Privacy Policy
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 30 giugno 2003, n. 196 come modificato dal D.Lgs. 101/2018. Si applica al sito fitflowapp.fit, alla web app, all'app iOS e all'app Android (TWA) FitFlow.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite il sito fitflowapp.fit, la web app, l'app iOS e l'app Android di FitFlow è:
Manuel Minelle
E-mail: fitflowapp@outlook.com
Per qualsiasi richiesta relativa alla presente informativa o all'esercizio dei diritti previsti dal GDPR, l'utente può scrivere all'indirizzo e-mail sopra indicato. La risposta verrà fornita entro 30 giorni dalla ricezione della richiesta. Per assistenza tecnica è disponibile la pagina dedicata Assistenza.
Il Titolare ha valutato di non essere tenuto alla designazione di un Data Protection Officer (DPO)ai sensi dell'art. 37 GDPR, in quanto il trattamento non costituisce l'attività principale di un'autorità pubblica e non integra i requisiti di "larga scala" di monitoraggio sistematico o di trattamento di categorie particolari di dati definiti dalle linee guida WP29 del Comitato europeo per la protezione dei dati. Tale valutazione viene riesaminata periodicamente in base all'evoluzione del servizio.
2. Tipologie di dati trattati
2.1 Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento del sito acquisiscono, nel corso del normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet:
- indirizzo IP del dispositivo dell'utente (o nome a dominio)
- User-Agent (stringa identificativa di browser, sistema operativo, versione e dispositivo)
- indirizzi URI (Uniform Resource Identifier) delle risorse richieste
- orario della richiesta, metodo HTTP utilizzato, dimensione del file ottenuto
- codice numerico indicante lo stato della risposta del server
- referer (URL della pagina di provenienza, se fornito dal browser)
Questi dati vengono raccolti automaticamente dai log tecnici di Vercel (hosting) e Supabase (backend) e utilizzati esclusivamente per: (a) garantire il corretto funzionamento del sito, (b) rilevare e prevenire attività fraudolente o abusive, (c) produrre statistiche aggregate di accesso. La base giuridica è il legittimo interesse del Titolare (art. 6.1.f GDPR) alla sicurezza e alla diagnostica del servizio. I log vengono cancellati o anonimizzati entro i tempi indicati al punto 7.
2.2 Dati forniti volontariamente dall'utente
L'invio facoltativo di e-mail agli indirizzi indicati su questo sito (per richieste di demo, informazioni o supporto) comporta l'acquisizione dell'indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nel messaggio.
2.3 Dati relativi all'account FitFlow (utenti registrati)
Per gli utenti che si registrano alla piattaforma FitFlow trattiamo:
- indirizzo e-mail, nome, cognome, numero di telefono (facoltativo)
- credenziali di autenticazione (password in formato hash gestito da Supabase Auth, mai in chiaro)
- fotografia del profilo e logo dell'Organizzazione, caricati in modo facoltativo dall'utente (storage Supabase, bucket pubblico
avatars/org-logos). Si tratta di una scelta tecnica proporzionale alla finalità: l'URL della foto è recapitato direttamente nei tag<img>dell'interfaccia senza firma a tempo per consentire il caricamento rapido in tutta l'applicazione. L'URL non è indicizzato dai motori di ricerca e comunica solo l'identificativo univoco dell'utente, ma chi ne sia in possesso può visualizzare l'immagine. L'utente che preferisce non rendere disponibile la propria foto può ometterne il caricamento o sostituirla con l'icona di default. - ruolo applicativo (trainer, cliente, collaboratore, amministratore di organizzazione)
- dati di utilizzo della piattaforma (data ultimo accesso, organizzazione di appartenenza, sessioni attive)
2.4 Dati relativi ai clienti del trainer / dell'organizzazione
Quando un trainer, una palestra, uno studio o un box utilizza FitFlow per gestire i propri clienti, vengono trattati dati personali dei clienti stessi (nome, cognome, e-mail, telefono, data di nascita, sesso, misurazioni corporee, schede di allenamento, scadenze, prenotazioni ai corsi di gruppo). Per il dettaglio dei rispettivi ruoli si rimanda alla sezione 12 dedicata al trattamento in qualità di Responsabile ex art. 28 GDPR.
