Privacy Policy

Ultimo aggiornamento: 21 Maggio 2026
Versione: 3.1
Versione precedente: 25 Aprile 2026 (v3.0)

La presente Privacy Policy descrive le modalità con cui il sito www.andreapiani.com (di seguito "Sito") raccoglie, utilizza, conserva e protegge i dati personali degli utenti, in conformità con:

• Regolamento (UE) 2016/679 ("GDPR") relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;
• D.Lgs. 196/2003 ("Codice della Privacy") come modificato dal D.Lgs. 101/2018;
• Direttiva ePrivacy 2002/58/CE e relative linee guida del Garante Privacy in materia di cookie (Provv. 10 giugno 2021);
• Regolamento (UE) 2024/1689 ("AI Act") in materia di intelligenza artificiale, per quanto applicabile all'assistente AI presente sul Sito;
• Regolamento (UE) 2022/2065 ("Digital Services Act") per gli obblighi di trasparenza dei servizi digitali.

1. Definizioni

Ai fini della presente informativa si intende per:

• Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (Art. 4.1 GDPR).
• Trattamento: qualsiasi operazione effettuata su dati personali (raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, cancellazione, ecc.).
• Titolare del Trattamento: la persona fisica o giuridica che determina finalità e mezzi del trattamento. In questo caso: Andrea Piani.
• Responsabile del Trattamento: il fornitore esterno che tratta i dati per conto del Titolare (es. hosting provider, Formspree, Google).
• Interessato: la persona fisica cui si riferiscono i dati personali (l'utente del Sito).
• Consenso: manifestazione di volontà libera, specifica, informata e inequivocabile.
• Profilazione: qualsiasi forma di trattamento automatizzato volto a valutare aspetti personali (Art. 4.4 GDPR).
• Sistema di IA: sistema basato su macchine progettato per operare con livelli di autonomia variabili (Art. 3 AI Act).

2. Tipologie di Dati Raccolti

2.1 Dati Forniti Volontariamente dall'Utente

Quando compili form di contatto, richiesta preventivo o ti iscrivi a comunicazioni sul Sito, possono essere raccolti:

• Nome e cognome (obbligatorio)
• Indirizzo email (obbligatorio)
• Numero di telefono con prefisso internazionale (obbligatorio per il form preventivo dal 31/03/2026, opzionale negli altri form)
• Azienda / Partita IVA (opzionale)
• Descrizione del progetto e altre informazioni tecniche (obbligatorio nei form preventivo)
• Eventuali allegati caricati dall'utente
• Contenuti della conversazione con l'assistente AI "Andrea AI" (vedi §5)

2.2 Dati Raccolti Automaticamente Durante la Navigazione

Durante la navigazione, il Sito raccoglie automaticamente (tramite l'endpoint statistico first-party /api/log-event.php ospitato sullo stesso dominio) i seguenti dati a fini di statistica aggregata esente dal consenso ai sensi delle Linee Guida del Garante 10/06/2021 §7.1 (vedi Cookie Policy §2.1):

• Indirizzo IP: mai memorizzato in chiaro; trasformato in hash SHA-256 con salt segreto lato server, irreversibile, utilizzato solo per il conteggio aggregato dei visitatori unici giornalieri
• User Agent troncato (tipo di browser, versione principale, dispositivo, sistema operativo)
• Pagine visitate, ora di accesso, tipo di evento (page_view, whatsapp_click)
• Referrer (sito di provenienza)
• Risoluzione schermo e lingua del browser
• Log tecnici del web server: richieste HTTP, codici di risposta, dimensione delle risposte (gestiti dal provider di hosting per finalità di sicurezza e diagnostica)

Tutti questi dati sono raccolti in forma pseudonimizzata e aggregata, conservati per massimo 90 giorni sul server del Titolare (purga settimanale automatica) e non vengono mai condivisi con terze parti. Nessun cookie viene impostato per queste statistiche.

2.3 Dati Generati dall'Interazione con l'Assistente AI

Se utilizzi il widget "Andrea AI" presente in basso a destra sul Sito, vengono trattati:

• Testo dei messaggi inviati
• Risposte generate dal modello
• Cronologia conversazione (massimo 20 messaggi, salvati in localStorage sul tuo dispositivo)
• Dati tecnici di rate-limiting (numero richieste/ora, salvati in localStorage)
• Eventuali dati personali che inserisci spontaneamente nel testo (nome, email, dettagli del progetto, ecc.)

