Informativa sulla Privacy

Ultimo aggiornamento: 27 marzo 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

Thomas Bresciani — Personal Trainer
Via S. Rocco, 1, Sabbio Chiese (BS) 25070
Email: disponibile su richiesta tramite WhatsApp

2. Dati raccolti

Nell'ambito dell'utilizzo di questo sito e del servizio di prenotazione, vengono raccolti i seguenti dati personali:

• Dati di registrazione: nome, cognome, indirizzo email, numero di telefono (WhatsApp), codice fiscale, indirizzo di residenza
• Dati di autenticazione: credenziali di accesso gestite tramite il provider di autenticazione (Google o email/password)
• Dati di prenotazione: date, orari e tipologia delle sessioni prenotate, stato di pagamento
• Dati sanitari: data di scadenza del certificato medico sportivo e dell'assicurazione (nessun documento sanitario viene archiviato)
• Dati tecnici: informazioni sul dispositivo e sul browser utilizzato per accedere al servizio

3. Notifiche push

Il Servizio utilizza notifiche push per inviare comunicazioni relative al servizio. L'attivazione delle notifiche push è facoltativa e avviene esclusivamente previo consenso esplicito dell'utente, tramite il banner “Abilita notifiche” e la successiva autorizzazione nel browser o nel sistema operativo.

Le notifiche push vengono utilizzate per:

• Promemoria delle sessioni prenotate (24 ore e 1 ora prima)
• Avvisi di disponibilità di posti liberi
• Comunicazioni di servizio da parte dell'amministratore

L'utente può revocare il consenso in qualsiasi momento disattivando le notifiche nelle impostazioni del proprio browser o dispositivo. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prestato prima della revoca.

Viene registrato nel profilo utente lo stato di attivazione delle notifiche push (push_enabled) al solo fine di consentire all'amministratore di verificare la raggiungibilità dell'utente per comunicazioni di servizio.

4. Finalità del trattamento

I dati personali vengono trattati per le seguenti finalità:

• Gestione dell'account utente e autenticazione
• Gestione delle prenotazioni delle sessioni di allenamento
• Comunicazioni relative al servizio (promemoria, variazioni, cancellazioni)
• Invio di notifiche push (solo previo consenso esplicito dell'utente)
• Gestione dei pagamenti e della contabilità delle sessioni
• Adempimento di obblighi legali e fiscali

5. Base giuridica del trattamento

Il trattamento dei dati si basa su:

• Esecuzione contrattuale (art. 6.1.b GDPR): il trattamento dei dati di registrazione e prenotazione è necessario per l'erogazione del servizio richiesto dall'utente
• Consenso (art. 6.1.a GDPR): per l'invio di notifiche push e per l'accesso ai dati di geolocalizzazione. Il consenso è libero, specifico, informato e revocabile in qualsiasi momento
• Obbligo legale (art. 6.1.c GDPR): per l'adempimento di obblighi normativi e fiscali
• Interesse legittimo (art. 6.1.f GDPR): per la sicurezza del sistema e la prevenzione di abusi

6. Conservazione dei dati

I dati personali vengono conservati per il tempo necessario al perseguimento delle finalità per cui sono stati raccolti:

• Dati di prenotazione e pagamento: per la durata del rapporto professionale e per i successivi 10 anni per obblighi fiscali
• Dati di registrazione: per la durata del rapporto professionale e fino alla cancellazione dell'account
• Log delle notifiche push: conservati per un massimo di 12 mesi per finalità di verifica del servizio
• Dati di geolocalizzazione: nessuna coordinata GPS viene conservata; viene registrato unicamente il timestamp di arrivo nella prenotazione

7. Condivisione dei dati

I dati personali non vengono venduti né ceduti a terzi per finalità commerciali. Possono essere comunicati ai seguenti soggetti, in qualità di responsabili del trattamento:

• Supabase Inc. (San Francisco, USA): fornitore della piattaforma di database, autenticazione e funzioni server. I dati sono archiviati su server situati nell'Unione Europea (Francoforte, Germania). Il trasferimento verso gli USA è regolato dal EU-US Data Privacy Framework
• Google LLC: nel caso di autenticazione tramite account Google, limitatamente ai dati necessari per il login
• Brevo (Sendinblue): per l'invio di email transazionali (conferma registrazione, reset password)

8. Diritti dell'utente

In conformità al Regolamento (UE) 2016/679 (GDPR), l'utente ha diritto di:

• Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
• Rettifica (art. 16): ottenere la correzione dei dati inesatti o l'integrazione dei dati incompleti
• Cancellazione (art. 17): ottenere la cancellazione dei propri dati (“diritto all'oblio”), salvo obblighi di legge
• Limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla normativa
• Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
• Opposizione (art. 21): opporsi al trattamento dei propri dati per motivi legittimi
• Revoca del consenso (art. 7.3): revocare il consenso prestato in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente

Per esercitare questi diritti, contattare il titolare del trattamento tramite i recapiti indicati nella sezione 1.

L'utente ha inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Cookie e tecnologie simili

Questo sito utilizza esclusivamente cookie tecnici e di sessione strettamente necessari al funzionamento del servizio (autenticazione, preferenze di sessione, stato di installazione PWA). Non vengono utilizzati cookie di profilazione, di tracciamento o di marketing di terze parti.

I dati di localStorage vengono utilizzati per memorizzare preferenze dell'utente e cache dei dati per il funzionamento offline dell'applicazione.

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o alterazione, tra cui:

• Crittografia delle comunicazioni tramite protocollo HTTPS/TLS
• Autenticazione sicura con token JWT e refresh automatico
• Politiche di accesso ai dati basate su Row Level Security (RLS) a livello di database
• Backup periodici con retention policy e conservazione su infrastruttura privata

11. Modifiche alla presente informativa

Ci riserviamo il diritto di aggiornare questa informativa in qualsiasi momento. In caso di modifiche sostanziali che incidano sui diritti dell'utente, gli interessati saranno informati tramite avviso sul sito o notifica push (ove il consenso sia stato prestato). L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce presa visione dell'informativa aggiornata.