Accordo sul trattamento dei dati (DPA)

I termini "dato personale", "trattamento", "titolare", "responsabile", "sub-responsabile", "interessato", "violazione" e "autorità di controllo" hanno il significato loro attribuito dagli articoli 4 e 28 del Regolamento (UE) 2016/679 (GDPR). Per "Servizio" si intende la piattaforma SaaS Athleex disponibile all'indirizzo athleex.com.

Il Responsabile tratta dati personali degli atleti del Titolare per la sola finalità di erogare il Servizio. Il presente DPA ha la stessa durata del contratto principale (Termini di Servizio) e cessa contestualmente. Il Titolare resta il solo responsabile della liceità del rapporto con i propri atleti, della raccolta del consenso ai sensi dell'art. 9 (dati sanitari) e degli artt. 13/14 GDPR.

Natura del trattamento: archiviazione, organizzazione, consultazione, modifica, comunicazione (al solo Titolare e ai relativi atleti), cancellazione.

Finalità: gestione del rapporto PT-atleta — programmi di allenamento, piani alimentari, biometriche, foto di progresso, fatturazione.

Categorie di interessati: atleti del Titolare, eventuali contatti del Titolare.

Categorie di dati: identificativi (nome, email, telefono), dati di profilo (data di nascita, città), dati sanitari (Art. 9 GDPR — peso, misure, foto, allenamenti) trattati solo previo consenso esplicito dell'interessato, dati di pagamento (token Stripe), contenuti chat.

Athleex si impegna a:

• trattare i dati esclusivamente sulla base di istruzioni documentate del Titolare (la registrazione, l'utilizzo del Servizio e l'accettazione dei Termini costituiscono istruzione documentata);
• garantire che le persone autorizzate al trattamento abbiano sottoscritto un impegno di riservatezza;
• adottare misure tecniche e organizzative ai sensi dell'art. 32 GDPR (vedi sez. 8);
• assistere il Titolare con misure tecniche appropriate per dare seguito ai diritti degli interessati (artt. 15-22 GDPR);
• assistere il Titolare nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, DPIA);
• su scelta del Titolare, cancellare o restituire i dati personali al termine del rapporto (vedi sez. 12);
• mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire audit (vedi sez. 11).

Il Titolare si impegna a:

• raccogliere validamente il consenso degli atleti per il trattamento dei dati sanitari (Art. 9 GDPR);
• fornire agli atleti l'informativa privacy ex artt. 13/14 GDPR — Athleex pubblica una propria informativa accessibile all'atleta in sei lingue;
• non fornire ad Athleex dati di categorie particolari diversi da quelli previsti dal Servizio;
• esercitare il proprio dovere di verifica circa l'effettiva minore età degli atleti e la raccolta del consenso parentale dove applicabile (Art. 8 GDPR);
• garantire che le proprie credenziali di accesso siano protette e segnalare immediatamente eventuali compromissioni a info@athleex.com.

Il Titolare autorizza in via generale Athleex ad avvalersi di sub-responsabili per il trattamento. La lista completa e aggiornata è pubblicata su athleex.com/legal/sub-processors e include, tra gli altri: Hetzner Online GmbH (DE), Stripe Payments Europe Ltd. (IE/US), Resend Inc. (US), Meta Platforms Ireland Ltd. (IE/US), Apple Inc. (US, push), Google Ireland Ltd. (IE/US, mappa/geocoding/analytics).

Athleex notifica al Titolare via email l'aggiunta o la sostituzione di un sub-responsabile con almeno 30 giorni di preavviso. Il Titolare può obiettare per motivi documentati relativi alla protezione dei dati. In assenza di obiezioni nei termini, il sub-responsabile si intende accettato.

Athleex impone a ogni sub-responsabile, per contratto, gli stessi obblighi di protezione dei dati previsti dal presente DPA, ai sensi dell'art. 28(4) GDPR.