Vedi sezione §5 dedicata all'assistente AI per dettagli completi.

2.4 Dati di Archiviazione Locale (localStorage / sessionStorage)

Il Sito utilizza meccanismi di archiviazione locale del browser (non cookie tradizionali) per salvare:

localStorage (persistente):

• andreaAiHistory – cronologia conversazione AI (durata: fino a cancellazione manuale o reset del browser)
• andreaAiRate – contatore richieste API per anti-abuso (durata: 1 ora)
• andreaAiConsent – consenso prestato per l'uso del chatbot AI con relativo timestamp e versione (durata: persistente fino a revoca)
• aai_event_queue – coda offline di eventi della chat non ancora inviati al server (svuotata appena la connessione torna disponibile)
• darkMode – preferenza tema scuro/chiaro (durata: persistente)

sessionStorage (limitato alla scheda corrente, eliminato alla chiusura):

• aaiPV_<path> – timestamp dell'ultima visita di una specifica pagina, usato per deduplicare i conteggi di page_view entro 30 minuti. Non contiene alcun identificatore utente.
• aai_sid – identificatore opaco della sessione chat (creato solo se apri Andrea AI e presti il consenso dedicato)
• aai_csrf – token anti-CSRF della sessione chat, obbligatorio per la sicurezza dei messaggi (creato insieme a aai_sid)

Questi dati restano sul tuo dispositivo e non vengono inviati automaticamente al Titolare. Le eccezioni esplicite sono: (a) il contenuto di andreaAiHistory, trasmesso all'API DeepSeek (Cina) come contesto della conversazione dopo il consenso AI (vedi §5 e §8), e (b) il token aai_csrf, allegato dal codice JavaScript alle richieste della chat verso il backend per garantirne l'autenticità.

3. Finalità del Trattamento e Base Giuridica

Finalità	Base giuridica (GDPR)	Conservazione
Risposta a richieste di preventivo / contatto commerciale	Esecuzione di misure precontrattuali su richiesta dell'interessato (Art. 6.1.b)	24 mesi dall'ultimo contatto, salvo conclusione contratto
Esecuzione di contratti di servizio	Esecuzione del contratto (Art. 6.1.b)	10 anni dalla conclusione (obblighi civilistici e fiscali)
Adempimenti fiscali, contabili e antiriciclaggio	Obbligo legale (Art. 6.1.c) – DPR 633/1972, D.Lgs. 231/2007	10 anni dall'ultimo documento fiscale
Invio newsletter e comunicazioni commerciali	Consenso esplicito e revocabile (Art. 6.1.a, Art. 7)	Fino a revoca del consenso
Statistiche aggregate first-party sul traffico (endpoint /api/log-event.php)	Legittimo interesse del Titolare (Art. 6.1.f GDPR) — IP pseudonimizzato SHA-256, single-domain, no terze parti, no profilazione (Linee Guida Garante 10/06/2021 §7.1: esenti dal consenso)	90 giorni (purga settimanale automatica via cron)
Funzionamento dell'assistente AI "Andrea AI"	Esecuzione di misure precontrattuali su richiesta dell'utente (Art. 6.1.b) e legittimo interesse alla qualificazione dei lead (Art. 6.1.f)	Cronologia conversazione: solo lato client (vedi §5). Log API DeepSeek: vedi loro privacy
Sicurezza del Sito, prevenzione abusi e attacchi	Legittimo interesse (Art. 6.1.f) – CONSIDERANDO 49 GDPR	12 mesi (log server)
Difesa in giudizio e accertamento responsabilità	Legittimo interesse (Art. 6.1.f) o obbligo legale	Fino al termine prescrizione (max 10 anni)
Adempimento richieste di esercizio diritti GDPR	Obbligo legale (Art. 6.1.c)	5 anni dalla risposta (per prova adempimento)

4. Modalità di Trattamento e Tempi di Conservazione

I dati personali sono trattati con strumenti informatici e telematici, prevalentemente in modalità automatizzata, per il tempo strettamente necessario alle finalità per cui sono stati raccolti. Il trattamento è effettuato:

• ✓ Con accesso limitato al solo Titolare e ai responsabili autorizzati;
• ✓ Adottando misure di sicurezza tecniche e organizzative adeguate (vedi §11);
• ✓ Nel rispetto del principio di minimizzazione (Art. 5.1.c GDPR): raccogliamo solo i dati necessari;
• ✓ Nel rispetto del principio di limitazione della conservazione (Art. 5.1.e GDPR): cancellazione alla scadenza dei termini indicati in tabella §3.