2.5 Dati raccolti tramite cookie e strumenti di analisi
Il sito utilizza cookie tecnici necessari e, previo consenso esplicito, cookie analitici di terze parti (Google Analytics 4) per misurare l'utilizzo del sito in forma aggregata. Per il dettaglio si rimanda alla Cookie Policy.
2.6 Dati relativi alla salute e al fitness (art. 9 GDPR)
FitFlow è un'applicazione di fitness e wellness: non è un dispositivo medico ai sensi del Regolamento (UE) 2017/745 (MDR), non è destinato a diagnosi, terapia, prevenzione o monitoraggio clinico, e i calcolatori e i parametri prodotti non costituiscono consigli medici. La responsabilità clinica nell'utilizzo dei dati spetta al professionista che eroga il servizio (trainer o struttura di appartenenza).
In questo contesto trattiamo categorie particolari di dati personali ai sensi dell'art. 9 GDPR, ossia dati relativi alla salutee dati relativi al fitness e al rendimento sportivo dell'utente. Nello specifico:
- Certificati medici sportiviin formato PDF o immagine (JPG/PNG), caricati facoltativamente dall'utente o dal trainer per attestare l'idoneità alla pratica sportiva e per gestire le relative scadenze. I certificati sono ospitati nel bucket di storage privato
certificati-medicidi Supabase, accessibile solo tramite URL firmati con scadenza di breve durata e protetto da policy di Row Level Security. - Misurazioni corporee complete: peso, altezza, fino a 14 circonferenze (collo, spalle, torace, vita, fianchi, braccia, avambracci, cosce, ginocchia, polpacci…), fino a 7 pliche cutanee (sub-scapolare, tricipitale, pettorale, addominale, sovra-iliaca, coscia, ascellare-media), percentuale di massa grassa e massa magra stimate.
- Parametri cardiovascolari: VO₂max stimato e zone di frequenza cardiaca calcolate dai parametri inseriti dall'utente.
- Risultati di allenamento: carichi sollevati per esercizio, set e ripetizioni eseguite, 1RM stimato, volume di allenamento per gruppo muscolare, note tecniche aggiunte dall'utente o dal trainer.
- Output dei calcolatori messi a disposizione dalla piattaforma (1RM, calorie e macro-nutrienti, plicometria, volume settimanale, zone di frequenza cardiaca, VO₂max).
Questi dati vengono raccolti unicamente per la finalità di programmazione, monitoraggio e progresso dell'attività sportiva. Non vengono utilizzati per finalità diagnostiche, per profilazione sanitaria, per finalità assicurative o per cessione a terzi. La base giuridica è il consenso esplicito dell'interessatoai sensi dell'art. 9.2.a GDPR, raccolto al primo caricamento di un certificato medico tramite checkbox bloccante che riconosce la natura sensibile del dato.
Destinatario del consenso e ruolo dei soggetti coinvolti: quando il cliente è collegato a un'Organizzazione (trainer, palestra, studio, box) che lo ha invitato all'app, il consenso al trattamento dei dati di salute viene raccoltoper conto dell'Organizzazione titolaredei dati del proprio cliente, come dichiarato dalla checkbox in app («Acconsento al trattamento dei dati sanitari contenuti nel certificato ai sensi dell'art. 9 par. 2 lett. a) GDPR per le finalità di gestione dell'idoneità sportiva descritte nell'informativa privacy della struttura»). FitFlow agisce in tal caso come Responsabile esterno del trattamento ex art. 28 GDPR (si veda la sez. 12dedicata). Se invece l'utente utilizza FitFlow senza appartenere a un'Organizzazione, FitFlow agisce come Titolare autonomo e il consenso è raccolto a proprio favore.
Il consenso è sempre revocabile in qualunque momento dall'area personale dell'app oppure rivolgendosi direttamente all'Organizzazione titolare quando applicabile. Per questioni tecniche o per richieste rivolte al Responsabile esterno è possibile scrivere anche a fitflowapp@outlook.com.
