Informativa sulla Privacy di Bodivine

Ultimo aggiornamento: 2024-- (sostituire con la data di pubblicazione)

La presente informativa descrive come Bodivine ("Bodivine", "noi", "ci", "nostro") tratta i dati personali quando utilizzi i nostri strumenti di pianificazione nutrizionale e degli allenamenti, visiti i nostri siti web o interagisci con noi. Copre sia (a) gli utenti individuali che creano piani per sé stessi sia (b) i coach professionisti, personal trainer e dietisti che gestiscono i piani per conto dei propri clienti. L'informativa è redatta per soddisfare i requisiti del Regolamento (UE) 2016/679 (GDPR), del GDPR del Regno Unito quando applicabile, e delle normative europee correlate in materia di privacy e tutela dei consumatori.

Ti invitiamo a leggere questa informativa insieme alla nostra Cookie Policy e ai Termini di Servizio. Per qualsiasi domanda contattaci ai recapiti indicati nella Sezione 1.

1. Chi è responsabile dei tuoi dati

Titolare del trattamento: Bodivine (persona giuridica: inserire denominazione sociale completa, sede legale, numero di iscrizione e partita IVA).
Email di contatto: privacy@bodivine.com (sostituire con casella monitorata).
Indirizzo postale: inserire indirizzo per le richieste privacy.
Responsabile della Protezione dei Dati (DPO): inserire nominativo o consulente esterno all'indirizzo dpo@bodivine.com.
Rappresentante UE (se la sede principale è fuori dallo SEE): inserire estremi del rappresentante.
Ruolo di titolare: Bodivine agisce come titolare del trattamento per i dati relativi agli utenti individuali dell'account e per i servizi offerti direttamente a loro.
Ruolo di responsabile per account professionali: quando gli utenti professionali archiviano informazioni sui propri clienti, Bodivine tratta tali dati esclusivamente secondo le istruzioni documentate del professionista e in forza di un Data Processing Agreement (DPA). Gli utenti professionali restano titolari del trattamento dei dati dei loro clienti e devono garantire di disporre di una base giuridica valida e, se necessario, del consenso.
Attività congiunte: quando co-progettiamo piani personalizzati con coach o partner indipendenti nell'ambito di programmi condivisi, definiamo ruoli e responsabilità in un accordo di contitolarità prima di coinvolgere gli utenti.

2. Dati personali che raccogliamo

Categoria	Esempi	Fonte	Obbligatorio?
Identificativi dell'account	Nome, indirizzo email, hash della password, lingua preferita	Forniti da te	Necessari per creare l'account
Uso dell'app e preferenze	Piani nutrizionali, piani di allenamento, dettagli dei pasti, note sugli esercizi, obiettivi salvati, lingua	Forniti da te	Necessari per il servizio principale
Dati sanitari di categorie particolari	Obiettivi nutrizionali, introito di macro, intensità degli allenamenti, annotazioni sul corpo che inserisci	Forniti da te	Conservati solo con il tuo consenso esplicito
Dati dei clienti gestiti dai professionisti	Nomi o identificativi dei clienti, piani assegnati, note, informazioni sanitarie o sullo stile di vita fornite dal cliente al professionista	Inseriti dal titolare dell'account professionale	Il professionista deve ottenere il consenso o un'altra base giuridica idonea
Dati di dispositivo e sicurezza	Indirizzo IP, metadati dispositivo/browser, token di sessione, timestamp di login	Raccolti automaticamente tramite Better Auth	Necessari per sicurezza e prevenzione frodi
Supporto e marketing	Messaggi al supporto, risposte ai sondaggi, opt-in marketing, interazione con campagne	Forniti da te	Facoltativi
Pagamenti/abbonamenti (se applicabile)	Nome di fatturazione, indirizzo, ID transazione, piano acquistato	Processore di pagamento	Necessari per i piani a pagamento

Non raccogliamo intenzionalmente dati di minori di 16 anni. Se ritieni che conserviamo tali dati, contattaci per permetterci di eliminarli.

3. Finalità e basi giuridiche

Finalità	Base giuridica	Condizione per i dati di categorie particolari
Creare e gestire gli account, autenticarti, fornire le funzionalità principali di nutrizione/allenamento	Art. 6(1)(b) GDPR (contratto)	Art. 9(2)(a) GDPR (consenso esplicito)
Personalizzare i piani, monitorare i progressi, generare dashboard analitiche	Art. 6(1)(b) GDPR (contratto)	Art. 9(2)(a) GDPR (consenso esplicito)
Consentire agli utenti professionali di gestire i clienti, collaborare ed esportare i piani	Art. 6(1)(f) GDPR (legittimo interesse a fornire servizi B2B) oppure Art. 6(1)(b) GDPR (contratto con l'utente professionale)	Art. 9(2)(a) GDPR se il consenso del cliente è raccolto dal professionista
Comunicazioni di servizio (reset password, verifiche, messaggi transazionali)	Art. 6(1)(b) GDPR (contratto)	Non applicabile
Supporto clienti e gestione delle richieste	Art. 6(1)(b) GDPR (contratto)	Art. 9(2)(a) GDPR quando sono coinvolti dati sanitari
Analisi del prodotto e miglioramento del servizio (in forma aggregata)	Art. 6(1)(f) GDPR (legittimo interesse a operare e migliorare il servizio)	Dove possibile aggreghiamo o anonimizziamo i dati sanitari
Comunicazioni marketing (newsletter, promozioni)	Art. 6(1)(a) GDPR (consenso)	Non trattiamo dati sanitari salvo quanto fornito volontariamente nelle risposte
Sicurezza, prevenzione frodi e conformità legale	Art. 6(1)(c) GDPR (obbligo legale) e Art. 6(1)(f) GDPR (legittimo interesse)	Evitiamo di conservare dati sanitari per tali finalità salvo quando indispensabile

Puoi revocare il consenso in qualsiasi momento tramite il centro privacy in-app o contattandoci a privacy@bodivine.com. La revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca, ma potrebbe limitare la disponibilità di alcune funzionalità.

4. Come gestiamo i dati sanitari di categorie particolari

Richiediamo il consenso esplicito al momento della creazione dell'account (checkbox separata) prima di memorizzare informazioni su nutrizione o allenamenti. Gli utenti professionali devono raccogliere il consenso esplicito dei propri clienti prima di inserire qualsiasi dato sanitario in Bodivine.
I dati sanitari si limitano alle informazioni che inserisci nei planner di pasti, macro e allenamenti.
Applichiamo la minimizzazione dei dati consentendoti di lasciare campi vuoti, anonimizzando le analisi e rimuovendo gli identificativi da screenshot/log di supporto.
I dati sanitari sono cifrati a riposo e in transito. L'accesso è consentito solo al personale autorizzato mediante controlli basati sui ruoli e con attività registrate.
Puoi eliminare singoli piani o l'intero account in qualsiasi momento; l'eliminazione si estende a tutti i pasti, elementi e allenamenti collegati.
Conduciamo revisioni annuali della nostra valutazione d'impatto sulla protezione dei dati (DPIA) e adeguiamo le misure di salvaguardia quando necessario.

5. Come otteniamo i dati

Direttamente da te quando ti registri, aggiorni il profilo o inserisci dettagli nutrizionali/di allenamento.
Dagli utenti professionali che inseriscono le informazioni dei loro clienti nella piattaforma (i professionisti devono assicurarsi di avere l'autorità legale per condividere tali dati).
Automaticamente tramite la nostra applicazione (cookie di sessione, metadati del dispositivo).
Dai fornitori di servizi che trattano dati per nostro conto, come i processori di pagamento che confermano le transazioni.

Non acquistiamo dati personali da terzi né reperiamo dati da registri pubblici per finalità di profilazione dei consumatori.

6. Tempi di conservazione

Set di dati	Regola di conservazione
Profilo account e piani	Conservati per tutta la durata dell'account ed eliminati entro 30 giorni dalla conferma della richiesta di cancellazione
Dati sanitari nei piani	Come sopra; i dati sanitari vengono eliminati quando si cancellano i piani o dopo 24 mesi di inattività (con preavviso)
Log di autenticazione e sicurezza	12 mesi per i log critici (IP, cronologia di login); possono essere conservati più a lungo in forma hash/anonimizzata per analisi di sicurezza
Interazioni con il supporto	24 mesi dopo la risoluzione salvo esigenze di difesa legale
Consensi marketing	Fino a revoca; conserviamo prova minima di opt-in/out per 5 anni
Documentazione di fatturazione	10 anni per adempiere a obblighi fiscali e contabili (conservata dal processore di pagamento)

Alla scadenza dei periodi di conservazione eliminiamo o anonimizziamo i dati in modo sicuro. Quando possibile cancelliamo per primi i dati sanitari, mantenendo solo metadata minimi per conformità.

7. Condivisione e trasferimenti internazionali

Condividiamo i dati personali solo con:

Fornitori di infrastruttura e hosting (ad esempio database PostgreSQL gestiti, piattaforme cloud) che conservano i dati cifrati nello SEE o in giurisdizioni coperte da decisioni di adeguatezza UE.
Provider di invio email (Resend, Inc.) per messaggi transazionali. Usiamo Clausole Contrattuali Standard (SCC) e conduciamo valutazioni sull'impatto del trasferimento.
Strumenti di supporto clienti (se utilizzati) vincolati da accordi di trattamento dati adeguati.
Provider di analisi configurati per usare dati pseudonimizzati o aggregati.
Processori di pagamento per gestire gli abbonamenti (Bodivine non conserva i dati delle carte).
Consulenti professionali (avvocati, commercialisti) quando necessario per la conformità legale.
Autorità di regolamentazione o forze dell'ordine quando richiesto dalla legge.

Ogni responsabile opera sulla base di un Data Processing Agreement conforme al GDPR. Per i trasferimenti fuori dallo SEE/Regno Unito, facciamo affidamento sulle SCC o su altre garanzie riconosciute e valutiamo le leggi locali per assicurare una protezione adeguata.

8. Ruoli con gli utenti professionali

Bodivine agisce come titolare per i dati personali relativi agli utenti finali individuali, agli utenti professionali dell'account, ai contatti di fatturazione e alle analisi di piattaforma.
Per le informazioni sui clienti caricate o create dagli utenti professionali, Bodivine opera come responsabile del trattamento. Trattiamo tali dati solo per fornire i servizi richiesti dal professionista e applichiamo garanzie contrattuali (DPA, riservatezza, misure di sicurezza).
Gli utenti professionali sono responsabili di informare i clienti sull'utilizzo di Bodivine, di raccogliere i consensi necessari e di gestire le richieste di esercizio dei diritti. Mettiamo a disposizione strumenti per esportare, correggere o cancellare i dati su richiesta.
Quando offriamo un programma congiunto con un'altra organizzazione (ad esempio una challenge co-brandizzata), forniamo prima dell'adesione un accordo di contitolarità che dettaglia ruoli, responsabilità e punti di contatto.

9. Diritti degli interessati

Ai sensi del GDPR puoi:

Richiedere l'accesso ai tuoi dati e riceverne una copia in formato portabile.
Chiedere la rettifica o l'aggiornamento delle informazioni inesatte.
Richiedere la cancellazione del tuo account e dei dati associati.
Limitare il trattamento o opporti a determinati usi (ad esempio marketing, analisi).
Revocare il consenso al trattamento dei dati sanitari.
Ottenere informazioni su eventuali decisioni automatizzate (attualmente non effettuiamo decisioni automatizzate che producano effetti legali o analoghi).

Come esercitare i diritti

Utilizza il pannello privacy in-app (Impostazioni > Privacy) per scaricare, correggere o eliminare i dati.
Se i tuoi dati sono stati inseriti da un coach o dietista professionista, contatta prima loro affinché possano gestire la richiesta; noi li supporteremo in qualità di responsabile.
Invia un'email a privacy@bodivine.com dal tuo indirizzo registrato (o tramite il tuo contatto professionale) con la richiesta.
Per la verifica dell'identità, potremmo richiedere informazioni aggiuntive (ad esempio l'ultimo timestamp di accesso).
Rispondiamo entro un mese (prorogabile di due mesi per richieste complesse).
Se non sei soddisfatto, puoi presentare reclamo all'autorità di controllo del tuo Paese (vedi https://edpb.europa.eu/about-edpb/board/members_en).

10. Misure di sicurezza e DPIA

Cifratura in transito (HTTPS/TLS) e a riposo (crittografia del database gestito).
Accesso basato sul principio del privilegio minimo; MFA obbligatoria e registrazione delle azioni amministrative.
Monitoraggio automatico per individuare accessi anomali e rate limiting per ridurre attacchi brute-force.
Aggiornamento regolare delle dipendenze e penetration test prima del rilascio pubblico.
Piano di risposta agli incidenti che copre rilevazione, contenimento, notifica e rimedio, incluso un flusso di notifica delle violazioni entro 72 ore.
DPIA completata nel Q1 2024, con rischio residuo valutato "basso" dopo l'implementazione di crittografia, controlli di consenso e minimizzazione dei dati. Revisioni programmate annualmente e dopo modifiche sostanziali al prodotto.

