1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite l'applicazione Adapta è:
Michele Aldeni
Email: ciao.madesign@gmail.com
2. Dati raccolti
Adapta raccoglie le seguenti categorie di dati personali:
- Dati identificativi: nome, indirizzo email, password (cifrata con bcrypt, non accessibile in chiaro).
- Dati del profilo atletico: età, peso corporeo, livello di esperienza, giorni di allenamento settimanali, volume chilometrico abituale, caratteristiche atletiche auto-valutate.
- Dati di allenamento: sessioni registrate (tipo, durata, distanza, dislivello, sforzo percepito, sensazioni, motivazione dello skip).
- Dati di recupero: qualità del sonno, livello di energia, stato delle gambe (o arto residuo), motivazione (scala 1-10); opzionalmente comfort della protesi (1-10) per atleti che utilizzano una protesi sportiva.
- Dati relativi agli obiettivi: nome gara, distanza, dislivello, data obiettivo.
- Dati del ciclo mestruale (facoltativi): data dell'ultimo ciclo, durata media del ciclo e delle mestruazioni. Forniti esclusivamente su base volontaria attivando la funzione "Ciclo e allenamento" nel profilo.
- Profilo adattivo (facoltativo): tipologia di caratteristica adattiva (es. amputazione, differenza di arto, condizione neurologica, deficit visivo), lato interessato e utilizzo di protesi sportiva. Fornito esclusivamente su base volontaria. Questo dato costituisce informazione relativa alla salute ai sensi dell'art. 9 GDPR ed è trattato solo previo consenso esplicito separato, revocabile in qualsiasi momento dal profilo.
- Dati di navigazione: cookie di sessione strettamente necessari per l'autenticazione (nessun cookie di profilazione o tracciamento).
I dati relativi al peso corporeo, allo stato di recupero fisico, al ciclo mestruale e al profilo adattivo costituiscono dati relativi alla saluteai sensi dell'art. 9 GDPR e sono pertanto considerati dati di categoria particolare. Il loro trattamento è subordinato al consenso esplicito dell'utente: per peso e recupero, espresso al momento della registrazione; per i dati del ciclo mestruale e per il profilo adattivo, espresso separatamente al momento dell'attivazione della rispettiva funzione, revocabile in qualsiasi momento dal profilo.
3. Finalità e base giuridica del trattamento
| Finalità | Base giuridica |
|---|
| Creazione e gestione dell'account | Esecuzione del contratto (art. 6.1.b GDPR) |
| Generazione e adattamento del piano di allenamento | Esecuzione del contratto (art. 6.1.b GDPR) |
| Trattamento di dati sulla salute (peso, recupero) | Consenso esplicito (art. 9.2.a GDPR) |
| Trattamento dei dati del ciclo mestruale per personalizzare il piano di allenamento | Consenso esplicito separato, revocabile in app (art. 9.2.a GDPR) |
| Trattamento del profilo adattivo per personalizzare il piano e i feedback di allenamento | Consenso esplicito separato, revocabile in app (art. 9.2.a GDPR) |
| Sicurezza e prevenzione delle frodi | Legittimo interesse (art. 6.1.f GDPR) |
4. Conservazione dei dati
I dati sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:
- Dati dell'account e del profilo: fino alla cancellazione dell'account da parte dell'utente.
- Dati di allenamento e recupero: fino alla cancellazione dell'account.
- Log di sessione: massimo 30 giorni.
Alla cancellazione dell'account, tutti i dati personali vengono eliminati in modo permanente e irreversibile in tempo reale.
5. Destinatari e trasferimento dei dati
I dati sono trattati dai seguenti fornitori di servizi in qualità di responsabili del trattamento, con cui è stipulato un Data Processing Agreement conforme al GDPR:
- Vercel Inc.(USA) — hosting dell'applicazione. Trasferimento verso paese terzo basato su Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.Privacy Policy Vercel
- Neon Inc. (USA) — database PostgreSQL. Trasferimento verso paese terzo basato su Standard Contractual Clauses (SCC).Privacy Policy Neon
- Upstash Inc. (USA) — cache Redis per la limitazione delle richieste (rate limiting). Nessun dato personale è memorizzato in modo persistente; i dati sono conservati solo per la durata della finestra di rate limiting (massimo 60 minuti). Trasferimento verso paese terzo basato su Standard Contractual Clauses (SCC).Privacy Policy Upstash
- Resend Inc.(USA) — invio di email transazionali (es. reimpostazione password). Tratta esclusivamente l'indirizzo email del destinatario e il contenuto del messaggio inviato. Trasferimento verso paese terzo basato su Standard Contractual Clauses (SCC).Privacy Policy Resend
I dati non vengono venduti, ceduti o comunicati a terzi per finalità di marketing.
6. Cookie e tecnologie di tracciamento
Adapta utilizza esclusivamente cookie tecnici strettamente necessari per il funzionamento del servizio:
authjs.session-token — cookie di sessione per l'autenticazione. Durata: sessione del browser o 30 giorni se "rimani connesso". Non trasmesso a terzi.
Non vengono utilizzati cookie di profilazione, di analisi (es. Google Analytics) o di marketing. Non è quindi richiesto il consenso ai sensi della Direttiva ePrivacy per questi cookie tecnici, ma l'utente ne è informato dalla presente policy.
7. Diritti degli interessati
Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei propri dati.
- Rettifica (art. 16): correggere dati inesatti o integrarli.
- Cancellazione / "Diritto all'oblio" (art. 17): richiedere l'eliminazione di tutti i dati. Disponibile direttamente nell'app: Profilo → Elimina account.
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile. Disponibile direttamente nell'app: Profilo → Esporta dati.
- Limitazione (art. 18): richiedere la sospensione del trattamento in determinati casi.
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse.
- Revoca del consenso: revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente.
Per esercitare i diritti sopra elencati, scrivere a: ciao.madesign@gmail.com. Il titolare risponde entro 30 giorni.
8. Violazioni dei dati (Data Breach)
In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, il titolare notificherà l'accaduto all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta della violazione, ai sensi dell'art. 33 GDPR.
Qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati, il titolare comunicherà la violazione anche agli interessati senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR, tramite notifica nell'app o via email.
9. Reclami
L'utente ha il diritto di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali (Garante Privacy), Piazza Venezia 11, 00187 Roma —www.garanteprivacy.it.
10. Modifiche alla presente informativa
Il titolare si riserva di aggiornare la presente informativa. Le modifiche sostanziali saranno comunicate all'utente tramite notifica nell'app o via email. La data dell'ultima modifica è indicata in cima alla pagina.