2.7 Dati tecnici per la prevenzione abusi (CAPTCHA)
Le pagine di accesso e i form pubblici di contatto utilizzano Cloudflare Turnstilein modalità invisibile per prevenire bot e accessi automatizzati. L'esecuzione del challenge comporta lettura dell'indirizzo IP, dello User-Agent e del referer e l'impostazione di un identificatore tecnico Cloudflare nel browser per la durata del challenge. La base giuridica è il legittimo interesse del Titolare (art. 6.1.f GDPR) alla sicurezza degli account.
3. Base giuridica del trattamento
Il trattamento dei dati personali avviene sulla base delle seguenti basi giuridiche, ai sensi degli artt. 6 e 9 del GDPR:
- Esecuzione di un contratto o misure precontrattuali (art. 6.1.b GDPR): per la creazione e gestione dell'account FitFlow, l'erogazione del servizio e la gestione delle richieste di demo o contatto
- Legittimo interesse (art. 6.1.f GDPR): per i log di navigazione tecnica, la prevenzione abusi tramite CAPTCHA Cloudflare Turnstile e la sicurezza del sito
- Consenso esplicito dell'interessato (art. 6.1.a GDPR): per i cookie analitici di terze parti (Google Analytics) e per l'invio di notifiche push
- Consenso esplicito al trattamento di categorie particolari di dati (art. 9.2.a GDPR): per il trattamento di dati relativi alla salute e al fitness — certificati medici sportivi, misure corporee, parametri cardiovascolari, risultati di allenamento. Il consenso è raccolto al primo caricamento di un certificato medico tramite checkbox bloccante che riconosce la natura sensibile del dato (art. 9 GDPR) ed è sempre revocabile. Per i clienti collegati a un'Organizzazione, il consenso è raccolto da FitFlow per conto dell'Organizzazione titolare del trattamento (sez. 2.6 e sez. 12); per i clienti che utilizzano FitFlow senza appartenere a un'Organizzazione il consenso è raccolto direttamente da FitFlow in qualità di Titolare autonomo.
- Adempimento di obblighi legali (art. 6.1.c GDPR): per la conservazione di dati ai fini fiscali, contabili o per rispondere a richieste delle autorità
4. Finalità del trattamento
I dati personali vengono trattati per le seguenti finalità:
- fornire e gestire il servizio FitFlow (registrazione, autenticazione, accesso alle funzionalità della web app, dell'app iOS e dell'app Android)
- consentire al trainer e al cliente di programmare, eseguire e monitorare allenamenti e progressi sportivi
- gestire scadenze e validità del certificato medico sportivo
- permettere la prenotazione, la cancellazione e la gestione dei corsi di gruppo
- recapitare notifiche push relative a comunicazioni dal trainer, attivazione schede, prenotazioni e cancellazioni di lezioni (solo previo consenso del dispositivo)
- rispondere alle richieste di demo, assistenza o informazioni inviate via e-mail
- garantire la sicurezza informatica del sito e prevenire utilizzi fraudolenti, anche tramite CAPTCHA invisibile
- misurare in forma aggregata l'utilizzo del sito a fini di miglioramento del servizio (previo consenso ai cookie analitici)
- adempiere a obblighi di legge
I dati non vengono utilizzati per finalità di marketing diretto, profilazione pubblicitaria, vendita o cessione a terzi. Noneffettuiamo processi decisionali automatizzati o profilazione ai sensi dell'art. 22 GDPR. Per il trattamento via Google Analytics 4, come dettagliato nella Cookie Policy, sono disabilitate sia la condivisione verso Google Signals sia allow_ad_personalization_signals: GA4 viene quindi utilizzato esclusivamente per statistiche aggregate e non per profilazione individuale.
