Informativa Privacy

Trattiamo le seguenti categorie di dati personali:

• Dati di registrazione: nome, cognome, email, password (in forma hashata), data di nascita, lingua preferita.
• Dati di profilo: numero di telefono, fotografia del profilo, ruolo (utente, istruttore, gestore palestra).
• Dati di fatturazione (solo per gestori palestra): ragione sociale, codice fiscale, partita IVA, indirizzo, codice destinatario SDI o PEC.
• Dati di utilizzo della Piattaforma: prenotazioni, check-in, allenamenti registrati, record personali, badge, streak, comunicazioni inviate/ricevute.
• Dati di pagamento: gestiti direttamente dai provider Stripe e PayPal. Il Titolare non memorizza dati di carta. Conserva esclusivamente identificatori tecnici (es. customer_id, subscription_id) ed esiti di pagamento.
• Dati di geolocalizzazione (facoltativi): coordinate della palestra ai fini di visualizzazione mappa. Per gli utenti non viene raccolta posizione precisa.
• Categorie particolari di dati (Art. 9 GDPR): certificati medico-sportivi e relativa data di scadenza, quando caricati. Vedi sezione dedicata.
• Dati tecnici: indirizzo IP, user agent, log applicativi, identificatori dispositivo (per notifiche push), token sessione.

Il caricamento del certificato medico-sportivo (idoneità non agonistica o agonistica) costituisce trattamento di categoria particolare di dati personali (dati relativi alla salute). Tale trattamento è effettuato esclusivamente:

• sulla base del Suo consenso esplicito separato, raccolto prima del primo caricamento;
• per la finalità tassativa di verificare l'idoneità sportiva richiesta dalla palestra ai fini dell'accesso ai servizi;
• con accesso limitato al gestore della palestra a cui il documento è destinato e ai tecnici Gymmi autorizzati;
• conservato in storage cifrato (Supabase Storage, bucket privato, regione EU) e cancellato entro 30 giorni dalla revoca del consenso o dalla cessazione del rapporto con la palestra.

Il consenso al trattamento dei dati sanitari può essere revocato in qualsiasi momento dalla sezione «Privacy e dati» del profilo. La revoca comporta la cancellazione del certificato e l'impossibilità di accedere ai servizi che richiedono idoneità sportiva.

I dati sono trattati per le seguenti finalità e con le relative basi giuridiche (Art. 6 GDPR):

• Erogazione del servizio (account, prenotazioni, abbonamenti, pagamenti, gestione palestra): esecuzione del contratto — Art. 6(1)(b) GDPR.
• Adempimenti fiscali, contabili e antiriciclaggio: obbligo legale — Art. 6(1)(c) GDPR.
• Sicurezza informatica (log accessi, anti-frode, anti-abuso): legittimo interesse del Titolare a proteggere la Piattaforma — Art. 6(1)(f) GDPR.
• Trattamento certificati medico-sportivi: consenso esplicito — Art. 9(2)(a) GDPR.
• Comunicazioni commerciali e marketing diretto (newsletter, promozioni): consenso facoltativo, revocabile in ogni momento — Art. 6(1)(a) GDPR.
• Profilazione per offerte personalizzate: consenso facoltativo, attualmente non attivato sulla Piattaforma.
• Cookie e tecnologie analoghe: vedi Cookie Policy.

Il trattamento è effettuato con strumenti informatici e telematici, con misure tecniche e organizzative idonee a garantire integrità, riservatezza e disponibilità dei dati (Art. 32 GDPR): cifratura at-rest e in-transit (TLS 1.2+), controllo degli accessi basato su ruoli (RBAC), Row-Level Security sul database, segregazione ambienti (staging/produzione), backup cifrati, logging delle attività amministrative.

Per erogare il servizio ci avvaliamo di fornitori terzi («sub-responsabili») che trattano i dati per nostro conto. L'elenco aggiornato è pubblicato in Registro sub-processor e include in via esemplificativa: Supabase Inc. (database, autenticazione, storage — server in Germania), Stripe Payments Europe Ltd. (pagamenti), PayPal Europe S.à r.l. (pagamenti alternativi), Google Ireland Ltd. (notifiche push tramite Firebase Cloud Messaging), Functional Software Inc. (Sentry — error monitoring), Vercel Inc. (hosting frontend e API), Google LLC (Maps Platform per geolocalizzazione palestre).

Alcuni fornitori hanno sede o effettuano trasferimenti negli Stati Uniti: tali trasferimenti avvengono sulla base delle Standard Contractual Clauses approvate dalla Commissione UE (Decisione 2021/914) e, ove applicabile, dell'adesione al «EU-US Data Privacy Framework». Documentazione disponibile su richiesta a privacy@gymmi.it.

• Dati account: per tutta la durata del rapporto contrattuale e 30 giorni dopo la richiesta di cancellazione (periodo di grace per recupero).
• Dati contabili e fiscali: 10 anni, come previsto dall'art. 2220 c.c. e dalla normativa fiscale italiana.
• Log tecnici: 12 mesi.
• Certificati medici: fino a 30 giorni dopo scadenza o revoca del consenso.
• Audit log dei consensi: per tutta la durata del rapporto e 5 anni dopo la cessazione, ai fini di dimostrabilità (Art. 7 GDPR).
• Dati per marketing: fino a revoca del consenso.

In qualità di interessato, può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR:

• diritto di accesso (Art. 15);
• diritto di rettifica (Art. 16);
• diritto alla cancellazione / oblio (Art. 17);
• diritto di limitazione del trattamento (Art. 18);
• diritto alla portabilità in formato strutturato e leggibile da computer (Art. 20);
• diritto di opposizione al trattamento per legittimo interesse o marketing (Art. 21);
• diritto di non essere sottoposto a decisioni automatizzate (Art. 22).

La maggior parte dei diritti è esercitabile direttamente dalla sezione «Privacy e dati» del Suo profilo Gymmi (esportazione, cancellazione, revoca consensi). Per richieste specifiche, scriva a privacy@gymmi.it. Risponderemo entro 30 giorni (prorogabili di ulteriori 60 in casi complessi, ex Art. 12(3) GDPR).

Qualora ritenga che il trattamento violi il GDPR, ha diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, oppure tramite il sito garanteprivacy.it.

La Piattaforma è destinata a utenti di età pari o superiore ai 14 anni (Art. 2-quinquies del Codice Privacy italiano). Gli utenti di età compresa tra 13 e 14 anni possono iscriversi solo previo consenso del genitore o tutore legale: contattare privacy@gymmi.it. La registrazione autonoma di utenti sotto i 13 anni non è consentita.

La Piattaforma non utilizza processi decisionali interamente automatizzati che producano effetti giuridici sull'utente (Art. 22 GDPR). Eventuali raccomandazioni di allenamento o gamification sono basate su regole semplici e modificabili dall'utente.

Il Titolare si riserva il diritto di aggiornare la presente informativa. Modifiche sostanziali saranno comunicate via email o tramite avviso in app, richiedendo se necessario una nuova accettazione. La versione corrente è 1.0.0.