One2One

Privacy Policy

Ultimo aggiornamento: 17 febbraio 2026

1. Titolare del Trattamento

One2One di Giovanni Marascio

2. Finalità del Trattamento

One2One tratta dati personali per le seguenti finalità:

A. Comunicazione e Servizi Richiesti

  • Rispondere a richieste di informazioni tramite form contatti
  • Fornire servizi di web development e digitalizzazione ristoranti
  • Gestire onboarding e supporto clienti
  • Comunicazioni via email, WhatsApp, telefono

B. Adempimenti Contrattuali e Legali

  • Esecuzione contratti di servizio (menu digitali, siti custom)
  • Gestione fatturazione e pagamenti tramite Stripe
  • Adempimento di obblighi legali e fiscali

C. Analytics e Miglioramento Servizio

  • Analisi del comportamento utenti sul sito (Google Analytics 4)
  • Monitoraggio performance e usabilità
  • Identificazione problemi tecnici e miglioramenti UX
  • Tracking conversioni e funnels di marketing

D. Pubblicità e Marketing (solo con consenso esplicito)

  • Remarketing tramite Meta Pixel (Facebook, Instagram, Audience Network)
  • Profilazione per annunci personalizzati
  • Segmentazione utenti per campagne specifiche
  • Tracking conversioni da campagne pubblicitarie

E. Menu Digitali Pubblici – Analytics

  • Tracciamento anonimo di visite al menu, visualizzazioni prodotti, selezione categorie (solo con consenso utente)
  • Statistiche aggregate per i ristoratori (piatti più visti, device mix, orari di picco)
  • Sessione anonima tramite cookie o2o_session (30 minuti, non collegato a identità)

F. sensAI – Assistente AI del Menu

  • Rispondere a domande degli utenti sul menu del ristorante
  • Suggerire piatti in base a preferenze alimentari, allergie e gusti dichiarati dall'utente
  • Elaborazione messaggi tramite Google Gemini API (intelligenza artificiale generativa)

Dati particolari (Art. 9 GDPR): le informazioni su allergie e intolleranze alimentari dichiarate volontariamente dall'utente in chat costituiscono dati relativi alla salute. Questi dati vengono trattati esclusivamente per rispondere alla richiesta dell'utente,non vengono salvati nel database e si perdono alla chiusura della sessione browser. Base giuridica: Art. 9(2)(a) GDPR – consenso esplicito tramite azione volontaria dell'utente.

G. Ordini e Chiama Cameriere via WhatsApp

  • Facilitare l'invio di ordini dal menu digitale al ristorante tramite WhatsApp
  • Permettere al cliente di contattare il cameriere indicando il numero del tavolo
  • One2One genera un deep link WhatsApp: la comunicazione avviene direttamente tra cliente e ristorante
  • One2One non memorizza il numero WhatsApp del cliente finale, il contenuto dell'ordine, né il numero del tavolo

3. Base Giuridica del Trattamento

Il trattamento si fonda su:

  • Articolo 6(1)(b) GDPR: Adempimento contratto (servizi SaaS, siti custom)
  • Articolo 6(1)(a) GDPR: Consenso esplicito (analytics, marketing, pixel)
  • Articolo 6(1)(c) GDPR: Obbligo legale (normativa fiscale, riciclaggio)
  • Articolo 6(1)(f) GDPR: Legittimo interesse (sicurezza, prevenzione frodi)

Per analytics e marketing il trattamento richiede consenso preventivo tramite cookie banner, conformemente a Google Consent Mode v2 e regolamento ePrivacy.

4. Categorie di Dati Trattati

Dati Forniti Direttamente

  • Nome completo
  • Indirizzo email
  • Numero telefono / WhatsApp
  • Nome attività / razionalità sociale
  • Messaggi, note, richieste via form

Dati Raccolti Automaticamente

Google Analytics 4 (per analytics e statistiche)

  • Identificativo anonimo sessione (GA4 client ID)
  • Tipo dispositivo (mobile, tablet, desktop)
  • Sistema operativo e browser
  • Paese, città (da IP geolocalizzazione)
  • Pagine visitate e durata visita
  • Scroll depth, click su elementi
  • Conversioni e funnel progress
  • Referrer, sorgente traffico

Nota: GA4 è configurato con anonimizzazione IP e senza tracciamento PII diretti.

Meta Pixel (per remarketing e marketing, solo con consenso)

  • Pixel ID Facebook/Instagram
  • Hash email (se fornita su form)
  • Identificativo dispositivo annunci
  • Evento conversione (pageview, lead, purchase)
  • Device identifiers anonimizzati

Analytics Menu Digitali (solo con consenso)

  • ID sessione anonimo (cookie o2o_session, 30 min)
  • Tipo dispositivo (mobile, tablet, desktop)
  • Eventi: visualizzazione pagina, prodotto, selezione categoria, click prodotto

Nota: Questi dati non sono collegati a identità personale e non vengono usati per profilazione.

sensAI Chat (temporaneo, non persistito)

  • Messaggi testuali inseriti dall'utente nella chat
  • Preferenze alimentari e allergie dichiarate (dati sanitari – Art. 9 GDPR)
  • Indirizzo IP (esclusivamente per rate limiting, non salvato nel database)

Nota: I messaggi della chat non vengono salvati nel database né in localStorage. Vengono inviati a Google Gemini API per l'elaborazione e si perdono alla chiusura della sessione browser.