5. Responsabili del trattamento esterni e destinatari dei dati
Per l'erogazione del servizio FitFlow si avvale dei seguenti responsabili del trattamento esterni, tutti vincolati da accordi conformi all'art. 28 GDPR:
| Fornitore | Servizio | Sede | Trasferimento dati |
|---|---|---|---|
| Vercel Inc. Privacy | Hosting del sito, edge function e CDN frontend. Vercel Web Analytics e Speed Insights per la misurazione anonima delle pagine viste e dei Core Web Vitals: i payload (URL, riferimento, prestazioni di caricamento, indirizzo IP del visitatore) vengono elaborati ai soli fini di diagnostica e statistica aggregata, senza tracciamento individuale tra siti. | USA, con region fra1 Francoforte | Aderente al EU-US Data Privacy Framework + Standard Contractual Clauses (SCC) |
| Supabase Inc. Privacy | Database (Postgres), autenticazione, storage di file (foto profilo, loghi, certificati medici), edge functions | USA, istanza primaria Irlanda (UE, AWS eu-west-1) | Dati utente e contenuti applicativi ospitati nello SEE. SCC per eventuali metadati di servizio gestiti dal vendor. |
| Cloudflare Inc. Privacy | Cloudflare Turnstile (CAPTCHA invisibile su pagine di accesso e form pubblici, prevenzione abusi) | USA, anycast network globale | Aderente al EU-US Data Privacy Framework + SCC |
| Google Ireland Ltd. Privacy | Google Analytics 4 (analitica web aggregata, previo consenso, solo su pagine pubbliche) | Irlanda + USA | Aderente al EU-US Data Privacy Framework + SCC |
| Resend Inc. Privacy · DPA | Invio delle notifiche email generate dal form di contatto e dalle comunicazioni transazionali | USA (control plane), con possibile region EU per i dati in transito | Aderente al EU-US Data Privacy Framework + SCC |
| Microsoft Ireland Operations Ltd. Privacy | Microsoft 365 / Outlook.com: ricezione e gestione della corrispondenza inviata all'indirizzo del Titolare (richieste di assistenza, esercizio dei diritti GDPR, richieste di cancellazione account) | Irlanda + USA | Aderente al EU-US Data Privacy Framework + SCC |
| Apple Inc. Privacy | Distribuzione dell'app iOS tramite App Store; servizio Apple Push Notification (APNs) per il recapito delle notifiche push iOS; eventuali rapporti di crash forniti dal sistema operativo previo consenso dell'utente nelle impostazioni del dispositivo | Irlanda + USA | Aderente al EU-US Data Privacy Framework + SCC |
| Google LLC Privacy | Distribuzione dell'app Android tramite Google Play; servizio Firebase Cloud Messaging (FCM) per il recapito delle notifiche push Android; eventuali rapporti di crash forniti da Google Play previo consenso dell'utente | Irlanda + USA | Aderente al EU-US Data Privacy Framework + SCC |
6. Trasferimento dei dati al di fuori dello Spazio Economico Europeo
Alcuni dei nostri fornitori (Vercel, Cloudflare, Google, Resend, Apple, Microsoft) sono società statunitensi o hanno controllata extra-SEE. I trasferimenti di dati personali verso gli Stati Uniti avvengono in conformità al Capo V del GDPR, attraverso:
- l'adesione di tali fornitori al EU-US Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023)
- l'adozione delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea
- misure tecniche e organizzative supplementari (cifratura in transito e a riposo, controllo degli accessi, log di audit)
7. Periodo di conservazione dei dati
I dati personali vengono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti. La conservazione è differenziata per categoria:
- Dati di navigazione tecnica (IP, User-Agent, URL, orario, referer): i log di accesso Vercel sono conservati per circa 1 mese, i log applicativi Supabase per circa 7 giorni; eventuali dati più aggregati a fini di sicurezza fino a 12 mesi, poi cancellati o anonimizzati
- Dati account FitFlow: per tutta la durata del rapporto contrattuale con l'utente. In caso di cancellazione dell'account, i dati vengono eliminati o anonimizzati entro 30 giorni, salvo obblighi di legge contrari (es. fatturazione: 10 anni)
- Dati relativi alla salute e al fitness(certificati medici, misure corporee, parametri cardiovascolari, risultati di allenamento): per il tempo minimo necessario alla programmazione e al monitoraggio sportivo, comunque non oltre la durata dell'account. In caso di revoca del consenso o di richiesta di cancellazione, i dati vengono rimossi entro 30 giorni dalla ricezione della richiesta.
