Vercel e Supabase: DPA GDPR e Catena Contrattuale
Vercel, Supabase e Resend senza DPA firmato: violazione Art. 28 GDPR. Guida alla catena contrattuale, trasferimenti extra-UE e adeguamento step by step.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Risposta diretta: Se la tua applicazione web usa Vercel per il frontend, Supabase come database e Resend per le email, sei il Titolare del Trattamento e questi tre fornitori sono i tuoi Responsabili del Trattamento ai sensi dell'Art. 28 del GDPR. Ogni trattamento di dati personali per loro conto senza un Data Processing Agreement (DPA) formalmente stipulato è illecito e sanzionabile fino a 10 milioni di euro o il 2% del fatturato mondiale (Art. 83, par. 4, GDPR). L'elemento critico: il DPA di Supabase non è automatico - richiede una firma manuale. Quello di Vercel e Resend, invece, si attiva all'accettazione dei Terms of Service.
Fonti normative: Reg. UE 2016/679 (GDPR) - EUR-Lex · Garante Privacy - Linee guida cloud computing · EU-US Data Privacy Framework
Perché l'architettura tecnica Jamstack attiva istantaneamente doppi oneri legali nel GDPR?
L'adozione di architetture componibili - frontend su CDN edge, backend as a service, API transazionali - frammenta il percorso del dato su infrastrutture di soggetti terzi. Questa frammentazione non riduce la responsabilità: la amplifica.
Secondo l'Art. 4, par. 1, GDPR, qualsiasi informazione che permette di identificare direttamente o indirettamente un utente è un dato personale. Ne consegue che:
- Il log di accesso registrato da Vercel (IP, user agent, timestamp) è dato personale
- Il record nel database Supabase (email, nome, hash password) è dato personale
- Il destinatario dell'email processata da Resend (indirizzo, nome, contenuto del messaggio) è dato personale
Il Garante Privacy italiano, nella Relazione Annuale 2024 presentata a luglio 2025, ha evidenziato come l'uso di servizi cloud internazionali sia sotto stretta osservazione ispettiva. Con 835 provvedimenti collegiali e oltre 2.204 notifiche di data breach in un solo anno, l'Autorità ha ribadito che l'impiego di servizi SaaS standardizzati non esonera il Titolare dall'obbligo di verificare la conformità dei fornitori e di stipulare accordi vincolanti (Art. 28 GDPR) prima dell'inizio del trattamento.
In sintesi: (1) L'uso di infrastrutture Jamstack senza Data Processing Agreement espone l'azienda a sanzioni che, nel solo 2024, hanno raggiunto complessivamente i 24 milioni di euro. (2) Vercel e Resend attivano il DPA via clickwrap in fase di onboarding. (3) Supabase richiede invece una firma manuale tramite PandaDoc per sanare il rapporto contrattuale. (4) L'intera catena dei sub-responsabili va mappata nel Registro dei Trattamenti (RoPA) per garantire la trasparenza richiesta dal Garante.
Come si suddividono legalmente i ruoli di Titolare e Responsabile nel Cloud disaccoppiato?
Prima di analizzare i singoli provider, è necessario comprendere la gerarchia imposta dal GDPR.
| Ruolo GDPR | Chi è nel tuo stack | Responsabilità principale |
|---|---|---|
| Titolare del Trattamento (Art. 4.7) | La tua azienda / startup / agenzia | Determinare finalità e mezzi; garantire la liceità; rispondere agli interessati |
| Responsabile del Trattamento (Art. 4.8) | Vercel, Supabase, Resend | Trattare solo su istruzione del Titolare; misure di sicurezza; assistere il Titolare |
| Sub-responsabile | AWS, GCP, Cloudflare (usati dai provider) | Rispondere al Responsabile con standard equivalenti |
Il Responsabile del Trattamento non può a sua volta ingaggiare sub-responsabili senza l'autorizzazione scritta del Titolare (Art. 28, par. 2, GDPR). I DPA dei tre provider contengono tutti un'autorizzazione generale scritta ai sub-responsabili, con obbligo di preavviso minimo in caso di variazioni.
Perché il clickwrap DPA di Vercel soddisfa parzialmente gli standard contrattuali richiesti?
Vercel eroga l'infrastruttura edge per il frontend dell'applicazione. Anche limitandosi all'hosting statico, la rete Vercel elabora indirizzi IP, user agent, geolocalizzazione approssimativa e metadati HTTP di ogni richiesta.
Come funziona il DPA
Il Data Processing Addendum di Vercel è incorporato nei Master Subscription Agreement. L'accettazione dei Terms of Service durante l'onboarding costituisce la stipula formale del contratto ex Art. 28 GDPR. Non è richiesta alcuna azione aggiuntiva, ma è necessario che l'account sia registrato a nome della persona giuridica Titolare del trattamento, non dell'individuo sviluppatore.
Azione richiesta: Verificare che l'account Vercel sia intestato alla ragione sociale e conservare la data di accettazione dei ToS come documentazione contrattuale.