11. Cookie e tecnologie simili

Utilizziamo cookie strettamente necessari per autenticazione e continuità della sessione. Cookie analitici o di marketing non essenziali vengono impostati solo dopo il tuo consenso tramite il banner cookie. La Cookie Policy fornisce dettagli su partner e tempi di conservazione.

Puoi revocare il consenso ai cookie in qualsiasi momento tramite le preferenze del banner o le impostazioni del browser. Il rifiuto dei cookie non essenziali non influisce sull'accesso al servizio principale ma potrebbe limitare consigli personalizzati.

12. Privacy dei minori

Il servizio non è destinato a persone di età inferiore a 16 anni. Non raccogliamo consapevolmente dati di minori. Se scopriamo che un minore ha creato un account senza il consenso verificato del tutore, disattiveremo l'account ed elimineremo rapidamente i dati associati.

13. Modifiche alla presente informativa

Aggiorneremo l'informativa quando introdurremo nuove funzionalità, cambieremo fornitori o modificheremo la base giuridica del trattamento. Le modifiche rilevanti saranno comunicate nell'app e via email con almeno 30 giorni di anticipo. Continua a usare il servizio solo se accetti l'informativa aggiornata.

14. Estratto del registro delle attività di trattamento (ROPA)

Attività di trattamento	Categorie di dati	Interessati	Finalità	Base giuridica	Conservazione	Responsabili
Registrazione account e autenticazione	Identificativi dell'account, log di sicurezza	Utenti dell'app	Fornire accesso sicuro	Contratto; Legittimo interesse (sicurezza)	Durata dell'account + 30 giorni	Better Auth (self-hosted), provider di hosting
Pianificazione nutrizionale e allenamenti	Dati sanitari, preferenze	Utenti dell'app	Offrire piani personalizzati	Contratto; Consenso esplicito	Durata dell'account o cancellazione per inattività	Cloud hosting, provider di backup
Notifiche ed email transazionali	Identificativi dell'account	Utenti dell'app	Comunicazioni di servizio	Contratto	12 mesi	Resend (invio email)
Supporto clienti	Identificativi dell'account, contenuti di supporto	Utenti dell'app	Risolvere problemi	Contratto	24 mesi	Piattaforma di supporto (se abilitata)
Comunicazioni marketing	Identificativi, preferenze marketing	Iscritti	Inviare aggiornamenti facoltativi	Consenso	Fino a revoca	Piattaforma email marketing (se abilitata)
Fatturazione e abbonamenti	Dati di fatturazione, ID transazione	Clienti paganti	Fornire servizi a pagamento e rispettare obblighi fiscali	Contratto; Obbligo legale	10 anni	Processore di pagamento
Gestione clienti per professionisti	Identificativi dei clienti, note sanitarie o sullo stile di vita fornite dal professionista	Clienti degli utenti professionali	Consentire ai professionisti di creare e condividere piani per i propri clienti	Contratto con l'utente professionale; Legittimo interesse a fornire il servizio; Consenso esplicito raccolto dal professionista	Durata del record cliente o fino a richiesta di cancellazione del professionista/cliente	Cloud hosting, provider di backup

Il registro completo è mantenuto internamente e revisionato annualmente. Contatta il DPO per richiederne copia.

15. Come contattarci o contestare le nostre pratiche

Email: privacy@bodivine.com
Posta: inserire indirizzo
DPO: dpo@bodivine.com
Autorità di controllo UE/SEE: puoi contattare l'autorità locale oppure l'autorità capofila una volta nominata.

Se risiedi nello SEE o nel Regno Unito, hai il diritto di presentare reclamo all'autorità di controllo del Paese in cui risiedi, lavori o dove ritieni sia avvenuta la violazione.

Continuando a usare Bodivine dopo l'entrata in vigore della presente informativa, dichiari di aver letto e compreso come trattiamo i tuoi dati personali. Non utilizzare i servizi se non accetti l'informativa o se revochi il consenso quando richiesto.