Decorsi i termini di conservazione, i dati saranno cancellati o resi anonimi in modo irreversibile, salvo eventuali obblighi di legge ulteriori o esigenze di difesa in giudizio.

5. Assistente AI "Andrea AI" (Chatbot DeepSeek)

5.1 Fornitore del modello AI

L'assistente Andrea AI utilizza il modello "deepseek-chat" fornito da:

• Hangzhou DeepSeek Artificial Intelligence Basic Technology Research Co., Ltd. ("DeepSeek")
• Sede legale: Repubblica Popolare Cinese
• Endpoint API: https://api.deepseek.com/chat/completions
• Privacy Policy DeepSeek: https://chat.deepseek.com/downloads/DeepSeek Privacy Policy.html

5.2 Quali dati vengono trattati

• Testo dei messaggi che invii al chatbot (può contenere dati personali se li inserisci);
• Cronologia della conversazione corrente (max 20 messaggi inviati al modello come contesto);
• Risposte generate dal modello;
• Metadati tecnici della richiesta API: indirizzo IP del tuo dispositivo (visibile a DeepSeek), timestamp, user agent.

5.3 Dove vengono archiviati i dati

• Sul tuo dispositivo: la cronologia conversazione è salvata esclusivamente nel localStorage del tuo browser sotto la chiave andreaAiHistory. Puoi cancellarla in qualsiasi momento usando il pulsante "Ricomincia" nella chat o pulendo i dati del sito dalle impostazioni del browser.
• Sui server DeepSeek: i tuoi messaggi sono inviati ai server DeepSeek per generare la risposta. Secondo la privacy policy DeepSeek, i dati possono essere utilizzati per migliorare il servizio e conservati secondo le loro policy interne. Il Titolare non ha controllo diretto sulla conservazione lato DeepSeek.
• Sul server del Sito: NESSUN log delle conversazioni viene memorizzato sul server del Titolare. Le richieste vanno direttamente dal browser dell'utente all'API DeepSeek.

5.4 Trasferimento extra-UE verso la Cina

5.5 Base giuridica

Il trattamento si fonda su:

• Esecuzione di misure precontrattuali (Art. 6.1.b GDPR): la chat è strumento di primo contatto commerciale;
• Legittimo interesse (Art. 6.1.f GDPR) del Titolare a qualificare lead e fornire informazioni sui propri servizi;
• Consenso esplicito (Art. 49.1.a GDPR) per il trasferimento extra-UE verso la Cina, prestato avviando una conversazione dopo essere stati informati con la presente policy.

5.6 Limiti tecnici e disclaimer

• Le risposte sono generate da un modello statistico e possono contenere imprecisioni o "allucinazioni";
• Le indicazioni fornite (prezzi, tempi, soluzioni tecniche) sono puramente preliminari e non costituiscono offerta contrattuale ai sensi dell'Art. 1336 c.c.;
• Per preventivi e impegni vincolanti è necessario un contatto diretto con Andrea Piani via WhatsApp/email;
• Il sistema applica un rate-limiting di 30 messaggi/ora per dispositivo per prevenire abusi;
• L'assistente AI è classificabile, ai sensi dell'AI Act (Reg. UE 2024/1689), come sistema di IA a rischio limitato con obbligo di trasparenza (Art. 50 AI Act): l'utente è informato che sta interagendo con un sistema di IA e non con un essere umano.

5.7 Come escludere il trattamento e revocare il consenso

Puoi evitare qualsiasi trattamento da parte dell'assistente AI semplicemente non spuntando la checkbox di consenso all'apertura del chatbot, oppure non utilizzando il widget. Nessun dato viene inviato a DeepSeek finché non hai prestato il consenso e inviato un messaggio. Il widget non appare in alcun modo nelle pagine legali (privacy, cookie policy, ecc.).

Per revocare il consenso già prestato e cancellare la cronologia salvata localmente:

• Clicca sul pulsante "Ricomincia" (icona freccia circolare) nell'header della chat per cancellare la cronologia conversazione;
• Cancella i dati del sito dal tuo browser per rimuovere anche il consenso (Impostazioni → Privacy → Cancella dati di navigazione → seleziona "Cookie e dati dei siti");
• Oppure usa la modalità navigazione in incognito per impedire qualsiasi persistenza locale;
• Una volta revocato il consenso, la prossima volta che aprirai il chatbot ti verrà nuovamente richiesto di accettare la Privacy Policy prima di poter scrivere.