Trasferimenti extra-UE
Vercel è certificata attivamente sotto l'EU-US Data Privacy Framework (DPF), l'accordo di adeguatezza adottato dalla Commissione Europea nel luglio 2023. Questa certificazione elimina la necessità di redigere Transfer Impact Assessment (TIA) per i trasferimenti verso i server statunitensi di Vercel. Le certificazioni di sicurezza indipendenti includono ISO 27001:2022 e SOC 2 Type 2.
Sub-responsabili principali di Vercel
| Sub-responsabile | Finalità | Localizzazione |
|---|---|---|
| Amazon Web Services | Infrastruttura cloud, storage | Globale / USA |
| Google Cloud Platform | Infrastruttura aggiuntiva | Globale / USA |
| Cloudflare | CDN, sicurezza perimetrale, edge | Globale / USA |
| Datadog | Monitoraggio, logging, performance | USA |
Perché non firmare il DPA logico di Supabase è la vulnerabilità sanzionatoria primaria?
Supabase è il nodo ad alto rischio della catena. Come Backend-as-a-Service, ospita il database PostgreSQL con l'intera anagrafica degli utenti: email, credenziali crittografate, dati di profilazione, storico transazionale. Una violazione qui - o l'assenza del DPA - ha l'impatto normativo più elevato.
Il DPA non è automatico - passaggio critico
La prassi del settore SaaS tende al clickwrap (accettazione tacita): Supabase fa eccezione. Il Data Processing Addendum di Supabase NON diventa vincolante alla creazione dell'account. Per conformarsi all'Art. 28 GDPR, il Titolare deve seguire questa procedura manuale:
- Accedere alla Dashboard Supabase
- Navigare in Settings > Legal Documents
- Richiedere il DPA: Supabase genera un documento personalizzato tramite PandaDoc
- Compilare i dati aziendali e apporre la firma elettronica del rappresentante legale
L'omissione di questo passaggio colloca i dati del database in un vuoto contrattuale: il trattamento è illecito ex Art. 28 GDPR indipendentemente da qualsiasi altra misura tecnica adottata.
Punto critico: Il DPA ufficiale Supabase (revisione marzo 2025) è pubblicamente disponibile. Verificare che la firma sia stata effettuata dall'account organizzativo corretto e conservare il documento firmato.
Trasferimenti extra-UE e Data Residency
A differenza di Vercel e Resend, Supabase Inc. non è certificata sotto l'EU-US Data Privacy Framework. I trasferimenti transatlantici residui sono coperti dalle Standard Contractual Clauses (SCCs) della Commissione Europea, incorporate nel DPA. Supabase mette a disposizione un Transfer Impact Assessment (TIA) precompilato per documentare la liceità di fronte alle autorità ispettive.
La strategia principale per minimizzare l'esposizione è la Data Residency: alla creazione del progetto, selezionare la regione Europe (Frankfurt) - AWS eu-central-1. I dati a riposo rimarranno fisicamente nell'Unione Europea, riducendo significativamente la portata dei trasferimenti extra-UE. Questa scelta non è modificabile successivamente alla creazione del progetto.
Le certificazioni di sicurezza di Supabase includono SOC 2 Type 2 e supporto per HIPAA (con BAA separato per dati sanitari).
Sub-responsabili principali di Supabase
| Sub-responsabile | Finalità | Tipologia di dati |
|---|---|---|
| Amazon Web Services | Database, infrastruttura, storage | Tutti i dati del progetto |
| Cloudflare | Protezione DDoS, firewall applicativo | IP, log di traffico |
| Stripe | Pagamenti e abbonamenti del Titolare | Dati di fatturazione |
| PostHog / Sentry | Analitiche di prodotto, error logging | Metadati, sessioni |
| GitHub | Autenticazione SSO sviluppatori | Nome, email, profili |
Resend: DPA Automatico e il Loop Infrastrutturale
Resend gestisce il routing delle email transazionali e di marketing. Ogni email inviata tramite le sue API contiene per definizione dati personali: l'indirizzo del destinatario, il nome, il corpo del messaggio.
Come funziona il DPA
Come Vercel, il Data Processing Addendum di Resend è integrato nei Terms of Service e diventa legalmente vincolante all'accettazione. Resend ha ottenuto la certificazione EU-US Data Privacy Framework nel 2024, eliminando l'onere di Transfer Impact Assessment separati per i clienti europei.
Il loop infrastrutturale: Vercel e Supabase come sub-responsabili di Resend
L'analisi della lista ufficiale dei sub-responsabili autorizzati da Resend rivela un dettaglio architetturale significativo: tra i provider che Resend utilizza per erogare il proprio servizio figurano Vercel Inc. (per l'hosting dei server) e Supabase, Inc. (per database e autenticazione).
Questo genera un loop contrattuale: la tua azienda ha rapporti diretti come Responsabili con tutti e tre i provider, ma Resend li utilizza a sua volta come propri sub-responsabili per la parte di dati che transita tramite le sue API. Il DPA di Resend copre questo attraverso l'autorizzazione generale scritta ai sub-responsabili, con obbligo di preavviso di 14 giorni per eventuali modifiche alla lista.