- Richieste di demo/contatto via e-mail: conservate fino a 24 mesi per gestire eventuali follow-up commerciali; dopo, vengono cancellate
- Dati Google Analytics 4: ritenzione utenti impostata a 14 mesi; dati di evento conservati per 14 mesi
- Dati clienti dei trainer: conservati per la durata stabilita dal trainer (Titolare del trattamento di tali dati, si veda sez. 12). Alla cessazione del rapporto con il trainer, i dati vengono restituiti o eliminati come da accordo
- Identificatori di sottoscrizione push: conservati finché il dispositivo dell'utente è iscritto al servizio. Disattivando le notifiche, l'identificatore viene rimosso dal database entro pochi minuti.
8. Diritti dell'interessato
Ai sensi degli articoli da 15 a 22 del GDPR, in qualità di interessato hai diritto di:
- Accesso (art. 15): ottenere conferma dell'esistenza del trattamento, accedere ai dati e ricevere copia degli stessi
- Rettifica (art. 16): correggere dati inesatti o integrare dati incompleti
- Cancellazione(art. 17): ottenere la cancellazione dei dati ("diritto all'oblio") in presenza dei presupposti di legge. Una procedura self-service è disponibile alla pagina dedicata /cancella-accountdirettamente dall'app, oppure scrivendo all'indirizzo e-mail del Titolare.
- Limitazione (art. 18): ottenere la limitazione del trattamento in casi specifici
- Portabilità (art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da macchina, e trasmetterli a un altro titolare
- Opposizione (art. 21): opporsi al trattamento per motivi connessi alla tua situazione particolare
- Revoca del consenso (art. 7.3): revocare in qualsiasi momento il consenso prestato — incluso quello relativo ai dati salute ex art. 9.2.a GDPR — senza pregiudizio della liceità del trattamento basato sul consenso prestato prima della revoca
- Reclamo (art. 77): proporre reclamo all'autorità di controllo competente, ovvero il Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma)
Per esercitare uno qualsiasi di questi diritti è sufficiente inviare una richiesta a fitflowapp@outlook.com. La risposta verrà fornita entro 30 giorni.
9. Sicurezza dei dati
I dati personali sono trattati con strumenti elettronici, adottando misure tecniche e organizzative adeguate a garantirne la riservatezza, l'integrità e la disponibilità. In particolare:
- tutte le comunicazioni client–server avvengono tramite protocollo HTTPS con cifratura del canale TLS 1.2 o superiore
- le password degli utenti vengono memorizzate solo in formato hash tramite Supabase Auth, mai in chiaro
- i database e i bucket di storage utilizzano la cifratura a riposo a livello di volume (AES-256) fornita dal provider Supabase/AWS sull'infrastruttura nello SEE, con backup automatici giornalieri
- l'accesso ai dati applicativi è regolato da policy di Row Level Security su PostgreSQL che garantiscono la separazione tra i dati di trainer, palestre e clienti diversi
- i certificati medici sono ospitati in un bucket di storage privato; l'accesso avviene esclusivamente tramite URL firmati a tempo con scadenza di 5 minuti (300 secondi)
- le sessioni utente sono protette tramite token JWT con rotazione automatica del refresh token
- per gli amministratori della piattaforma è prevista l'autenticazione a due fattori (TOTP, AAL2) come misura aggiuntiva di sicurezza
- vengono effettuati test di ripristino periodici dai backup
10. Conferimento dei dati
Il conferimento dei dati per la creazione dell'account o per richiedere informazioni è facoltativo, ma necessario per usufruire dei relativi servizi. Il rifiuto di fornire tali dati comporta l'impossibilità di accedere al servizio o ricevere risposta alle richieste.