6. Cookie e Tecnologie di Archiviazione Locale

Il Sito utilizza cookie tecnici necessari al funzionamento (non richiedono consenso, ai sensi delle linee guida del Garante 10/06/2021) e, previo consenso, cookie analitici di terze parti.

Per l'elenco completo, durata, finalità e istruzioni per disabilitarli, consulta la nostra Cookie Policy.

Oltre ai cookie tradizionali, il Sito utilizza anche localStorage e sessionStorage del browser per salvare preferenze e dati funzionali (vedi §2.4). Questi meccanismi sono soggetti agli stessi principi di trasparenza e consenso dei cookie quando archiviano informazioni non strettamente necessarie.

7. Comunicazione, Destinatari e Responsabili Esterni

I dati personali raccolti possono essere comunicati ai seguenti destinatari, nominati ove richiesto Responsabili del Trattamento ex Art. 28 GDPR:

Fornitore	Servizio	Sede	Privacy Policy
Hosting provider del Sito	Hosting condiviso PHP/MySQL del dominio andreapiani.com (server applicativo + log tecnici)	Italia / UE	Su richiesta (contattare il Titolare)
Formspree Inc.	Gestione invio form contatto/preventivo	USA (Massachusetts)	formspree.io/legal/privacy-policy
Google LLC	Google Fonts (font tipografici caricati da fonts.googleapis.com)	USA (California)	policies.google.com/privacy
DeepSeek	API LLM per assistente "Andrea AI"	Cina (Hangzhou)	DeepSeek Privacy Policy
WhatsApp Ireland Ltd. (Meta)	Comunicazione via WhatsApp Business	Irlanda / USA	whatsapp.com/legal/privacy-policy-eea
Google LLC (Gmail)	Posta elettronica del Titolare	USA / Irlanda	policies.google.com/privacy
Commercialista / Studio fiscale	Adempimenti fiscali e contabili	Italia	Su richiesta

Categorie aggiuntive di destinatari: autorità giudiziarie, di pubblica sicurezza o altre autorità competenti, su richiesta legittima e nei limiti previsti dalla legge.

7.1 Nessuna diffusione né vendita

I dati personali non sono mai diffusi pubblicamente né venduti, ceduti o concessi in licenza a terze parti per finalità di marketing diretto, profilazione commerciale o data brokering.

8. Trasferimenti di Dati Extra-UE

Alcuni fornitori (vedi tabella §7) sono basati al di fuori dello Spazio Economico Europeo (SEE). Il trasferimento dei dati avviene sulla base delle seguenti garanzie:

8.1 Trasferimenti verso gli Stati Uniti

Per i fornitori USA (Formspree, Google Fonts, Meta/WhatsApp), il trasferimento è basato su:

• ✓ Decisione di adeguatezza UE-USA Data Privacy Framework (Decisione di esecuzione UE 2023/1795 del 10 luglio 2023), per i fornitori certificati;
• ✓ Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914);
• ✓ Eventuali misure supplementari richieste a seguito della sentenza Schrems II (CGUE C-311/18).

8.2 Trasferimenti verso la Cina (DeepSeek)

La Repubblica Popolare Cinese non beneficia di una decisione di adeguatezza e non sono attualmente in vigore SCC bilaterali tra Andrea Piani e DeepSeek. Il trasferimento si fonda quindi sul consenso esplicito dell'interessato ai sensi dell'Art. 49.1.a GDPR (deroga in caso di situazioni specifiche), prestato in modo informato attraverso l'utilizzo volontario dell'assistente AI dopo lettura dell'informativa specifica al §5.

L'utente è consapevole che, nel paese di destinazione, il livello di protezione dei dati personali può essere inferiore agli standard UE e che le autorità locali potrebbero accedere ai dati ai sensi della normativa cinese (es. Cybersecurity Law 2017, Data Security Law 2021, Personal Information Protection Law 2021).

9. Diritti dell'Interessato (Artt. 15-22 GDPR)

In qualità di interessato, hai il diritto di:

10. Decisioni Automatizzate e Profilazione

Il Titolare NON adotta processi decisionali interamente automatizzati ai sensi dell'Art. 22 GDPR che producano effetti giuridici sull'interessato o incidano significativamente sulla sua persona.

