Informativa sulla privacy
Informativa resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.lgs. 196/2003 e successive modifiche ("Codice Privacy").
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite la piattaforma PT Performance (la "Piattaforma") è [NOME TRAINER], P.IVA [P.IVA TRAINER], con sede in [INDIRIZZO COMPLETO], contattabile all'indirizzo email [email-trainer@example.it].
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto il trattamento non rientra fra le ipotesi di nomina obbligatoria previste dall'art. 37 GDPR.
2. Tipologie di dati trattati
La Piattaforma tratta le seguenti categorie di dati personali dei clienti del trainer:
- Dati identificativi e di contatto: nome, cognome, email, recapito telefonico, data di nascita.
- Dati relativi all'abbonamento: tipologia di pacchetto, date di inizio e scadenza, storico pagamenti.
- Dati relativi alla salute e allo stato fisico (categoria particolare ex art. 9 GDPR): peso corporeo, misure antropometriche, infortuni pregressi o in corso, patologie rilevanti per l'attività fisica, allergie, intolleranze alimentari, eventuali certificati medici di idoneità sportiva caricati dall'utente.
- Dati relativi all'allenamento: schede assegnate, esecuzioni registrate, carichi sollevati, note del trainer e del cliente.
- Dati tecnici di sessione: identificativo di sessione associato al cookie tecnico
PTSESS(vedi cookie policy).
3. Finalità e basi giuridiche del trattamento
I dati sono trattati per le seguenti finalità:
- Gestione della clientela e dell'abbonamento al servizio di personal training, inclusa schedulazione delle sessioni, fatturazione e adempimenti contabili. Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b, GDPR) e adempimento di obblighi di legge in materia fiscale (art. 6, par. 1, lett. c, GDPR).
- Personalizzazione dei programmi di allenamento e monitoraggio dei progressi anatomici e prestazionali, ivi compreso il trattamento di dati sanitari di cui all'art. 9 GDPR. Base giuridica: consenso esplicito dell'interessato (art. 9, par. 2, lett. a, GDPR), prestato al momento della creazione dell'account o all'inserimento dei dati. Il consenso è revocabile in qualsiasi momento, fatta salva la liceità dei trattamenti già effettuati.
- Comunicazioni di servizio (es. promemoria appuntamenti, notifiche di nuove schede, recupero password). Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b, GDPR).
- Difesa in giudizio e tutela dei diritti del titolare. Base giuridica: legittimo interesse (art. 6, par. 1, lett. f, GDPR).
Non è effettuata alcuna profilazione automatizzata e nessuna decisione individuale è presa con processi esclusivamente automatici (art. 22 GDPR).
4. Conferimento dei dati
Il conferimento dei dati identificativi e di contatto è necessario per l'esecuzione del contratto: il rifiuto rende impossibile l'erogazione del servizio. Il conferimento dei dati sanitari (art. 9 GDPR) è facoltativo, ma il rifiuto impedisce la personalizzazione dei programmi di allenamento e il monitoraggio in sicurezza dei progressi.
5. Destinatari dei dati
I dati possono essere comunicati ai seguenti soggetti, designati Responsabili del trattamento ex art. 28 GDPR:
- Hostinger International Ltd. (Limassol, Cipro — UE) — fornitore di hosting e infrastruttura server. Il trattamento avviene su server ubicati nello Spazio Economico Europeo.
- Sendinblue SAS / Brevo (Parigi, Francia — UE) — fornitore del servizio di invio email transazionali.
I dati possono inoltre essere comunicati a consulenti fiscali e legali del titolare e all'autorità giudiziaria, ove richiesto da obblighi di legge.
6. Trasferimenti extra-UE
I dati sono trattati e conservati all'interno dell'Unione Europea / Spazio Economico Europeo. Non sono effettuati trasferimenti verso Paesi terzi.
7. Periodo di conservazione
- Dati relativi all'abbonamento e dati anagrafici: per tutta la durata del rapporto contrattuale e, successivamente, per 10 anni dalla cessazione del rapporto, ai fini degli obblighi di conservazione fiscale e contabile (art. 2220 c.c.).
- Dati sanitari (art. 9 GDPR): conservati per la durata del rapporto contrattuale ed eliminati entro 12 mesi dalla cessazione del rapporto, salvo diversa richiesta dell'interessato o necessità di difesa in giudizio.
- Log tecnici di sessione (cookie
PTSESS): cancellati al logout o alla scadenza della sessione PHP.
8. Diritti dell'interessato
L'interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15–22 GDPR, e in particolare:
- diritto di accesso ai propri dati (art. 15);
- diritto di rettifica dei dati inesatti (art. 16);
- diritto alla cancellazione ("diritto all'oblio", art. 17);
- diritto alla limitazione del trattamento (art. 18);
- diritto alla portabilità dei dati (art. 20);
- diritto di opposizione al trattamento (art. 21);
- diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.
Le richieste possono essere inoltrate via email a [email-trainer@example.it]. Il titolare risponderà entro 30 giorni dal ricevimento della richiesta, prorogabili di ulteriori 60 giorni in caso di particolare complessità.
9. Reclamo all'autorità di controllo
L'interessato che ritenga che il trattamento dei propri dati avvenga in violazione del GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) o all'autorità di controllo dello Stato membro UE in cui risiede.
10. Sicurezza dei dati
Il titolare adotta misure tecniche e organizzative adeguate per proteggere i dati da accessi non autorizzati, perdita, distruzione o diffusione: connessione cifrata HTTPS/TLS, controllo accessi tramite autenticazione, archiviazione su infrastruttura UE conforme al GDPR.
11. Modifiche all'informativa
La presente informativa può essere aggiornata. La versione vigente è sempre disponibile a /privacy.html; eventuali modifiche sostanziali saranno comunicate via email agli interessati.