1. Informazioni generali
La presente Privacy Policy descrive le modalità di trattamento dei dati personali degli utenti che visitano il sito web deexma.it (di seguito "Sito"), gestito da Deexma di Cristian Mariano con sede in Via Romualdo Marenco 28, Roma.
Il trattamento dei dati personali avviene nel rispetto del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
Deexma di Cristian Mariano è un'impresa individuale specializzata nella produzione di software non connesso all'edizione (codice ATECO 62.01), regolarmente iscritta al Registro delle Imprese di Roma dal 27/01/2022.
2. Titolare del trattamento
Deexma di Cristian Mariano
Forma giuridica: Impresa individuale
Sede legale: Via Romualdo Marenco 28, Roma
P.IVA: 16523041008
Codice Fiscale: MRNCST91A18D862I
REA: RM-1660762
Registro Imprese di Roma
Albo Artigiani: RM-336797
PEC: marianocristian@pec.it
Email: direzione@deexma.it
3. Tipologie di dati raccolti
3.1 Dati di navigazione
Durante la navigazione vengono acquisiti automaticamente alcuni dati la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (indirizzi IP, tipo di browser, sistema operativo, pagine visitate, durata della visita).
3.2 Dati forniti volontariamente
Tramite il modulo di contatto, raccogliamo:
- Nome e cognome
- Indirizzo email
- Nome dell'azienda (facoltativo)
- Messaggio di contatto
3.3 Dati raccolti tramite chatbot AI
Tramite il chatbot assistente AI, raccogliamo e trattiamo:
- Messaggi e conversazioni degli utenti
- Token di sessione per identificare le conversazioni
- Timestamp delle interazioni
- Lingua di preferenza
- User Agent del browser (per supporto tecnico)
Le conversazioni sono elaborate in tempo reale tramite l'API OpenRouter, utilizza fornitori situati negli Stati Uniti e agisce come responsabile esterno sulla base di clausole contrattuali standard (SCC). I messaggi sono quindi archiviati in Supabase (Unione Europea/USA) con cifratura a riposo e controlli di accesso granulari per fornire assistenza continuativa e storicizzare gli scambi autorizzati. Per garantire la presa in carico della richiesta, un estratto della chat viene allegato in formato HTML alla notifica email inviata al team interno tramite il server SMTP configurato dal Titolare; l'allegato contiene esclusivamente i dati inseriti dall'utente.
3.4 Cookie e tecnologie di tracciamento
Il sito utilizza diversi tipi di cookie:
- Cookie tecnici necessari: Essenziali per il funzionamento del sito (gestione sessioni, preferenze utente, token chatbot)
- Cookie di analisi (Google Analytics): Per analizzare l'utilizzo del sito e migliorare l'esperienza utente
- Cookie di funzionalità: Per ricordare le preferenze sui cookie e personalizzazioni chatbot
Puoi modificare o revocare in ogni momento le preferenze espresse tramite il pulsante persistente “Gestisci cookie” presente nel footer e all'interno della modale di impostazioni.
4. Finalità del trattamento
I dati personali sono trattati per le seguenti finalità:
- Risposta alle richieste di contatto e invio di preventivi: Base giuridica: consenso dell'interessato (art. 6, par. 1, lett. a) GDPR)
- Funzionamento del chatbot AI e supporto in tempo reale: Base giuridica: legittimo interesse del Titolare a garantire assistenza tecnica (art. 6, par. 1, lett. f) GDPR). È stato svolto un test di bilanciamento che documenta le misure di mitigazione applicate (limitazione dati, logistica di sicurezza, tempi di conservazione).
- Miglioramento dei servizi e monitoraggio sicurezza applicativa: Base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR), con dati aggregati e minimizzati.
- Analisi del traffico web (Google Analytics 4): Base giuridica: consenso espresso (art. 6, par. 1, lett. a) GDPR). Il tracciamento viene attivato solo dopo l'accettazione dei cookie analitici; sono attive l'anonimizzazione IP, la disattivazione dei Google Signals e delle personalizzazioni pubblicitarie.
- Adempimenti normativi e gestione di eventuali controversie: Base giuridica: obbligo legale (art. 6, par. 1, lett. c) GDPR).
5. Modalità del trattamento
I dati sono trattati con strumenti informatici e telematici, con modalità organizzative e logiche strettamente correlate alle finalità indicate. Sono adottate misure di sicurezza appropriate per prevenire perdita, uso illecito o non corretto dei dati.
