resend rivela un dettaglio architetturale significativo: tra i provider che Resend utilizza per erogare il proprio servizio figurano Vercel Inc. (per l'hosting dei server) e Supabase, Inc. (per database e autenticazione).
Questo genera un loop contrattuale: la tua azienda ha rapporti diretti come Responsabili con tutti e tre i provider, ma Resend li utilizza a sua volta come propri sub-responsabili per la parte di dati che transita tramite le sue API. Il DPA di Resend copre questo attraverso l'autorizzazione generale scritta ai sub-responsabili, con obbligo di preavviso di 14 giorni per eventuali modifiche alla lista.
Implicazione operativa: Nel Registro dei Trattamenti, per la finalità "invio email transazionali via Resend", i sub-responsabili da indicare includono non solo AWS e Cloudflare, ma anche Vercel e Supabase nella loro veste di infrastruttura interna di Resend.
Il Registro delle Attività di Trattamento: Come Mappare lo Stack
Il possesso dei DPA firmati è condizione necessaria ma non sufficiente. L'Art. 30 GDPR impone al Titolare di mantenere un Registro delle Attività di Trattamento (RoPA) che documenti ogni flusso di dati. Il Garante Privacy, nella propria Relazione Annuale 2024, ha comminato sanzioni specificamente per l'incompletezza del RoPA in relazione ai fornitori cloud.
Per lo stack in esame, il Registro deve includere:
| Voce del Registro | Vercel | Supabase | Resend |
|---|---|---|---|
| Ragione sociale | Vercel Inc. | Supabase Inc. | Resend Inc. |
| Ruolo | Responsabile del Trattamento | Responsabile del Trattamento | Responsabile del Trattamento |
| Dati trattati | IP, log HTTP, metadati edge | PII, credenziali, dati applicativi | Email, nome, corpo messaggio |
| Meccanismo DPA | ToS (clickwrap) | PandaDoc firmato manualmente | ToS (clickwrap) |
| Trasferimento extra-UE | DPF certificato | SCCs + Data Residency EU | DPF certificato |
| Sub-responsabili | AWS, GCP, Cloudflare, Datadog | AWS, Cloudflare, Stripe | AWS, Cloudflare, Vercel, Supabase |
Implicazioni per la Due Diligence e il Funding
La mancata conformità all'Art. 28 GDPR nella fase di due diligence tecnico-legale è un motivo documentato di blocco o riduzione della valutazione in operazioni di M&A e di funding istituzionale. I revisori legali verificano sistematicamente la lista dei processor e i DPA corrispondenti.
Il Registro dei Trattamenti incompleto — in particolare l'omissione del DPA Supabase firmato o la mancata indicazione dei sub-responsabili nella catena Resend — rappresenta una red flag normativa che rileva nell'esame della governance privacy aziendale.
Assistenza professionale: Per la revisione della catena contrattuale GDPR del proprio stack tecnologico o per la predisposizione del Registro dei Trattamenti, è possibile richiedere una consulenza dedicata per software e SaaS.
Comunicare la Compliance agli Stakeholder B2B
La corretta architettura contrattuale ha anche un valore comunicativo. Sul mercato B2B — in particolare verso cliente enterprise e startup in fase di funding — la capacità di documentare i propri DPA, il RoPA e le politiche di Data Residency è un indicatore di maturità organizzativa.
I tre elementi da rendere visibili nella comunicazione verso potenziali clienti o investitori:
- DPA firmati con i provider principali (conservare i documenti PandaDoc e le date di accettazione dei ToS)
- Scelta della regione EU su Supabase (evidenziare che i dati a riposo restano fisicamente nell'Unione Europea)
- Registro dei Trattamenti aggiornato che includa la catena dei sub-responsabili
Domande Frequenti
Il DPA di Vercel vale anche se uso solo il piano gratuito (Hobby)? Il DPA di Vercel si applica a tutti i piani, incluso il piano Hobby. Tuttavia, alcuni termini commerciali differiscono tra i piani. Vercel specifica che il piano Hobby è destinato a uso non commerciale: per applicazioni con dati personali di utenti reali è necessario un piano commerciale (Pro o Enterprise) per operare in conformità sia ai ToS che al GDPR.
Supabase è nel Data Privacy Framework USA-UE? No. Al momento della redazione di questo articolo (aprile 2026), Supabase Inc. non risulta certificata sotto l'EU-US Data Privacy Framework. I trasferimenti transatlantici sono coperti dalle Standard Contractual Clauses (SCCs) incorporate nel DPA e dalla possibilità di selezionare data center europei (Frankfurt).
Se scelgo la regione EU su Supabase, sono completamente esentato dalle SCCs? No. La Data Residency garantisce che i dati a riposo restino nell'UE, ma i flussi operativi — come accesso del supporto tecnico Supabase da fuori UE, dati di telemetria, routing globale — rimangono. Le SCCs nel DPA coprono questi flussi residui. L'uso combinato di Data Residency + SCCs è la strategia raccomandata da Supabase stessa.
Resend usa Vercel come infrastruttura: devo un DPA separato con Vercel per questo? No. Il rapporto contrattuale sulla porzione di dati che Resend instrada attraverso Vercel è disciplinato dal DPA tra Resend e Vercel (rapporto sub-responsabile). Il tuo DPA diretto con Vercel copre i flussi che tu stesso generi sul tuo account Vercel. Nel RoPA è sufficiente indicare Vercel sia come tuo Responsabile diretto, sia come sub-responsabile di Resend, specificando la diversa finalità e base contrattuale.
Cosa rischio senza i DPA? La violazione dell'Art. 28 GDPR è sanzionata dall'Art. 83, par. 4, GDPR con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (il valore più elevato). Il Garante può applicare anche misure correttive come la limitazione temporanea del trattamento, con impatto operativo diretto sull'applicazione.
In caso di data breach su Supabase, chi notifica il Garante? Il Titolare del Trattamento (la tua azienda) è responsabile della notifica al Garante entro 72 ore (Art. 33 GDPR). Supabase, in veste di Responsabile, ha l'obbligo contrattuale di informarti tempestivamente dell'incidente senza ingiustificato ritardo, fornendo le informazioni necessarie per la notifica all'autorità.
Autore
Avv. Antonino IngogliaAvvocato iscritto all'Ordine di Sciacca (n. 747), con background da full-stack developer. Attività prevalente in GDPR, AI Act, contratti ICT e compliance digitale per aziende e startup.
Profilo completo →