• Cifratura in transito (TLS 1.2+) e a riposo (volumi cifrati Hetzner; cifratura applicativa per dati Art. 9 sensibili).
• Hashing bcrypt per password; token JWT firmati per sessioni.
• Controllo di accesso a livello applicativo (filtri Prisma per trainerId/athleteId).
• Backup giornalieri cifrati, retention 30 giorni.
• Logging tecnico con redazione automatica dei dati personali; retention 90 giorni.
• Audit trail immutabile dei consensi (tabella ConsentLog, art. 7(1) GDPR).
• Procedura di notifica violazioni (vedi sez. 10) — runbook interno BREACH-RESPONSE.md.
• Test periodici di restore dei backup; rotazione segreti ogni 90 giorni.
• Roadmap MFA TOTP/passkey (Q3 2026).

I dati di categoria particolare (Art. 9 — biometrici, sanitari) non sono mai trasferiti al di fuori dello Spazio Economico Europeo. Restano nei sistemi Hetzner in Germania.

Per altri dati personali, i trasferimenti verso sub-responsabili statunitensi avvengono sulla base di:

• EU-US Data Privacy Framework (decisione di adeguatezza UE 10/07/2023), ove il sub-responsabile sia certificato; e/o
• Clausole Contrattuali Standard (CCS) approvate dalla Commissione (decisione 2021/914), unitamente a misure supplementari documentate nel nostro SCC-TIA-2026.md.

Athleex assiste il Titolare con misure tecniche e organizzative adeguate per soddisfare le richieste degli interessati di esercitare i diritti previsti dagli articoli 15-22 GDPR. Athleex mette a disposizione direttamente all'atleta:

• esportazione dati in PDF e JSON (Art. 15 e 20);
• cancellazione account (Art. 17) con cancellazione dei dati entro 30 giorni dalla richiesta, salvo obblighi di legge che ne impongano la conservazione (es. dati di fatturazione: 10 anni);
• revoca dei consensi specifici (Art. 9, profilazione Art. 22, marketing).

In caso di violazione di dati personali in ambito Athleex (incluse violazioni di un sub-responsabile), il Responsabile notifica al Titolare senza ingiustificato ritardo e in ogni caso entro 72 ore dalla scoperta, fornendo le informazioni necessarie ai sensi dell'art. 33(3) GDPR (natura, categorie e numero di interessati e di record, conseguenze probabili, misure adottate o proposte). La notifica è inviata all'indirizzo email del Titolare registrato sul Servizio.

Il Responsabile mette a disposizione del Titolare, su richiesta scritta motivata, le informazioni necessarie a dimostrare il rispetto del presente DPA, incluse le proprie politiche di sicurezza e gli eventuali rapporti di audit dei sub-responsabili. Qualora siano necessari accertamenti ulteriori, il Titolare può richiedere — con preavviso ragionevole e a proprie spese — un audit eseguito da un terzo indipendente vincolato da obbligo di riservatezza, salvo motivi tecnici che ne impediscano l'esecuzione (in tal caso le parti concordano misure alternative).

Al termine del rapporto, il Responsabile, su scelta del Titolare comunicata entro 30 giorni dalla cessazione, cancella o restituisce in formato strutturato di uso comune (JSON) tutti i dati personali oggetto del trattamento. In assenza di scelta entro 30 giorni, i dati vengono cancellati. Athleex può conservare backup cifrati per il tempo strettamente necessario alla rotazione (30 giorni) prima della cancellazione definitiva.

La responsabilità del Responsabile ai sensi del presente DPA è soggetta ai limiti previsti dai Termini di Servizio del contratto principale, fatti salvi i casi in cui detta limitazione sia esclusa dalla legge applicabile (in particolare per i casi di responsabilità ai sensi dell'art. 82 GDPR).

Il presente DPA è retto dalla legge italiana e, per quanto applicabile, dal GDPR. Per le controversie è competente il foro di Bergamo, salvo diversi diritti inderogabili dell'interessato di adire il proprio foro o l'autorità di controllo (Garante Privacy per l'Italia, AEPD per la Spagna, CNIL per la Francia, BfDI per la Germania).

Per qualunque comunicazione relativa al presente DPA scrivi al nostro DPO autodesignato: info@athleex.com. Tempo di risposta atteso: 5 giorni lavorativi (entro 30 giorni per richieste degli interessati ai sensi dell'art. 12 GDPR).