6. Comunicazione e diffusione
I dati personali non sono oggetto di diffusione e sono condivisi esclusivamente con responsabili del trattamento nominati ai sensi dell'art. 28 GDPR:
- Supabase Inc. (USA, dati ospitati in AWS eu-central-1 – Francoforte) – infrastruttura database e storage sicuro delle conversazioni chatbot. È stato sottoscritto un Data Processing Addendum che incorpora le Standard Contractual Clauses (SCC); l'ambiente è cifrato a riposo, soggetto a controllo degli accessi e logging tecnico. Privacy: https://supabase.com/privacy – DPA: https://supabase.com/legal/dpa.
- OpenRouter (OpenPipe Labs Inc.) (USA) – instradamento delle richieste verso i modelli AI selezionati. Il trattamento avviene su infrastruttura cifrata con TLS, senza conservazione oltre il tempo strettamente necessario all'elaborazione; sono in vigore SCC e misure supplementari documentate. Privacy: https://openrouter.ai/privacy; il Data Processing Agreement firmato è disponibile su richiesta.
- Google LLC (USA) – Google Analytics 4, attivato solo previo consenso e configurato con IP masking, disattivazione dei Google Signals e della personalizzazione annunci. Il rapporto è regolato dalle SCC e dai Google Data Processing Terms. Privacy: https://policies.google.com/privacy – DPA: https://privacy.google.com/businesses/processorterms/.
- Aruba S.p.A. (Italia/UE) – servizio SMTP professionale per l'invio di notifiche email e allegati cifrati in transito (TLS obbligatorio). Il Titolare ha sottoscritto il DPA del provider e monitora periodicamente le misure di sicurezza. Privacy: https://www.aruba.it/documents/legali/informativa_aruba.pdf.
Eventuali ulteriori destinatari (es. consulenti fiscali o legali, autorità giudiziarie) ricevono i dati solo nei limiti delle finalità sopra indicate e nel rispetto della normativa vigente.
7. Trasferimento dati extra-UE
I trasferimenti verso paesi extra-UE avvengono esclusivamente nei confronti dei fornitori indicati e sulla base di:
- Standard Contractual Clauses (SCC) firmate con Supabase Inc., OpenRouter e Google LLC;
- valutazioni d'impatto sul trasferimento (TIA) aggiornate annualmente e disponibili su richiesta;
- misure supplementari quali cifratura TLS end-to-end, cifratura a riposo, segregazione degli accessi, pseudonimizzazione dei token di sessione e minimizzazione del contenuto inviato ai modelli AI.
Nel dettaglio:
- Supabase Inc. ospita i dati su AWS eu-central-1 (Francoforte). L'accesso da parte del personale Supabase, anche se basato negli USA, avviene solo per esigenze di supporto e sotto SCC, con credenziali a multifattore e logging centralizzato.
- OpenRouter tratta le conversazioni per il tempo strettamente necessario alla generazione della risposta AI, applicando pseudonimizzazione dei token e filtri per dati sensibili.
- Google LLC elabora dati di traffico esclusivamente dopo il consenso, con IP mascherato e identificatori ridotti per ridurre il rischio di re-identificazione.
8. Conservazione dei dati
Il sistema applica una policy di retention automatica: una procedura pianificata (cleanup_old_data) eseguita tramite pg_cron ogni notte alle 02:00 UTC elimina chat, sessioni e richieste di contatto più vecchie di 24 mesi. In caso di indisponibilità del job automatico, è prevista una procedura manuale documentata che replica la stessa cancellazione.
- Dati di contatto: Conservati per 24 mesi dalla raccolta
- Conversazioni chatbot: Conservate per 24 mesi dalla data della conversazione e successivamente eliminate dal job automatico
cleanup_old_data
- Token di sessione chat: Conservati per la durata della sessione e fino a 24 mesi per finalità di supporto
- Dati di navigazione: Conservati per 26 mesi (Google Analytics)
- Cookie tecnici: Durata della sessione
- Cookie di analisi: 26 mesi
- Allegati email SMTP: Conservati nella casella di posta professionale per massimo 24 mesi, con cancellazione anticipata su richiesta dell'interessato.
