Athleex
Informativa GDPR

Privacy Policy

Ultimo aggiornamento: 10 aprile 2026

Il testo seguente è la versione italiana legalmente vincolante. Una traduzione di cortesia può essere richiesta a supporto@athleex.com.

La presente informativa descrive come Athleex tratta i dati personali degli utenti in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.lgs. 196/2003 come modificato dal D.lgs. 101/2018.

1. Titolare del trattamento

Titolare del trattamento è Athleex, con sede legale in Italia. Per esercitare i diritti o per qualunque richiesta relativa al trattamento dei dati personali è possibile scrivere a: privacy@athleex.com.

2. Categorie di dati trattati

Athleex tratta le seguenti categorie di dati personali, a seconda dell'interazione con il servizio:

  • Dati anagrafici e di contatto: nome, cognome, email, telefono, indirizzo della sede di lavoro (per i Personal Trainer).
  • Dati di autenticazione: password sottoposta ad hashing bcrypt, token di sessione JWT cifrati.
  • Dati sanitari (Art. 9 GDPR): peso, percentuale di massa grassa, misure corporee, obiettivi di allenamento e dati biometrici forniti volontariamente dall'atleta esclusivamente previo consenso esplicito separato.
  • Contenuti caricati: foto di progresso, allegati in chat, fatture.
  • Dati di utilizzo: allenamenti completati, serie e ripetizioni, volume di lavoro, streak, trofei sbloccati.
  • Dati di pagamento: gestiti esclusivamente da Stripe. Athleex NON memorizza mai numeri di carta, CVV o dati bancari.
  • Log tecnici: indirizzo IP, user-agent, timestamp di accesso, conservati per finalità di sicurezza e prevenzione abusi.

3. Finalità del trattamento e basi giuridiche

  • Erogazione del servizio (art. 6.1.b GDPR, esecuzione contrattuale): creazione account, gestione relazione PT-atleta, assegnazione programmi, chat, fatturazione.
  • Trattamento di dati sanitari (art. 9.2.a GDPR, consenso esplicito): inserimento misure biometriche, foto di progresso, diario alimentare. Il consenso è revocabile in qualsiasi momento dalle impostazioni del profilo.
  • Obblighi di legge (art. 6.1.c GDPR): conservazione dati di fatturazione ai sensi del D.P.R. 633/1972 per 10 anni.
  • Legittimo interesse(art. 6.1.f GDPR): sicurezza dell'infrastruttura, prevenzione frodi e abusi, analytics aggregate non identificative.
  • Marketing e newsletter (art. 6.1.a GDPR, consenso): solo previo opt-in esplicito. Revocabile in ogni momento.

4. Conservazione dei dati

  • Dati dell'account: per tutta la durata del rapporto più 12 mesi dalla cessazione, salvo diversa richiesta di cancellazione.
  • Dati di fatturazione: 10 anni (obbligo civilistico e fiscale).
  • Log di sicurezza: 12 mesi.
  • Dati sanitari: conservati finché è attivo il consenso; in caso di revoca vengono eliminati entro 30 giorni.

5. Destinatari e trasferimenti

I dati possono essere comunicati ai seguenti soggetti in qualità di Responsabili del trattamento (art. 28 GDPR):

  • Hetzner Online GmbH (infrastruttura server, Germania — area SEE).
  • Stripe Payments Europe Ltd. (pagamenti, Irlanda — area SEE).
  • Meta Platforms Ireland Ltd.(integrazione WhatsApp Business e Instagram, solo se il PT attiva l'integrazione — area SEE).
  • Provider email transazionale per notifiche di servizio.

Non vi sono trasferimenti di dati fuori dallo Spazio Economico Europeo. In caso di modifica saremo tenuti ad informare gli utenti e a predisporre adeguate garanzie ex artt. 44 e seguenti GDPR.

6. Diritti dell'interessato

Ai sensi degli artt. 15-22 GDPR, in qualsiasi momento hai diritto a:

  • Accesso ai tuoi dati e ottenere una copia strutturata (portabilità) dalla sezione Impostazioni» Esporta dati (GDPR).
  • Rettifica di dati inesatti dal tuo profilo.
  • Cancellazione("diritto all'oblio") dell'account dalla sezione Impostazioni » Elimina account. L'eliminazione è completa salvo i dati soggetti a obblighi di conservazione legale (fatturazione).
  • Limitazione e opposizione al trattamento per finalità di marketing.
  • Revoca del consenso per dati sanitari e newsletter, in ogni momento.
  • Reclamo al Garante per la protezione dei dati personali (garanteprivacy.it) se ritieni che il trattamento violi il GDPR.

7. Cookie

Athleex utilizza esclusivamente cookie tecnici di sessione (nome: athleex_session) strettamente necessari al funzionamento del servizio. Non utilizziamo cookie di profilazione né di tracciamento di terze parti. Ai sensi del considerando 30 GDPR e del provvedimento del Garante 10 giugno 2021, i cookie tecnici non richiedono consenso preventivo.

8. Sicurezza

Implementiamo misure tecniche e organizzative adeguate al rischio: crittografia dei dati sensibili at-rest (AES-256-GCM) e in transit (TLS 1.3), hashing bcrypt delle password, principio del minimo privilegio, isolamento delle sessioni tramite cookie JWT firmati, rate limiting, audit log amministrativo, backup cifrati.

9. Dati dei minori

Il servizio non è destinato a minori di 16 anni. Qualora venga riscontrato che un account appartiene a un minore senza il consenso del genitore o tutore, l'account verrà eliminato.

10. Modifiche alla presente informativa

Athleex si riserva il diritto di aggiornare questa informativa in caso di modifiche normative o organizzative. La data di ultimo aggiornamento è indicata in cima al documento. Gli aggiornamenti rilevanti saranno notificati via email agli utenti registrati.

11. Contatti

Per esercitare i tuoi diritti o per qualunque dubbio scrivi a privacy@athleex.com. Rispondiamo entro 30 giorni ai sensi dell'art. 12 GDPR.

Vedi anche i nostri Termini di Servizio.