Bodivine
Informativa sulla tutela dei dati personali
Informativa sulla Privacy di Bodivine
Ultimo aggiornamento: 2024-- (sostituire con la data di pubblicazione)
La presente informativa descrive come Bodivine ("Bodivine", "noi", "ci", "nostro") tratta i dati personali quando utilizzi i nostri strumenti di pianificazione nutrizionale e degli allenamenti, visiti i nostri siti web o interagisci con noi. Copre sia (a) gli utenti individuali che creano piani per sé stessi sia (b) i coach professionisti, personal trainer e dietisti che gestiscono i piani per conto dei propri clienti. L'informativa è redatta per soddisfare i requisiti del Regolamento (UE) 2016/679 (GDPR), del GDPR del Regno Unito quando applicabile, e delle normative europee correlate in materia di privacy e tutela dei consumatori.
Ti invitiamo a leggere questa informativa insieme alla nostra Cookie Policy e ai Termini di Servizio. Per qualsiasi domanda contattaci ai recapiti indicati nella Sezione 1.
1. Chi è responsabile dei tuoi dati
-
Titolare del trattamento: Bodivine (persona giuridica: inserire denominazione sociale completa, sede legale, numero di iscrizione e partita IVA).
-
Email di contatto: privacy@bodivine.com (sostituire con casella monitorata).
-
Indirizzo postale: inserire indirizzo per le richieste privacy.
-
Responsabile della Protezione dei Dati (DPO): inserire nominativo o consulente esterno all'indirizzo dpo@bodivine.com.
-
Rappresentante UE (se la sede principale è fuori dallo SEE): inserire estremi del rappresentante.
-
Ruolo di titolare: Bodivine agisce come titolare del trattamento per i dati relativi agli utenti individuali dell'account e per i servizi offerti direttamente a loro.
-
Ruolo di responsabile per account professionali: quando gli utenti professionali archiviano informazioni sui propri clienti, Bodivine tratta tali dati esclusivamente secondo le istruzioni documentate del professionista e in forza di un Data Processing Agreement (DPA). Gli utenti professionali restano titolari del trattamento dei dati dei loro clienti e devono garantire di disporre di una base giuridica valida e, se necessario, del consenso.
-
Attività congiunte: quando co-progettiamo piani personalizzati con coach o partner indipendenti nell'ambito di programmi condivisi, definiamo ruoli e responsabilità in un accordo di contitolarità prima di coinvolgere gli utenti.
2. Dati personali che raccogliamo
| Categoria | Esempi | Fonte | Obbligatorio? |
|---|---|---|---|
| Identificativi dell'account | Nome, indirizzo email, hash della password, lingua preferita | Forniti da te | Necessari per creare l'account |
| Uso dell'app e preferenze | Piani nutrizionali, piani di allenamento, dettagli dei pasti, note sugli esercizi, obiettivi salvati, lingua | Forniti da te | Necessari per il servizio principale |
| Dati sanitari di categorie particolari | Obiettivi nutrizionali, introito di macro, intensità degli allenamenti, annotazioni sul corpo che inserisci | Forniti da te | Conservati solo con il tuo consenso esplicito |
| Dati dei clienti gestiti dai professionisti | Nomi o identificativi dei clienti, piani assegnati, note, informazioni sanitarie o sullo stile di vita fornite dal cliente al professionista | Inseriti dal titolare dell'account professionale | Il professionista deve ottenere il consenso o un'altra base giuridica idonea |
| Dati di dispositivo e sicurezza | Indirizzo IP, metadati dispositivo/browser, token di sessione, timestamp di login | Raccolti automaticamente tramite Better Auth | Necessari per sicurezza e prevenzione frodi |
| Supporto e marketing | Messaggi al supporto, risposte ai sondaggi, opt-in marketing, interazione con campagne | Forniti da te | Facoltativi |
| Pagamenti/abbonamenti (se applicabile) | Nome di fatturazione, indirizzo, ID transazione, piano acquistato | Processore di pagamento | Necessari per i piani a pagamento |
Non raccogliamo intenzionalmente dati di minori di 16 anni. Se ritieni che conserviamo tali dati, contattaci per permetterci di eliminarli.
3. Finalità e basi giuridiche
| Finalità | Base giuridica | Condizione per i dati di categorie particolari |
|---|---|---|
| Creare e gestire gli account, autenticarti, fornire le funzionalità principali di nutrizione/allenamento | Art. 6(1)(b) GDPR (contratto) | Art. 9(2)(a) GDPR (consenso esplicito) |
| Personalizzare i piani, monitorare i progressi, generare dashboard analitiche | Art. 6(1)(b) GDPR (contratto) | Art. 9(2)(a) GDPR (consenso esplicito) |
| Consentire agli utenti professionali di gestire i clienti, collaborare ed esportare i piani | Art. 6(1)(f) GDPR (legittimo interesse a fornire servizi B2B) oppure Art. 6(1)(b) GDPR (contratto con l'utente professionale) | Art. 9(2)(a) GDPR se il consenso del cliente è raccolto dal professionista |
| Comunicazioni di servizio (reset password, verifiche, messaggi transazionali) | Art. 6(1)(b) GDPR (contratto) | Non applicabile |
| Supporto clienti e gestione delle richieste | Art. 6(1)(b) GDPR (contratto) | Art. 9(2)(a) GDPR quando sono coinvolti dati sanitari |
| Analisi del prodotto e miglioramento del servizio (in forma aggregata) | Art. 6(1)(f) GDPR (legittimo interesse a operare e migliorare il servizio) | Dove possibile aggreghiamo o anonimizziamo i dati sanitari |
| Comunicazioni marketing (newsletter, promozioni) | Art. 6(1)(a) GDPR (consenso) | Non trattiamo dati sanitari salvo quanto fornito volontariamente nelle risposte |
| Sicurezza, prevenzione frodi e conformità legale | Art. 6(1)(c) GDPR (obbligo legale) e Art. 6(1)(f) GDPR (legittimo interesse) | Evitiamo di conservare dati sanitari per tali finalità salvo quando indispensabile |
Puoi revocare il consenso in qualsiasi momento tramite il centro privacy in-app o contattandoci a privacy@bodivine.com. La revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca, ma potrebbe limitare la disponibilità di alcune funzionalità.
4. Come gestiamo i dati sanitari di categorie particolari
- Richiediamo il consenso esplicito al momento della creazione dell'account (checkbox separata) prima di memorizzare informazioni su nutrizione o allenamenti. Gli utenti professionali devono raccogliere il consenso esplicito dei propri clienti prima di inserire qualsiasi dato sanitario in Bodivine.
- I dati sanitari si limitano alle informazioni che inserisci nei planner di pasti, macro e allenamenti.
- Applichiamo la minimizzazione dei dati consentendoti di lasciare campi vuoti, anonimizzando le analisi e rimuovendo gli identificativi da screenshot/log di supporto.
- I dati sanitari sono cifrati a riposo e in transito. L'accesso è consentito solo al personale autorizzato mediante controlli basati sui ruoli e con attività registrate.
- Puoi eliminare singoli piani o l'intero account in qualsiasi momento; l'eliminazione si estende a tutti i pasti, elementi e allenamenti collegati.
- Conduciamo revisioni annuali della nostra valutazione d'impatto sulla protezione dei dati (DPIA) e adeguiamo le misure di salvaguardia quando necessario.
5. Come otteniamo i dati
- Direttamente da te quando ti registri, aggiorni il profilo o inserisci dettagli nutrizionali/di allenamento.
- Dagli utenti professionali che inseriscono le informazioni dei loro clienti nella piattaforma (i professionisti devono assicurarsi di avere l'autorità legale per condividere tali dati).
- Automaticamente tramite la nostra applicazione (cookie di sessione, metadati del dispositivo).
- Dai fornitori di servizi che trattano dati per nostro conto, come i processori di pagamento che confermano le transazioni.
Non acquistiamo dati personali da terzi né reperiamo dati da registri pubblici per finalità di profilazione dei consumatori.
6. Tempi di conservazione
| Set di dati | Regola di conservazione |
|---|---|
| Profilo account e piani | Conservati per tutta la durata dell'account ed eliminati entro 30 giorni dalla conferma della richiesta di cancellazione |
| Dati sanitari nei piani | Come sopra; i dati sanitari vengono eliminati quando si cancellano i piani o dopo 24 mesi di inattività (con preavviso) |
| Log di autenticazione e sicurezza | 12 mesi per i log critici (IP, cronologia di login); possono essere conservati più a lungo in forma hash/anonimizzata per analisi di sicurezza |
| Interazioni con il supporto | 24 mesi dopo la risoluzione salvo esigenze di difesa legale |
| Consensi marketing | Fino a revoca; conserviamo prova minima di opt-in/out per 5 anni |
| Documentazione di fatturazione | 10 anni per adempiere a obblighi fiscali e contabili (conservata dal processore di pagamento) |
Alla scadenza dei periodi di conservazione eliminiamo o anonimizziamo i dati in modo sicuro. Quando possibile cancelliamo per primi i dati sanitari, mantenendo solo metadata minimi per conformità.
7. Condivisione e trasferimenti internazionali
Condividiamo i dati personali solo con:
- Fornitori di infrastruttura e hosting (ad esempio database PostgreSQL gestiti, piattaforme cloud) che conservano i dati cifrati nello SEE o in giurisdizioni coperte da decisioni di adeguatezza UE.
- Provider di invio email (Resend, Inc.) per messaggi transazionali. Usiamo Clausole Contrattuali Standard (SCC) e conduciamo valutazioni sull'impatto del trasferimento.
- Strumenti di supporto clienti (se utilizzati) vincolati da accordi di trattamento dati adeguati.
- Provider di analisi configurati per usare dati pseudonimizzati o aggregati.
- Processori di pagamento per gestire gli abbonamenti (Bodivine non conserva i dati delle carte).
- Consulenti professionali (avvocati, commercialisti) quando necessario per la conformità legale.
- Autorità di regolamentazione o forze dell'ordine quando richiesto dalla legge.
Ogni responsabile opera sulla base di un Data Processing Agreement conforme al GDPR. Per i trasferimenti fuori dallo SEE/Regno Unito, facciamo affidamento sulle SCC o su altre garanzie riconosciute e valutiamo le leggi locali per assicurare una protezione adeguata.
8. Ruoli con gli utenti professionali
- Bodivine agisce come titolare per i dati personali relativi agli utenti finali individuali, agli utenti professionali dell'account, ai contatti di fatturazione e alle analisi di piattaforma.
- Per le informazioni sui clienti caricate o create dagli utenti professionali, Bodivine opera come responsabile del trattamento. Trattiamo tali dati solo per fornire i servizi richiesti dal professionista e applichiamo garanzie contrattuali (DPA, riservatezza, misure di sicurezza).
- Gli utenti professionali sono responsabili di informare i clienti sull'utilizzo di Bodivine, di raccogliere i consensi necessari e di gestire le richieste di esercizio dei diritti. Mettiamo a disposizione strumenti per esportare, correggere o cancellare i dati su richiesta.
- Quando offriamo un programma congiunto con un'altra organizzazione (ad esempio una challenge co-brandizzata), forniamo prima dell'adesione un accordo di contitolarità che dettaglia ruoli, responsabilità e punti di contatto.
9. Diritti degli interessati
Ai sensi del GDPR puoi:
- Richiedere l'accesso ai tuoi dati e riceverne una copia in formato portabile.
- Chiedere la rettifica o l'aggiornamento delle informazioni inesatte.
- Richiedere la cancellazione del tuo account e dei dati associati.
- Limitare il trattamento o opporti a determinati usi (ad esempio marketing, analisi).
- Revocare il consenso al trattamento dei dati sanitari.
- Ottenere informazioni su eventuali decisioni automatizzate (attualmente non effettuiamo decisioni automatizzate che producano effetti legali o analoghi).
Come esercitare i diritti
- Utilizza il pannello privacy in-app (
Impostazioni > Privacy) per scaricare, correggere o eliminare i dati. - Se i tuoi dati sono stati inseriti da un coach o dietista professionista, contatta prima loro affinché possano gestire la richiesta; noi li supporteremo in qualità di responsabile.
- Invia un'email a privacy@bodivine.com dal tuo indirizzo registrato (o tramite il tuo contatto professionale) con la richiesta.
- Per la verifica dell'identità, potremmo richiedere informazioni aggiuntive (ad esempio l'ultimo timestamp di accesso).
- Rispondiamo entro un mese (prorogabile di due mesi per richieste complesse).
- Se non sei soddisfatto, puoi presentare reclamo all'autorità di controllo del tuo Paese (vedi https://edpb.europa.eu/about-edpb/board/members_en).
10. Misure di sicurezza e DPIA
- Cifratura in transito (HTTPS/TLS) e a riposo (crittografia del database gestito).
- Accesso basato sul principio del privilegio minimo; MFA obbligatoria e registrazione delle azioni amministrative.
- Monitoraggio automatico per individuare accessi anomali e rate limiting per ridurre attacchi brute-force.
- Aggiornamento regolare delle dipendenze e penetration test prima del rilascio pubblico.
- Piano di risposta agli incidenti che copre rilevazione, contenimento, notifica e rimedio, incluso un flusso di notifica delle violazioni entro 72 ore.
- DPIA completata nel Q1 2024, con rischio residuo valutato "basso" dopo l'implementazione di crittografia, controlli di consenso e minimizzazione dei dati. Revisioni programmate annualmente e dopo modifiche sostanziali al prodotto.
11. Cookie e tecnologie simili
Utilizziamo cookie strettamente necessari per autenticazione e continuità della sessione. Cookie analitici o di marketing non essenziali vengono impostati solo dopo il tuo consenso tramite il banner cookie. La Cookie Policy fornisce dettagli su partner e tempi di conservazione.
Puoi revocare il consenso ai cookie in qualsiasi momento tramite le preferenze del banner o le impostazioni del browser. Il rifiuto dei cookie non essenziali non influisce sull'accesso al servizio principale ma potrebbe limitare consigli personalizzati.
12. Privacy dei minori
Il servizio non è destinato a persone di età inferiore a 16 anni. Non raccogliamo consapevolmente dati di minori. Se scopriamo che un minore ha creato un account senza il consenso verificato del tutore, disattiveremo l'account ed elimineremo rapidamente i dati associati.
13. Modifiche alla presente informativa
Aggiorneremo l'informativa quando introdurremo nuove funzionalità, cambieremo fornitori o modificheremo la base giuridica del trattamento. Le modifiche rilevanti saranno comunicate nell'app e via email con almeno 30 giorni di anticipo. Continua a usare il servizio solo se accetti l'informativa aggiornata.
14. Estratto del registro delle attività di trattamento (ROPA)
| Attività di trattamento | Categorie di dati | Interessati | Finalità | Base giuridica | Conservazione | Responsabili |
|---|---|---|---|---|---|---|
| Registrazione account e autenticazione | Identificativi dell'account, log di sicurezza | Utenti dell'app | Fornire accesso sicuro | Contratto; Legittimo interesse (sicurezza) | Durata dell'account + 30 giorni | Better Auth (self-hosted), provider di hosting |
| Pianificazione nutrizionale e allenamenti | Dati sanitari, preferenze | Utenti dell'app | Offrire piani personalizzati | Contratto; Consenso esplicito | Durata dell'account o cancellazione per inattività | Cloud hosting, provider di backup |
| Notifiche ed email transazionali | Identificativi dell'account | Utenti dell'app | Comunicazioni di servizio | Contratto | 12 mesi | Resend (invio email) |
| Supporto clienti | Identificativi dell'account, contenuti di supporto | Utenti dell'app | Risolvere problemi | Contratto | 24 mesi | Piattaforma di supporto (se abilitata) |
| Comunicazioni marketing | Identificativi, preferenze marketing | Iscritti | Inviare aggiornamenti facoltativi | Consenso | Fino a revoca | Piattaforma email marketing (se abilitata) |
| Fatturazione e abbonamenti | Dati di fatturazione, ID transazione | Clienti paganti | Fornire servizi a pagamento e rispettare obblighi fiscali | Contratto; Obbligo legale | 10 anni | Processore di pagamento |
| Gestione clienti per professionisti | Identificativi dei clienti, note sanitarie o sullo stile di vita fornite dal professionista | Clienti degli utenti professionali | Consentire ai professionisti di creare e condividere piani per i propri clienti | Contratto con l'utente professionale; Legittimo interesse a fornire il servizio; Consenso esplicito raccolto dal professionista | Durata del record cliente o fino a richiesta di cancellazione del professionista/cliente | Cloud hosting, provider di backup |
Il registro completo è mantenuto internamente e revisionato annualmente. Contatta il DPO per richiederne copia.
15. Come contattarci o contestare le nostre pratiche
- Email: privacy@bodivine.com
- Posta: inserire indirizzo
- DPO: dpo@bodivine.com
- Autorità di controllo UE/SEE: puoi contattare l'autorità locale oppure l'autorità capofila una volta nominata.
Se risiedi nello SEE o nel Regno Unito, hai il diritto di presentare reclamo all'autorità di controllo del Paese in cui risiedi, lavori o dove ritieni sia avvenuta la violazione.
Continuando a usare Bodivine dopo l'entrata in vigore della presente informativa, dichiari di aver letto e compreso come trattiamo i tuoi dati personali. Non utilizzare i servizi se non accetti l'informativa o se revochi il consenso quando richiesto.