Implicazione operativa: Nel Registro dei Trattamenti, per la finalità "invio email transazionali via Resend", i sub-responsabili da indicare includono non solo AWS e Cloudflare, ma anche Vercel e Supabase nella loro veste di infrastruttura interna di Resend.
Il Registro delle Attività di Trattamento: Come Mappare lo Stack
Il possesso dei DPA firmati è condizione necessaria ma non sufficiente. L'Art. 30 GDPR impone al Titolare di mantenere un Registro delle Attività di Trattamento (RoPA) che documenti ogni flusso di dati. Il Garante Privacy, nella propria Relazione Annuale 2024, ha comminato sanzioni specificamente per l'incompletezza del RoPA in relazione ai fornitori cloud.
Per lo stack in esame, il Registro deve includere:
| Voce del Registro | Vercel | Supabase | Resend |
|---|---|---|---|
| Ragione sociale | Vercel Inc. | Supabase Inc. | Resend Inc. |
| Ruolo | Responsabile del Trattamento | Responsabile del Trattamento | Responsabile del Trattamento |
| Dati trattati | IP, log HTTP, metadati edge | PII, credenziali, dati applicativi | Email, nome, corpo messaggio |
| Meccanismo DPA | ToS (clickwrap) | PandaDoc firmato manualmente | ToS (clickwrap) |
| Trasferimento extra-UE | DPF certificato | SCCs + Data Residency EU | DPF certificato |
| Sub-responsabili | AWS, GCP, Cloudflare, Datadog | AWS, Cloudflare, Stripe | AWS, Cloudflare, Vercel, Supabase |
Implicazioni per la Due Diligence e il Funding
La mancata conformità all'Art. 28 GDPR nella fase di due diligence tecnico-legale è un motivo documentato di blocco o riduzione della valutazione in operazioni di M&A e di funding istituzionale. I revisori legali verificano sistematicamente la lista dei processor e i DPA corrispondenti.
Il Registro dei Trattamenti incompleto - in particolare l'omissione del DPA Supabase firmato o la mancata indicazione dei sub-responsabili nella catena Resend - rappresenta una red flag normativa che rileva nell'esame della governance privacy aziendale.
Assistenza professionale: Per la revisione della catena contrattuale GDPR del proprio stack tecnologico o per la predisposizione del Registro dei Trattamenti, è possibile richiedere una consulenza dedicata per software e SaaS.
Comunicare la Compliance agli Stakeholder B2B
La corretta architettura contrattuale ha anche un valore comunicativo. Sul mercato B2B - in particolare verso cliente enterprise e startup in fase di funding - la capacità di documentare i propri DPA, il RoPA e le politiche di Data Residency è un indicatore di maturità organizzativa.
I tre elementi da rendere visibili nella comunicazione verso potenziali clienti o investitori:
- DPA firmati con i provider principali (conservare i documenti PandaDoc e le date di accettazione dei ToS)
- Scelta della regione EU su Supabase (evidenziare che i dati a riposo restano fisicamente nell'Unione Europea)
- Registro dei Trattamenti aggiornato che includa la catena dei sub-responsabili
Domande Frequenti (FAQ)
Il DPA di Vercel è valido anche per il piano gratuito (Hobby)? Sì, il Data Processing Addendum di Vercel si applica a tutti i piani. Tuttavia, il piano Hobby è limitato a finalità non commerciali; per applicazioni SaaS professionali o che trattano PII di utenti reali, è necessario il piano Pro o Enterprise per operare in conformità ai ToS e garantire gli standard di sicurezza richiesti dal GDPR.
Supabase è certificata sotto l'EU-US Data Privacy Framework (DPF)? No. Al momento della redazione di questa guida (aprile 2026), Supabase Inc. non risulta nell'elenco ufficiale dei certificati DPF. Per questo motivo, è fondamentale selezionare la regione Europe (Frankfurt) alla creazione del progetto e firmare il DPA personalizzato che include le Standard Contractual Clauses (SCCs).
Devo firmare un DPA separato con AWS se uso Supabase? No. Il tuo rapporto contrattuale come Titolare è con Supabase. Supabase, in veste di Responsabile, ha a sua volta stipulato un DPA con AWS (sub-responsabile). Questa è la "catena dei responsabili" prevista dall'Art. 28.4 GDPR. Tu devi solo assicurarti che il tuo DPA con Supabase autorizzi correttamente il ricorso a sub-responsabili.
Cosa rischio se non firmo manualmente il DPA di Supabase? Rischi che il trattamento dei dati nel database sia considerato nullo o illecito. In caso di ispezione del Garante (che gestisce circa 11 reclami al giorno, secondo la Relazione 2024), l'assenza di un accordo ex Art. 28 firmato è una violazione formale grave, sanzionata fino a 10 milioni di euro o al 2% del fatturato.
Chi deve notificare il Garante in caso di breach su Vercel o Supabase? Il Titolare del Trattamento (la tua azienda) ha l'obbligo di notificare il Garante entro 72 ore dalla scoperta (Art. 33 GDPR). Il Responsabile (Vercel/Supabase) ha l'obbligo contrattuale di informarti senza ingiustificato ritardo non appena viene a conoscenza della violazione, fornendo i dettagli necessari per la tua notifica.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze