1. Protezione dei dati personali
2A CONSULTING si impegna a proteggere i dati personali dei propri utenti conformemente al Regolamento Generale sulla Protezione dei Dati (GDPR — Regolamento UE 2016/679) e al Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 101).
Titolare del trattamento:
2A CONSULTING
Email: contact@athleteside.com
Responsabile della protezione dei dati (DPO):
Contattabile via email all'indirizzo contact@athleteside.com
Per qualsiasi domanda relativa alla protezione dei vostri dati personali, potete contattarci all'indirizzo sopra indicato.
2. Dati raccolti
Raccogliamo diverse categorie di dati in funzione del vostro utilizzo della piattaforma:
Dati identificativi: cognome, nome, indirizzo email, password (crittografata), foto profilo, data di nascita.
Dati di connessione: indirizzo IP, tipo di browser, sistema operativo, pagine consultate, data e ora di connessione, URL di provenienza.
Dati di pagamento: le informazioni della carta di credito sono trattate esclusivamente dal nostro fornitore di pagamenti Stripe. Non memorizziamo mai i numeri delle vostre carte di credito sui nostri server. Conserviamo i riferimenti delle transazioni, importi e date di fatturazione.
Dati sportivi: storico delle attività (via Strava, Garmin Connect o inserimento manuale), prestazioni, frequenza cardiaca, dati GPS dei percorsi, obiettivi sportivi, livello di forma.
Dati di coaching: messaggi scambiati tra coach e atleta, piani di allenamento assegnati, recensioni e valutazioni.
Dati di interazione con l'IA: storico delle conversazioni con il Coach IA, domande poste, profilo sportivo trasmesso all'IA.
Dati di geolocalizzazione: indirizzo IP geolocalizzato (MaxMind GeoIP), localizzazione di eventi e club.
Dati di navigazione: cookie, identificatori di sessione, preferenze di visualizzazione, dati di audience (vedi sezione Cookie).
Dati di comunicazione: indirizzo email per la newsletter, preferenze di notifica.
3. Basi giuridiche dei trattamenti
Ogni trattamento di dati personali si basa su una base giuridica conforme all'articolo 6 del GDPR:
Esecuzione del contratto (art. 6.1.b):
- Creazione e gestione del vostro account utente
- Elaborazione dei vostri ordini e pagamenti (abbonamenti Prime, piani di allenamento, coaching)
- Fornitura del servizio di coaching (messaggistica, piani, monitoraggio)
- Messa in contatto tramite marketplace
- Accesso al Coach IA (per gli abbonati Prime)
- Esportazione di sessioni verso Strava / Garmin Connect
- Invio della newsletter e comunicazioni commerciali
- Connessione del vostro account Strava o Garmin (accesso ai vostri dati di attività sportiva)
- Connessione tramite un servizio terzo (Google, Facebook, Apple)
- Deposito di cookie non essenziali (analytics, pubblicitari)
- Miglioramento della piattaforma e analisi dell'audience
- Prevenzione delle frodi e sicurezza del sito (reCAPTCHA, rate limiting)
- Monitoraggio delle conversioni e performance delle funzionalità
- Conservazione delle fatture e dati di transazione (obblighi fiscali e contabili)
- Risposta a richieste giudiziarie
4. Finalità dei trattamenti
I vostri dati personali sono trattati per le seguenti finalità:
- Gestione degli account: registrazione, autenticazione, gestione del profilo utente.
- Servizi a pagamento: elaborazione dei pagamenti, gestione degli abbonamenti (Prime, coaching), emissione delle fatture, versamento delle commissioni ai coach.
- Coaching: messa in contatto coach/atleta, messaggistica, monitoraggio delle sessioni, valutazioni.
- Intelligenza artificiale: fornitura del Coach IA, personalizzazione delle raccomandazioni di allenamento.
- Dati sportivi: sincronizzazione con Strava e Garmin, esportazione di sessioni, calcoli di performance.
- Marketplace: pubblicazione e gestione di annunci, messaggistica tra venditore e acquirente.
- Comunicazione: invio della newsletter, notifiche transazionali (conferma ordine, sollecito di pagamento, scadenza carta), email di servizio.
- Referral: monitoraggio dei referral, attribuzione delle ricompense.
- Analisi e miglioramento: misurazione dell'audience, analisi dei percorsi utente, ottimizzazione del sito.
- Sicurezza: rilevamento frodi, protezione contro gli abusi (reCAPTCHA), registrazione degli accessi.