5. Destinatari dei Dati

I dati possono essere comunicati a:

Fornitori di Servizi (Data Processor)

  • Hetzner Online GmbH – VPS hosting, database PostgreSQL – Germania (EU) – Privacy
  • Cloudflare – CDN, R2 Storage (immagini) – EU/USA con DPA – Privacy
  • Google Cloud (GA4, GTM) – Analytics USA-based con DPA – Privacy
  • Meta / Facebook – Per Meta Pixel e remarketing – Privacy
  • Stripe – Pagamenti online (PCI compliant) – Privacy
  • Resend – Invio email transazionali – Privacy
  • Google Cloud (Gemini API) – Elaborazione linguaggio naturale per sensAI (chat menu) – USA con DPA – Terms
  • WhatsApp (Meta) – Comunicazione ordini e chiama cameriere (deep link, One2One non memorizza i dati) – Privacy

6. Trasferimenti Internazionali Dati (Extra-UE)

Alcuni fornitori trasferiscono dati fuori dell'UE:

  • Google (USA): Beneficia di EU-US Data Privacy Framework e SCCs
  • Meta (USA): Beneficia di Meta Data Transfer Framework e SCCs
  • Cloudflare (USA): Beneficia di EU-US Data Privacy Framework e SCCs
  • Google Gemini API (USA): Dati elaborati per sensAI chat menu – EU-US Data Privacy Framework e SCCs. I messaggi sono trasmessi per l'elaborazione e non vengono conservati da Google oltre il necessario per la risposta (API Terms of Service)

Nota: Il database principale e l'applicazione sono ospitati interamente in Germania (Hetzner, Falkenstein) senza trasferimenti extra-UE per i dati core.

Per ulteriori informazioni sui transfer extra-UE, contattare info@one2one.it

7. Tempi di Conservazione

Categoria DatiPeriodo ConservazioneMotivo
Dati contatti form3 anniLegittimo interesse / archivio commerciale
Dati clienti attivi (SaaS/Custom)Durata contratto + 5 anniObblighi fiscali e legali
Google Analytics 414 mesi (default)Aggregati statistici
Cookie consenso365 giorniGestione preferenze utente
Meta Pixel tracking90 giorniFinestra conversione Meta standard
Analytics menu digitali12 mesiStatistiche aggregate per ristoratori
sensAI chat (messaggi)Sessione browserNon persistiti – persi alla chiusura del browser
Ordini WhatsAppNon conservatiDeep link generato e inviato – One2One non memorizza

Post-cancellazione: Dati eliminati entro 30 giorni, salvo obblighi legali di conservazione.

8. Diritti dell'Interessato (Articoli 15-22 GDPR)

Ogni persona ha il diritto di:

Diritto di Accesso (Art. 15)

Conoscere quali dati One2One possiede su di te e ricevere copia in formato strutturato.

Diritto di Rettifica (Art. 16)

Correggere dati imprecisi o incompleti.

Diritto di Cancellazione (Art. 17 - "Diritto all'Oblio")

Farsi cancellare i dati, salvo obblighi legali e contrattuali.

Diritto di Portabilità (Art. 20)

Ricevere dati in formato strutturato (CSV, JSON) e trasferirli a altro titolare.

Diritto di Opposizione (Art. 21)

Opporsi al trattamento per marketing diretto e profilazione.

9. Come Esercitare i Diritti

Per esercitare qualsiasi diritto sopra:

Email: info@one2one.it

Tempo risposta: 30 giorni (45 giorni per richieste complesse)

One2One si impegna a verificare l'identità del richiedente e rispondere senza costi aggiuntivi, fornendo i dati gratuitamente in formato standard.

10. Cookie e Tecnologie di Tracciamento

Vedi Cookie Policy per dettagli completi su tipologia cookie, strumenti di tracciamento (GA4, Meta Pixel, GTM) e come gestire il consenso.

11. Sicurezza dei Dati

One2One implementa:

  • Crittografia in transito: SSL/TLS via Let's Encrypt (auto-renewal)
  • Crittografia a riposo: Volume Docker crittografati su VPS
  • Controllo accesso: Autenticazione Lucia v3 con sessioni server-side
  • Backup automatici: Backup giornaliero PostgreSQL (3:00 AM, retention 7 giorni)
  • Isolamento tenant: RLS (Row-Level Security) con FORCE RLS
  • Firewall: UFW con accesso limitato (80, 443, 22)
  • Rate limiting: Protezione brute-force su login e magic link
  • Validation input: Zod validation, SQL injection prevention

12. Reclami e Contatti Autorità

Se ritieni che One2One violi diritti GDPR:

  1. Contattare direttamente info@one2one.it – cercheremo una soluzione
  2. Reclamo al Garante per la Protezione dei Dati Personali (Italia):

13. Modifiche alla Privacy Policy

One2One può aggiornare questa policy in qualsiasi momento per cambiamenti normativi GDPR, nuovi fornitori di servizi o nuove funzionalità. Variazioni significative comunicate via email ai clienti attivi o banner sul sito.

Versione: 3.0

Data: 17 febbraio 2026

Prossima revisione: 17 febbraio 2027

← Torna al sitoCookie Policy