Privacy Policy

Il titolare del trattamento è Athleex, con sede legale in Italia. Per esercitare i diritti o per qualunque richiesta relativa al trattamento dei dati personali è possibile scrivere a: info@athleex.com.

Athleex tratta le seguenti categorie di dati personali, a seconda dell'interazione con il servizio:

• Dati anagrafici e di contatto: nome, cognome, email, telefono, indirizzo della sede di lavoro (per i Personal Trainer).
• Dati di autenticazione: password sottoposta ad hashing bcrypt, token di sessione JWT cifrati.
• Dati sanitari (Art. 9 GDPR): peso, percentuale di massa grassa, misure corporee, obiettivi di allenamento e dati biometrici forniti volontariamente dall'atleta esclusivamente previo consenso esplicito separato.
• Contenuti caricati: foto di progresso, allegati in chat, fatture.
• Dati di utilizzo: allenamenti completati, serie e ripetizioni, volume di lavoro, streak, trofei sbloccati.
• Dati di pagamento: gestiti esclusivamente da Stripe. Athleex NON memorizza mai numeri di carta, CVV o dati bancari.
• Log tecnici: indirizzo IP, user-agent, timestamp di accesso, conservati per finalità di sicurezza e prevenzione abusi.

• Erogazione del servizio (art. 6.1.b GDPR, esecuzione contrattuale): creazione account, gestione relazione PT-atleta, assegnazione programmi, chat, fatturazione.
• Trattamento di dati sanitari (art. 9.2.a GDPR, consenso esplicito): inserimento misure biometriche, foto di progresso, diario alimentare. Il consenso è revocabile in qualsiasi momento dalle impostazioni del profilo.
• Analisi predittive (Athlete Twin / Athleex Score) (art. 6.1.a GDPR, consenso esplicito): proiezioni statistiche su performance e recupero. Vedi sezione 11 per i dettagli sulla logica utilizzata e i diritti specifici.
• Obblighi di legge (art. 6.1.c GDPR): conservazione dati di fatturazione ai sensi del D.P.R. 633/1972 per 10 anni.
• Legittimo interesse (art. 6.1.f GDPR): sicurezza dell'infrastruttura, prevenzione frodi e abusi, analytics aggregate non identificative.
• Marketing e newsletter (art. 6.1.a GDPR, consenso): solo previo opt-in esplicito. Revocabile in ogni momento.

• Dati dell'account: per tutta la durata del rapporto più 12 mesi dalla cessazione, salvo diversa richiesta di cancellazione.
• Dati di fatturazione: 10 anni (obbligo civilistico e fiscale).
• Log di sicurezza: 12 mesi.
• Dati sanitari: conservati finché è attivo il consenso; in caso di revoca vengono eliminati entro 30 giorni.

I dati possono essere comunicati ai seguenti soggetti in qualità di Responsabili del trattamento (art. 28 GDPR):

• Hetzner Online GmbH (infrastruttura server, Germania — area SEE).
• Stripe Payments Europe Ltd. (pagamenti, Irlanda — area SEE).
• Meta Platforms Ireland Ltd. (integrazione WhatsApp Business e Instagram, solo se il PT attiva l'integrazione — area SEE).
• Resend, Inc. (provider email transazionale per notifiche di servizio, USA — trasferimento con Standard Contractual Clauses).

Eventuali trasferimenti al di fuori dello Spazio Economico Europeo sono effettuati previa adozione delle Clausole Contrattuali Standard di cui agli artt. 44 e seguenti GDPR.

Ai sensi degli artt. 15-22 GDPR, in qualsiasi momento hai diritto a:

• Accesso ai tuoi dati e ottenere una copia strutturata (portabilità) dalla sezione Impostazioni » Esporta dati (GDPR).
• Rettifica dei dati inesatti dal tuo profilo.
• Cancellazione ("diritto all'oblio") dalla sezione Impostazioni » Elimina account.
• Limitazione e opposizione al trattamento per finalità di marketing.
• Revoca del consenso per dati sanitari e newsletter, in ogni momento.
• Reclamo al Garante per la protezione dei dati personali (garanteprivacy.it) se ritieni che il trattamento violi il GDPR.

Athleex utilizza esclusivamente cookie tecnici di sessione (nome: athleex_session) strettamente necessari al funzionamento del servizio. Non utilizziamo cookie di profilazione né di tracciamento di terze parti. Ai sensi del considerando 30 GDPR e del provvedimento del Garante 10 giugno 2021, i cookie tecnici non richiedono consenso preventivo.

Implementiamo misure tecniche e organizzative adeguate al rischio: crittografia dei dati sensibili at-rest (AES-256-GCM) e in transit (TLS 1.3), hashing bcrypt delle password, principio del minimo privilegio, isolamento delle sessioni tramite cookie JWT firmati, rate limiting, audit log amministrativo, backup cifrati.

Il servizio non è destinato a minori di 18 anni. Qualora venga riscontrato che un account appartiene a un minore senza il consenso del genitore o tutore, l'account verrà eliminato.