Il conferimento dei dati relativi alla salute (certificato medico, misurazioni corporee, parametri cardiovascolari) è facoltativo: la piattaforma è utilizzabile anche senza inserire questi dati, con funzionalità proporzionalmente più limitate sul fronte programmazione e monitoraggio progressi.
I dati di navigazione tecnica vengono raccolti automaticamente e sono indispensabili al funzionamento del sito.
11. Funzioni specifiche delle app native iOS e Android
FitFlow è distribuito anche come applicazione nativa iOS (App Store) e come applicazione Android (Google Play, tecnologia Trusted Web Activity). Queste app utilizzano alcune funzionalità del sistema operativo del dispositivo che meritano una descrizione dedicata.
11.1 Autenticazione biometrica (Face ID, Touch ID)
Se attivata facoltativamente dall'utente, l'app iOSconsente di sbloccare l'accesso all'applicazione utilizzando Face ID o Touch ID. Sull'app Android, distribuita oggi come Trusted Web Activity (TWA), l'autenticazione biometrica nonè attualmente disponibile: l'accesso avviene con email e password. Il supporto biometrico Android verrà valutato in una futura versione tramite gli standard WebAuthn / Passkey nativi del sistema.
Per espletare la funzione l'app iOS utilizza esclusivamente le API native del sistema operativo — LocalAuthentication di Apple — che eseguono il riconoscimento in locale sul dispositivo, nel Secure Enclave.
Nessun dato biometrico — né template, né immagine del volto, né impronta — viene trasmesso ai nostri server o memorizzato sui nostri sistemi.Il template biometrico resta sempre e solo all'interno dell'hardware sicuro del dispositivo, sotto il controllo esclusivo del sistema operativo. L'app riceve dal sistema operativo soltanto un esito booleano (autenticazione riuscita / fallita) e memorizza localmente, in UserDefaults, soltanto un flag che indica se l'utente ha attivato lo sblocco biometrico. La funzione può essere disattivata in ogni momento dalle impostazioni dell'app.
11.2 Accesso al calendario di sistema
Le app native iOS e Android possono scriverenel calendario di sistema del dispositivo gli eventi relativi alle lezioni di gruppo che l'utente prenota attraverso FitFlow. Questa funzionalità richiede consenso esplicitodell'utente, raccolto tramite la finestra di sistema standard di iOS (EventKit) o di Android (Calendar Provider) la prima volta che si tenta di aggiungere un evento.
L'app utilizza il calendario di sistema esclusivamente in scrittura per gli eventi creati dall'app stessa: non legge mai gli altri eventi del calendariodell'utente, non li trasmette ai nostri server e non li condivide con terzi.
Il consenso all'accesso al calendario può essere revocato in qualunque momento dalle impostazioni di sistema del dispositivo (Impostazioni → Privacy e sicurezza → Calendari su iOS; Impostazioni → App → FitFlow → Autorizzazioni su Android).
11.3 Notifiche push
Previo consenso esplicito raccolto al primo avvio o dalle impostazioni dell'app, il dispositivo può ricevere notifiche push da FitFlow relative a: comunicazioni dal trainer pubblicate in bacheca, attivazione di una nuova scheda di allenamento, conferma e cancellazione di prenotazioni a corsi di gruppo, comunicazioni di servizio. Il recapito tecnico avviene secondo lo standard Web Push (RFC 8030) con autenticazione VAPID e si appoggia ai servizi push dei vendor di sistema operativo e di browser: Apple Push Notification Service (APNs) su iOS e Safari, Firebase Cloud Messaging (FCM) su Android e Chrome, Mozilla Autopush su Firefox, Microsoft WNSsu Edge. Per il funzionamento del servizio memorizziamo nel database l'identificatore univoco della sottoscrizione push fornito dal sistema operativo del dispositivo o dal browser. La sottoscrizione può essere disattivata in qualunque momento dalle impostazioni dell'app o dalle impostazioni di sistema del dispositivo.
11.4 Galleria fotografica e fotocamera
Per caricare facoltativamente una foto del profilo, il logo dell'organizzazione o il proprio certificato medico, l'app richiede tramite finestra di sistema l'accesso in lettura alla galleria o alla fotocameradel dispositivo. Le immagini selezionate dall'utente vengono caricate sui bucket di storage Supabase; nessun'altra immagine del rullino è letta, copiata o trasmessa.