9. Diritti dell'interessato
L'interessato può esercitare i seguenti diritti:
- Accesso: Ottenere conferma e informazioni sui dati trattati
- Rettifica: Correggere dati inesatti o incompleti
- Cancellazione: Ottenere la cancellazione dei dati
- Limitazione: Limitare il trattamento
- Portabilità: Ricevere i dati in formato strutturato
- Opposizione: Opporsi al trattamento
- Revoca consenso: Revocare il consenso prestato
Per esercitare tali diritti scrivere a: direzione@deexma.it o marianocristian@pec.it
10. Reclamo all'Autorità Garante
È possibile proporre reclamo al Garante per la protezione dei dati personali:
Garante Privacy
Piazza Venezia, 11 - 00187 Roma
Tel: 06.696771
Email: garante@gpdp.it
11. Modifiche alla Privacy Policy
La presente Privacy Policy può essere aggiornata. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.
Ultimo aggiornamento: 18 settembre 2025
Storico aggiornamenti: 12 marzo 2024 (prima pubblicazione) – 9 gennaio 2025 (integrazione chatbot) – 18 settembre 2025 (allineamento cookie e trasferimenti extra-UE).
12. Responsabile della protezione dei dati (DPO)
Il Titolare non rientra tra i casi che rendono obbligatoria la nomina di un Responsabile della Protezione dei Dati ai sensi degli artt. 37-39 GDPR. Non è pertanto nominato un DPO; per qualsiasi richiesta relativa alla protezione dei dati è possibile contattare direttamente il Titolare ai recapiti indicati nella sezione 2.
1. General Information
This Privacy & Cookie Policy describes how personal data is processed when users visit the website deexma.it (the “Site”), managed by Deexma di Cristian Mariano, headquartered at Via Romualdo Marenco 28, Rome (Italy).
Processing is carried out in accordance with EU Regulation 2016/679 (GDPR) and the Italian Data Protection Code (Legislative Decree 196/2003 as amended by Legislative Decree 101/2018).
Deexma di Cristian Mariano is a sole proprietorship specialised in bespoke software development (ATECO code 62.01), registered with the Chamber of Commerce of Rome since 27/01/2022.
2. Data Controller
Deexma di Cristian Mariano
Legal form: Sole proprietorship
Registered office: Via Romualdo Marenco 28, 00155 Rome (Italy)
VAT: 16523041008
Tax ID: MRNCST91A18D862I
Companies Register: RM-1660762
Crafts Register: RM-336797
Certified email (PEC): marianocristian@pec.it
Email: direzione@deexma.it
3. Categories of Data Collected
3.1 Browsing data
While browsing the Site, technical information is automatically collected (IP address, browser type, operating system, visited pages, session duration), as transmission of such data is inherent to Internet communication protocols.
3.2 Data provided voluntarily
Through the contact form we collect:
- First and last name
- Email address
- Company name (optional)
- Message content
3.3 Data collected via the AI chatbot
The AI assistant processes the following:
- User messages and conversations
- Session tokens used to correlate exchanges
- Interaction timestamps
- Language preferences
- Browser User Agent (for troubleshooting)
Conversations are processed in real time through the OpenRouter API (USA), acting as an external processor under Standard Contractual Clauses (SCC). The messages are then stored in Supabase (EU/USA) with at-rest encryption and fine-grained access controls to deliver ongoing support and maintain authorised conversation history. To ensure proper handling of the request, an HTML extract of the chat is attached to the notification email sent to the internal team via the Controller's SMTP service; the attachment contains only the information voluntarily provided by the user.
3.4 Cookies and tracking technologies
The Site uses different categories of cookies:
- Strictly necessary cookies: Essential for core features such as session management, preference storage, chatbot tokens.
- Analytics cookies (Google Analytics 4): Used to understand Site usage and improve the experience.
- Functional cookies: Needed to remember cookie choices and chatbot personalisation settings.
You can review or withdraw your preferences at any time using the persistent “Manage cookies” control in the footer or inside the cookie settings modal.
4. Purposes and Legal Bases
Personal data is processed for the following purposes:
- Responding to contact requests and preparing proposals: Legal basis: data subject's consent (Art. 6(1)(a) GDPR).
- Operating the AI chatbot and providing real-time support: Legal basis: legitimate interest of the Controller to offer technical assistance (Art. 6(1)(f) GDPR). A balancing test documents the implemented safeguards (data minimisation, security controls, retention limits).
- Service improvement and application security monitoring: Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR) using aggregate, minimised data.
- Web analytics (Google Analytics 4): Legal basis: explicit consent (Art. 6(1)(a) GDPR). Tracking starts only after accepting analytics cookies; IP anonymisation, disabled Google Signals and advertising personalisation are enforced.
- Compliance with legal obligations and dispute management: Legal basis: legal obligation (Art. 6(1)(c) GDPR).
5. Processing Methods
Data is processed using electronic tools with organisational measures strictly aligned to the stated purposes. Appropriate security safeguards are adopted to prevent loss, unlawful use or unauthorised access.