Athleex si riserva il diritto di aggiornare questa informativa in caso di modifiche normative o organizzative. La data di ultimo aggiornamento è indicata in cima al documento. Gli aggiornamenti rilevanti saranno notificati via email agli utenti registrati.

Athleex offre agli atleti una funzionalità opzionale denominata Athlete Twin che, sulla base dei dati di allenamento già presenti nell'account (registro allenamenti, ripetizioni e carichi, valutazioni RPE, obiettivi attivi), calcola:

• una stima del massimale (1RM) a 4 settimane per esercizi fondamentali;
• un indice di rischio recupero/sovrallenamento;
• una proiezione del raggiungimento degli obiettivi;
• un punteggio composito 0-100 chiamato Athleex Score.

Base giuridica: art. 6.1.a GDPR — consenso esplicito dell'atleta. La funzionalità è disabilitata per default e può essere attivata dall'atleta dalla sezione Impostazioni » Athlete Twin.

Logica adottata (art. 13.2.f e 22.3 GDPR — diritto a una spiegazione significativa): tutte le proiezioni sono calcolate con metodi statistici classici e deterministici, senza algoritmi opachi di machine learning:

• stima del 1RM tramite formula di Epley sui dati allenamento;
• regressione lineare (minimi quadrati) sul 1RM settimanale, con intervallo di confidenza al 95%;
• media mobile esponenziale (EWMA) sui segnali di affaticamento;
• estrapolazione lineare per le proiezioni obiettivo.

Significato e conseguenze previste: le proiezioni hanno valore esclusivamente informativo e motivazionale. Athleex non utilizza queste proiezioni per prendere decisioni con effetti giuridici o significativamente rilevanti sull'atleta. La funzionalità non costituisce consulenza medica o sportiva e non sostituisce il parere di un medico o di un Personal Trainer.

Visibilità al PT: se attivata, le proiezioni e il punteggio dell'atleta sono visibili al Personal Trainer collegato in qualità di mero strumento di gestione del percorso di allenamento.

Diritti dell'interessato: l'atleta può in qualsiasi momento (i) revocare il consenso dalla sezione Impostazioni — la revoca comporta la cancellazione immediata di tutte le proiezioni archiviate (art. 17 GDPR); (ii) ottenere una spiegazione dettagliata sulla logica utilizzata scrivendo a info@athleex.com; (iii) opporsi al trattamento (art. 21 GDPR).

Conservazione: gli storici di proiezione sono conservati al massimo per 60 giorni e successivamente sovrascritti.

Per esercitare i tuoi diritti o per qualunque dubbio scrivi a info@athleex.com. Rispondiamo entro 30 giorni ai sensi dell'art. 12 GDPR.

Per erogare il servizio ci avvaliamo dei seguenti sub-responsabili. Ciascuno è vincolato da un Data Processing Agreement (DPA) e da un meccanismo di trasferimento adeguato per i destinatari extra-SEE (Clausole Contrattuali Standard o EU-US Data Privacy Framework, ove applicabile).

• Hetzner Online GmbH (DE) — infrastruttura hosting (Postgres, app server). Localizzazione dati: Germania. Base giuridica: art. 6(1)(b) esecuzione del contratto.
• Stripe, Inc. (US) — elaborazione pagamenti. Destinatario nell'ambito del EU-US DPF + SCC. Riceve solo dati di fatturazione (token carta, indirizzo, importo). Certificato PCI-DSS Level 1.
• Meta Platforms Ireland Ltd / Meta Platforms, Inc. (IE/US) — misurazione efficacia pubblicitaria (Pixel + Conversions API). Destinatario nell'ambito del EU-US DPF. Solo con consenso marketing. Riceve identificativi in forma hashata (email, telefono, nome, paese, ID esterno) e metadati evento. I dati personali non vengono mai condivisi in chiaro.
• Apple Inc. (US) — consegna notifiche push iOS/Safari (APNs gateway). Riceve esclusivamente endpoint cifrato del dispositivo. Resend, Inc. (US) — invio email transazionali + audience waitlist. Destinatario nell'ambito SCC. Riceve email + nome + locale.
• OpenStreetMap Foundation / Nominatim (UK) — geocoding per la ricerca di personal trainer. Riceve solo la stringa di indirizzo digitata dall'utente (nessun altro identificativo).
• Google Ireland Limited / Google LLC (IE/US) — Google Analytics 4 (proprietà web G-GRLNNH64JH) per misurazione dell'uso del prodotto e Google Search Console per indicizzazione SEO. Solo con consenso analitica (Consent Mode v2 default-denied). Riceve IP anonimizzati e metadati evento aggregati; abbiamo attivato IP anonymization, ads_data_redaction e url_passthrough. Destinatario nell'ambito del EU-US DPF + SCC.

L'elenco completo dei sub-responsabili con i link ai DPA è pubblicato anche su /legal/sub-processors e aggiornato a ogni aggiunta (con preavviso di almeno 30 giorni per modifiche sostanziali).

Sezione applicabile agli utenti residenti nelle giurisdizioni indicate. Il testo originale in inglese costituisce la versione giuridicamente vincolante.

