Data Processing Agreement

La Palestra è il Titolare del trattamento dei dati personali dei propri iscritti e collaboratori; determina le finalità del trattamento e le modalità di erogazione del servizio sportivo.

Lilius di Enzo Corsiero agisce come Responsabile del trattamento: tratta i dati personali per conto della Palestra, ai fini di erogare la Piattaforma e i servizi connessi.

Resta inteso che, per i dati raccolti direttamente dal Fornitore presso l'Utente Finale per finalità proprie (es. funzionalità trasversali, sicurezza della Piattaforma, dati di marketing dei singoli utenti), il Fornitore agisce come Titolare autonomo.

• Oggetto: trattamento di dati personali degli iscritti, collaboratori e contatti della Palestra ai fini dell'erogazione della Piattaforma.
• Durata: per tutta la durata del contratto tra Palestra e Fornitore, salvo obblighi di conservazione successivi.
• Natura: archiviazione, organizzazione, consultazione, estrazione, comunicazione, cancellazione su istruzione del Titolare.
• Finalità: erogazione del servizio Gymmi alla Palestra (gestione iscrizioni, prenotazioni, allenamenti, pagamenti, comunicazioni).
• Categorie di dati: dati identificativi, di contatto, di pagamento, di utilizzo della Piattaforma; certificati medico-sportivi (categorie particolari Art. 9 GDPR).
• Categorie di interessati: iscritti, collaboratori, istruttori, contatti commerciali della Palestra.

Il Fornitore si impegna a:

• trattare i dati esclusivamente per finalità autorizzate dalla Palestra e nei limiti delle istruzioni documentate ricevute;
• garantire che le persone autorizzate al trattamento siano vincolate da obbligo di riservatezza;
• adottare misure tecniche e organizzative adeguate (Art. 32 GDPR) — cifratura at-rest e in-transit, RBAC, RLS database, logging, segregazione ambienti, backup cifrati, gestione vulnerabilità;
• assistere la Palestra nell'evasione delle richieste degli interessati (Artt. 15-22 GDPR) e nell'adempimento agli obblighi di notifica violazioni (Artt. 33-34 GDPR);
• notificare alla Palestra qualsiasi violazione di dati personali (data breach) di cui venga a conoscenza, senza ingiustificato ritardo e comunque entro 48 ore;
• su istruzione della Palestra, cancellare o restituire i dati al termine della prestazione, salvo obblighi di conservazione di legge;
• mettere a disposizione della Palestra ogni informazione necessaria a dimostrare il rispetto del presente DPA, consentendo audit ragionevolmente programmati.

La Palestra autorizza il Fornitore ad avvalersi di sub-responsabili per l'erogazione del servizio (hosting, pagamenti, notifiche push, error monitoring, ecc.). L'elenco aggiornato è pubblicato all'indirizzo /legal/sub-processor e include:

• Supabase Inc. — hosting database, autenticazione, storage (server in Germania, UE);
• Stripe Payments Europe Ltd. — elaborazione pagamenti;
• PayPal Europe S.à r.l. — elaborazione pagamenti alternativi;
• Google Ireland Ltd. (Firebase Cloud Messaging) — notifiche push;
• Functional Software Inc. (Sentry) — error monitoring;
• Vercel Inc. — hosting frontend e API;
• Google LLC (Maps Platform) — geocoding indirizzi palestre.

Il Fornitore impone ai sub-responsabili obblighi di protezione dati equivalenti a quelli del presente DPA, mediante contratti scritti. Comunicherà con preavviso ragionevole l'intenzione di aggiungere o sostituire sub-responsabili; la Palestra potrà opporsi per motivi legittimi e, in caso di disaccordo non risolvibile, recedere dal contratto.

Alcuni sub-responsabili (Stripe, Google, Sentry, Vercel) possono comportare trasferimenti di dati verso gli Stati Uniti. Tali trasferimenti avvengono sulla base delle Standard Contractual Clauses approvate dalla Commissione UE (Decisione 2021/914) e, ove applicabile, attraverso l'adesione del fornitore al «EU-US Data Privacy Framework». Documentazione fornita su richiesta.

La Palestra è responsabile della raccolta del consenso esplicito degli iscritti al trattamento dei dati sanitari (certificato medico-sportivo). Il Fornitore predispone la funzionalità tecnica per la raccolta del consenso e la conservazione cifrata del documento.

Il Fornitore mette a disposizione della Palestra, su richiesta scritta motivata, le informazioni e la documentazione necessaria a dimostrare il rispetto degli obblighi previsti dal GDPR e dal presente DPA, anche per il tramite di certificazioni e report di audit di terze parti, ove disponibili.

Al termine del contratto, la Palestra può richiedere — entro 30 giorni — l'esportazione dei propri dati in formato strutturato. Decorso tale termine, il Fornitore procederà alla cancellazione dei dati nei tempi tecnici necessari (incluso lo svuotamento dei backup periodici), fermi gli obblighi di conservazione di legge.

Le responsabilità delle parti sono regolate dai Termini B2B applicabili. In ogni caso, ciascuna parte risponde delle violazioni del GDPR direttamente imputabili al proprio operato, secondo i criteri stabiliti dall'Art. 82 GDPR.

Il presente DPA può essere aggiornato per recepire modifiche normative o operative. Variazioni sostanziali saranno comunicate alla Palestra con preavviso di almeno 30 giorni. La versione corrente è 1.0.0.