L'assistente AI "Andrea AI" descritto al §5 è uno strumento conversazionale di supporto pre-vendita: non prende decisioni automatizzate vincolanti. Ogni preventivo, contratto o decisione commerciale è valutato e firmato personalmente da Andrea Piani.

Il Sito non effettua profilazione degli utenti per finalità di marketing comportamentale o pubblicità mirata. Le statistiche aggregate first-party (vedi §2.2) sono raccolte esclusivamente in forma pseudonimizzata e aggregata per finalità di misurazione interna del traffico. Allo stato attuale nessun servizio analitico di terze parti è attivo sul Sito (vedi Cookie Policy §3); l'eventuale attivazione futura sarà preceduta da aggiornamento dell'informativa e nuova raccolta del consenso.

11. Sicurezza dei Dati e Notifica Data Breach

Il Titolare adotta misure tecniche e organizzative adeguate (Art. 32 GDPR) per garantire un livello di sicurezza appropriato al rischio:

11.1 Misure tecniche

• ✓ Crittografia HTTPS/TLS 1.3 per tutte le comunicazioni client-server;
• ✓ Certificato SSL valido e aggiornato;
• ✓ Header di sicurezza HTTP: Content-Security-Policy, X-Frame-Options, Strict-Transport-Security;
• ✓ Protezione di base (rate-limiting applicativo, validazione CSRF, controllo Origin/Referer) sugli endpoint backend del Sito; misure di sicurezza perimetrali (WAF, anti-DDoS) gestite dal provider di hosting;
• ✓ Backup regolari dei dati critici;
• ✓ Aggiornamenti software tempestivi (CMS, librerie, dipendenze);
• ✓ Pseudonimizzazione dei dati di analytics quando possibile;
• ✓ Rate-limiting sui form e sull'assistente AI per prevenire abusi.

11.2 Misure organizzative

• ✓ Accesso ai dati limitato al solo Titolare e a soggetti autorizzati con credenziali individuali;
• ✓ Autenticazione a due fattori (2FA) sugli account di gestione del Sito e dei servizi correlati;
• ✓ Password manager per la gestione sicura delle credenziali;
• ✓ Formazione continua sulle tematiche privacy e sicurezza informatica;
• ✓ Verifica periodica dei fornitori e dei loro standard di sicurezza.

11.3 Notifica violazione dei dati personali (Data Breach)

In caso di violazione dei dati personali ai sensi degli Artt. 33-34 GDPR, il Titolare:

• Notificherà il Garante Privacy entro 72 ore dalla conoscenza del fatto, ove la violazione presenti un rischio per i diritti e le libertà delle persone fisiche;
• Comunicherà la violazione direttamente agli interessati senza ingiustificato ritardo, qualora la violazione presenti un rischio elevato;
• Documenterà ogni violazione in apposito registro interno (Art. 33.5 GDPR).

12. Tutela dei Minori

I servizi del Sito non sono rivolti a minori di 14 anni (soglia italiana ex Art. 2-quinquies del Codice Privacy, inferiore ai 16 anni del GDPR di base). Non raccogliamo consapevolmente dati personali di minori senza il consenso del titolare della responsabilità genitoriale.

L'assistente AI è progettato per scopi B2B/professionali e non è indirizzato a minori. Se vieni a conoscenza che un minore ha fornito dati personali tramite il Sito, contattaci immediatamente all'indirizzo andreapiani.dev@gmail.com per la cancellazione tempestiva.

13. Modifiche alla Privacy Policy

Questa Privacy Policy può essere aggiornata periodicamente per:

• Conformità a nuove disposizioni normative (UE, italiane o internazionali);
• Modifiche ai servizi offerti, ai fornitori utilizzati o alle tecnologie integrate;
• Recepimento di linee guida del Garante Privacy o dell'EDPB;
• Miglioramenti di trasparenza e chiarezza espositiva.

Le modifiche sostanziali saranno comunicate con preavviso, ove possibile via email agli utenti registrati o tramite avviso evidente sul Sito. La data di "Ultimo aggiornamento" in alto è sempre indicativa della versione vigente. Le versioni precedenti sono conservate dal Titolare e disponibili su richiesta.

Si consiglia di consultare periodicamente questa pagina per restare aggiornato.

14. Contatti, Reclami e Autorità di Controllo

← Torna alla Homepage