For California residents, Athleex complies with the California Consumer Privacy Act (CCPA) as amended by the California Privacy Rights Act (CPRA). You have the right to: (a) know what personal information we collect, use, disclose; (b) delete personal information; (c) correct inaccurate personal information; (d) opt out of "sale" or "sharing" (Athleex does NOT sell personal information; cross-context behavioural advertising is governed by the cookie banner and may be disabled at /legal/do-not-sell); (e) limit use of "sensitive personal information" (which we do not use beyond strictly necessary purposes); (f) non-discrimination. Equivalent rights apply to residents of Colorado, Connecticut, Virginia, Utah, Texas, Oregon, Tennessee, Indiana, Iowa, Montana, Florida, Delaware, New Hampshire, New Jersey, Maryland, Minnesota under their respective state privacy laws. To exercise rights write to info@athleex.com. We respond within 45 days (CCPA) — extendable once by another 45 days. Athleex is NOT a HIPAA Covered Entity or Business Associate; the service is wellness-tracking and not medical care.

Washington — My Health My Data Act (MHMDA, RCW 19.373): registri di allenamento, biometriche (con consenso), score di benessere e qualsiasi dato che identifichi lo stato di salute fisica o mentale (passato, presente o futuro) costituiscono "consumer health data" ai sensi del MHMDA. Creando un account Athleex, i residenti dello Stato di Washington forniscono il consenso esplicito (RCW 19.373.020) al trattamento di tali dati per le sole finalità di coaching del benessere descritte al §3. Athleex NON vende consumer health data. Athleex NON li condivide con terzi a fini pubblicitari. I sub-responsabili elencati al §13 ricevono consumer health data esclusivamente come fornitori di servizi vincolati da DPA scritti che vietano qualsiasi uso autonomo. I residenti di Washington possono in qualsiasi momento revocare il consenso e richiedere la cancellazione dei consumer health data scrivendo a info@athleex.com; la cancellazione viene propagata a tutti i sub-responsabili entro 30 giorni (RCW 19.373.040). Il geofencing dei consumer health data è vietato e Athleex non lo pratica. See /legal/wa-consumer-health for the full standalone notice required by RCW 19.373.020(1).

Sezione applicabile agli utenti residenti nelle giurisdizioni indicate. Il testo originale in inglese costituisce la versione giuridicamente vincolante.

For Canadian users, Athleex complies with the Personal Information Protection and Electronic Documents Act (PIPEDA) at the federal level and with Quebec's Law 25 (formerly Bill 64) for Quebec residents. Quebec Law 25 introduces requirements stricter than GDPR for sensitive data and automated decisions; Athleex's Art.22 protections (Athlete Twin / Athleex Score) extend to Quebec users by default. The competent authority is the Office of the Privacy Commissioner of Canada (OPC) — priv.gc.ca — and for Quebec residents the Commission d'accès à l'information du Québec (CAI). To exercise PIPEDA / Law 25 rights write to info@athleex.com.

Para los usuarios residentes en México, Athleex actúa conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Tienes derecho a ejercer los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), así como a revocar tu consentimiento y limitar el uso o divulgación de tus datos. Para ello escribe a info@athleex.com. La autoridad competente es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Secretaría Anticorrupción y Buen Gobierno (SABG, sucesora dell'INAI dal marzo 2025)) — gob.mx/sabg. Las transferencias de datos hacia destinatarios fuera de México se realizan exclusivamente para cumplir el contrato con el usuario y para fines de prestación del servicio.

Sezione applicabile agli utenti residenti nelle giurisdizioni indicate. Il testo originale in inglese costituisce la versione giuridicamente vincolante.

Athleex is operated from Italy and processes personal data primarily under the EU GDPR. For users resident in Norway, Iceland, Liechtenstein, Andorra, Monaco, San Marino — the GDPR or a regime declared adequate by the European Commission applies. For users resident in countries with national data-protection laws aligned to the GDPR template — including Serbia, Bosnia and Herzegovina, Montenegro, North Macedonia, Albania, Kosovo, Ukraine, Moldova, Georgia, Armenia and Azerbaijan — Athleex applies GDPR-equivalent technical, organisational and contractual safeguards and recognises the rights granted by your local law. The competent supervisory authorities of those countries can be contacted directly; we cooperate with any lawful request. Where consent is required by your local law (e.g. Ukraine's 2024 amended Law on Personal Data Protection), the cookie banner and account-creation flows operate as the consent-collection mechanism. To exercise rights write to info@athleex.com.

Sezione applicabile agli utenti residenti nelle giurisdizioni indicate. Il testo originale in inglese costituisce la versione giuridicamente vincolante.

Athleex does not knowingly accept registrations from territories subject to comprehensive EU, UK, US or UN sanctions, including (without limitation) Belarus, North Korea, Iran, Syria, Cuba, the Crimea, Donetsk and Luhansk regions of Ukraine. Should an account be created from such a territory, we reserve the right to suspend it without prior notice and to comply with applicable sanctions law.