6. Data Sharing
Data is not disseminated and is shared only with processors appointed under Article 28 GDPR:
- Supabase Inc. (USA, data hosted on AWS eu-central-1 – Frankfurt) – database infrastructure and secure storage of chatbot conversations. A Data Processing Addendum including the SCC is in force, with at-rest encryption, access management and security logging. Privacy: https://supabase.com/privacy – DPA: https://supabase.com/legal/dpa.
- OpenRouter (OpenPipe Labs Inc.) (USA) – routing chat requests to selected AI models. Processing occurs over encrypted TLS channels and data is not retained beyond the time required to generate the response; SCC and documented supplementary measures apply. Privacy: https://openrouter.ai/privacy; a signed Data Processing Agreement is available on request.
- Google LLC (USA) – Google Analytics 4, enabled only after consent and configured with IP masking, disabled Google Signals and no advertising personalisation. The relationship is governed by the SCC and Google Data Processing Terms. Privacy: https://policies.google.com/privacy – DPA: https://privacy.google.com/businesses/processorterms/.
- Aruba S.p.A. (Italy/EU) – professional SMTP service for sending email notifications with mandatory TLS encryption. The Controller has signed the provider's DPA and periodically verifies the implemented safeguards. Privacy: https://www.aruba.it/documents/legali/informativa_aruba.pdf.
Additional recipients (e.g. accountants, legal advisors, judicial authorities) receive data only when necessary for the purposes described above and in compliance with applicable law.
7. International Transfers
Transfers outside the EU/EEA take place solely with the providers listed above and rely on:
- Standard Contractual Clauses (SCC) executed with Supabase Inc., OpenRouter and Google LLC;
- Transfer Impact Assessments (TIA) reviewed annually and available upon request;
- Supplementary measures such as TLS end-to-end encryption, at-rest encryption, access segregation, session token pseudonymisation and minimisation of the content forwarded to AI models.
Specifically:
- Supabase Inc. keeps data in AWS eu-central-1 (Frankfurt). Any support access by Supabase personnel, including staff located in the USA, is covered by SCC and secured through multi-factor authentication and centralised logging.
- OpenRouter processes conversations only for the time strictly needed to produce the AI response, applying token pseudonymisation and filters for sensitive content.
- Google LLC processes traffic data only after consent, using masked IP addresses and reduced identifiers to limit re-identification risks.
8. Data Retention
An automated retention policy is enforced: the cleanup_old_data procedure scheduled via pg_cron runs every night at 02:00 UTC to delete chats, sessions and contact requests older than 24 months. If the automated job is unavailable, a documented manual procedure performs the same deletion.
- Contact requests: Stored for 24 months from collection.
- Chatbot conversations: Stored for 24 months from the interaction date and then removed by the
cleanup_old_data job.
- Chat session tokens: Retained for the session duration and up to 24 months for support purposes.
- Browsing data: Retained for 26 months (Google Analytics).
- Technical cookies: Session duration only.
- Analytics cookies: 26 months.
- SMTP email attachments: Kept in the professional mailbox for a maximum of 24 months, with earlier deletion available upon request.
9. Data Subject Rights
Individuals may exercise the following rights under Articles 15-22 GDPR:
- Access: Obtain confirmation and information on personal data being processed.
- Rectification: Correct inaccurate or incomplete data.
- Erasure: Request deletion of personal data.
- Restriction: Restrict processing under specific conditions.
- Portability: Receive data in a structured, machine-readable format.
- Objection: Object to processing carried out on legitimate interest grounds.
- Withdraw consent: Revoke consent at any time.
Requests can be sent to direzione@deexma.it or marianocristian@pec.it.
10. Complaints to the Supervisory Authority
Data subjects may lodge a complaint with the Italian Data Protection Authority (Garante per la Protezione dei Dati Personali):
Garante Privacy
Piazza Venezia, 11 – 00187 Rome
Tel: +39 06 69677 1
Email: garante@gpdp.it
11. Policy Updates
This Policy may be updated. Changes will be published on this page with the indication of the latest revision date.
Last update: 18 September 2025
Change log: 12 March 2024 (first publication) – 9 January 2025 (chatbot integration) – 18 September 2025 (cookie alignment and extra-EU transfers).
12. Data Protection Officer (DPO)
The Controller is not required to appoint a Data Protection Officer under Articles 37-39 GDPR. Therefore, no DPO has been designated; any privacy-related request can be addressed directly to the Controller using the contacts listed in Section 2.