11.5 Pagamenti in-app
Al momento le sottoscrizioni alla piattaforma vengono gestite dal Titolare al di fuori dell'app, senza utilizzo di sistemi di pagamento in-app (né Apple In-App Purchase, né Google Play Billing, né Stripe). Le app non chiedono e non trattano dati di pagamento dell'utente.
12. Trattamento per conto del Personal Trainer o dell'Organizzazione (art. 28 GDPR)
Quando un cliente è invitato a utilizzare FitFlow da un personal trainer, una palestra, uno studio pilates, uno studio o un box (di seguito, "l'Organizzazione"), i dati personali del cliente — inclusi i dati relativi alla salute di cui alla sez. 2.6 — sono trattati da FitFlow in qualità di Responsabile del trattamentoai sensi dell'art. 28 GDPR, su istruzione e per conto dell'Organizzazione, che agisce in qualità di Titolare autonomo del trattamento.
In questo schema:
- l'Organizzazione (trainer professionista o struttura) è Titolare autonomo dei dati dei propri clienti, è tenuta a fornire ai propri clienti la propria informativa privacy, a raccogliere il consenso al trattamento ove necessario (in particolare per i dati di cui all'art. 9 GDPR) e ad adempiere a tutti gli obblighi GDPR nei loro confronti
- FitFlow agisce in qualità di Responsabile del trattamento e si limita a fornire l'infrastruttura tecnica e a trattare i dati secondo le istruzioni del Titolare. Un accordo di trattamento dati (DPA) conforme all'art. 28 GDPR è disponibile su richiesta dell'Organizzazione titolare e va sottoscritto prima dell'attivazione di trattamenti sistematici di dati di clienti finali; per la sottoscrizione contattare fitflowapp@outlook.com
- il Titolare di FitFlow non utilizza i dati dei clienti gestiti dall'Organizzazione per finalità proprie, non li cede a terzi e non li tratta al di fuori delle istruzioni ricevute
Per il cliente che riceve un invito dall'Organizzazione, FitFlow è — rispetto ai dati personali utilizzati per autenticarsi all'app (es. e-mail e password) — anche Titolare autonomo, limitatamente a tale trattamento. Per ogni dubbio sul rapporto fra l'Organizzazione e l'utente cliente è possibile scrivere a fitflowapp@outlook.com.
13. Categorie di dati raccolti — riferimento ai requisiti degli store applicativi
Per coerenza con i requisiti di trasparenza richiesti da Apple App Store (Privacy Nutrition Labels) e da Google Play(form "Data Safety"), si riporta di seguito una sintesi delle categorie di dati raccolti da FitFlow, allineata alla terminologia utilizzata dagli store:
- Personal info / Account info: nome, cognome, e-mail, numero di telefono (facoltativo), foto del profilo. Raccolti per fornire il servizio. Cifrati in transito. Cancellabili dall'utente.
- Health and fitness: dati relativi a fitness e salute, ossia certificati medici sportivi, misure corporee (peso, altezza, circonferenze, pliche, massa grassa e magra), parametri cardiovascolari (VO₂max, zone di frequenza cardiaca), risultati di allenamento (carichi, ripetizioni, 1RM, volume). Trattati con consenso esplicito ex art. 9.2.a GDPR. Cifrati in transito e a riposo. Cancellabili dall'utente.
- Photos and videos: foto del profilo, logo dell'Organizzazione, immagini dei certificati medici, caricate facoltativamente dall'utente. Cifrate in transito. I certificati medici sono ospitati in un bucket privato. Cancellabili dall'utente.
- Files and docs: certificati medici sportivi in formato PDF, caricati facoltativamente dall'utente. Bucket privato Supabase, accesso solo via URL firmati con TTL 300s. Cancellabili dall'utente.
- App activity: dati di utilizzo dell'app (allenamenti eseguiti, prenotazioni effettuate, schede consultate, log di sessione). Cifrati in transito. Necessari per il funzionamento del servizio. Cancellabili dall'utente con la cancellazione dell'account.
- App info and performance: rapporti di diagnostica e crash forniti facoltativamente dal sistema operativo del dispositivo (iOS / Android) previo consenso a livello di sistema; statistiche aggregate di utilizzo (Google Analytics, solo sito pubblico, previo consenso); pageview anonime e Core Web Vitals tramite Vercel Web Analytics e Vercel Speed Insights. Cifrati in transito.
- Device or other IDs: identificatori tecnici per il recapito delle notifiche push (token APNs / FCM), identificatore tecnico Cloudflare per il challenge CAPTCHA. Cifrati in transito. Eliminati quando l'utente disattiva il servizio.
- Financial info: nessuna raccolta di dati di pagamento. Le sottoscrizioni sono attualmente gestite fuori app dal Titolare; le app non utilizzano sistemi di pagamento in-app.
- Contacts, Messages, Audio, Location: nessuna raccolta. Le app non accedono ai contatti, ai messaggi, all'audio o alla posizione geografica del dispositivo.
Tutti i dati indicati sopra sono cifrati in transito(TLS 1.2+) e l'utente può richiederne la cancellazione in qualunque momento tramite la procedura self-service descritta alla pagina /cancella-account, oppure scrivendo a fitflowapp@outlook.com.
14. Minori
Il servizio FitFlow non è destinato all'autoregistrazione di soggetti minori di 18 anni, in coerenza con quanto previsto dai Termini di servizio. Chi si registra direttamente dichiara di avere almeno 18 anni; il Titolare non verifica preventivamente l'età ma si riserva di cancellare gli account la cui età minorile dovesse emergere.
I clienti di un'Organizzazione (palestra, studio, box, trainer) possono anche essere minori, perché vengono aggiunti dall'Organizzazione titolare nell'esercizio della propria attività sportiva. In tal caso il consenso al trattamento dei dati di un minore di età inferiore a quella prevista dall'art. 8 GDPR e dall'art. 2-quinquies del D.Lgs. 196/2003 (14 anni in Italia)deve essere raccolto dall'Organizzazione titolare presso il soggetto esercente la responsabilità genitoriale, conformemente all'informativa privacy fornita dall'Organizzazione stessa. FitFlow, in qualità di Responsabile esterno (sez. 12), si limita a trattare tali dati secondo le istruzioni dell'Organizzazione.
15. Modifiche alla presente informativa
La presente Privacy Policy può essere oggetto di modifiche per adeguarla a evoluzioni normative o a cambiamenti nei servizi offerti. La data dell'ultimo aggiornamento è sempre indicata in cima al documento. Si invita l'utente a consultare periodicamente questa pagina.
Cronologia delle modifiche più recenti:
- 25 Maggio 2026: estensione per conformità requisiti Apple App Store e Google Play. Aggiunte sezioni dedicate ai dati relativi alla salute e al fitness (art. 9.2.a GDPR), all'autenticazione biometrica locale, all'accesso al calendario di sistema, alle notifiche push (Web Push standard RFC 8030 con APNs/FCM/Mozilla Autopush/Microsoft WNS), alla galleria/fotocamera. Estesa la tabella dei responsabili esterni con Cloudflare Turnstile, Apple, Google, Microsoft (Outlook), Vercel Web Analytics e Speed Insights. Aggiunta sezione dedicata ai minori (art. 8 GDPR) e sezione di mapping con le categorie dichiarate negli store applicativi. Aggiunta dichiarazione di posizionamento fitness/wellness (NON dispositivo medico ex Reg. UE 2017/745).
- 24 Aprile 2026: prima versione consolidata GDPR con tabella processor (Vercel, Supabase, Google Analytics, Resend).
16. Contatti
Per qualsiasi richiesta relativa alla presente Privacy Policy o al trattamento dei tuoi dati personali, scrivi a:
Manuel Minelle
E-mail: fitflowapp@outlook.com
Per richieste di assistenza tecnica e operativa è disponibile la pagina dedicata Assistenza.