5. Intelligenza artificiale
AthleteSide utilizza servizi di intelligenza artificiale forniti da OpenAI (OpenAI, L.L.C., San Francisco, Stati Uniti) per le seguenti funzionalità:
- Coach IA: Assistente conversazionale per allenamento, nutrizione e strategia di gara. I messaggi che inviate al Coach IA sono trasmessi all'API OpenAI per generare risposte.
- Generazione di contenuti: Alcuni articoli e descrizioni possono essere generati o arricchiti dall'IA.
- Traduzione: Assistenza alla traduzione di contenuti nelle diverse lingue del sito.
Assenza di decisioni automatizzate: L'IA fornisce raccomandazioni a scopo informativo. Nessuna decisione che produca effetti giuridici o che incida in modo significativo sull'utente viene presa in modo automatizzato sulla sola base di un trattamento algoritmico.
I dati trasmessi a OpenAI sono oggetto di un trasferimento fuori dall'UE (vedi sezione "Trasferimenti fuori dall'UE").
6. Dati di pagamento
I pagamenti su AthleteSide sono elaborati da Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublino, Irlanda).
Dati trattati da Stripe: numero della carta di credito, data di scadenza, codice CVV, nome del titolare. Questi dati sono raccolti e trattati direttamente da Stripe in un ambiente certificato PCI-DSS Livello 1. AthleteSide non memorizza mai i vostri dati della carta di credito.
Dati conservati da AthleteSide: identificativo cliente Stripe, ultime 4 cifre della carta, tipo di carta, data di scadenza, storico delle transazioni (importi, date, stati), fatture.
Per i coach: i versamenti delle commissioni sono effettuati tramite Stripe Connect. Il coach fornisce le proprie coordinate bancarie (IBAN, BIC) direttamente a Stripe.
Informativa sulla privacy di Stripe: https://stripe.com/it/privacy
7. Connessione tramite servizi terzi
AthleteSide consente la connessione e la registrazione tramite i seguenti servizi terzi:
Google (Google Ireland Limited, Gordon House, Barrow Street, Dublino 4, Irlanda) — Dati recuperati: cognome, nome, indirizzo email, foto profilo.
Facebook (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublino 2, Irlanda) — Dati recuperati: cognome, nome, indirizzo email, foto profilo.
Apple (Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irlanda) — Dati recuperati: nome, indirizzo email (eventualmente tramite il servizio "Nascondi la mia e-mail").
Strava (Strava, Inc., San Francisco, Stati Uniti) — Dati recuperati: cognome, nome, foto profilo, dati delle attività sportive (vedi sezione "Dati sportivi").
L'utilizzo di questi servizi di connessione è facoltativo e subordinato al vostro consenso. Potete in qualsiasi momento disconnettere un servizio terzo dalle impostazioni del vostro account. Vengono recuperati solo i dati necessari alla creazione o alla connessione del vostro account.
8. Dati sportivi e sanitari
Alcune funzionalità di AthleteSide comportano il trattamento di dati relativi alla salute ai sensi dell'articolo 9 del GDPR, in particolare:
- Frequenza cardiaca (dati importati da Strava o Garmin Connect)
- Dati di attività fisica: distanza, durata, andatura, dislivello, potenza, cadenza
- Dati GPS: tracciati di percorsi
- Obiettivi sportivi e livello di forma
Strava (Strava, Inc., San Francisco, Stati Uniti) — Accediamo alle vostre attività sportive tramite l'API Strava. Potete revocare questo accesso in qualsiasi momento dalle impostazioni del vostro account Strava.
Garmin Connect (Garmin Ltd., Sciaffusa, Svizzera / Garmin International, Inc., Olathe, Kansas, Stati Uniti) — Esportiamo sessioni verso il vostro account Garmin. La connessione può essere revocata dalle impostazioni Garmin.
Potete in qualsiasi momento eliminare i vostri dati sportivi dalle impostazioni del vostro account AthleteSide.
9. Responsabili del trattamento e destinatari dei dati
I vostri dati personali possono essere trasmessi ai seguenti responsabili del trattamento, che agiscono su istruzione di 2A CONSULTING:
| Responsabile | Servizio | Dati interessati | Localizzazione |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting | Tutti i dati | UE (Irlanda / Francia) |
| Stripe | Pagamenti | Dati di pagamento, identità | Irlanda / Stati Uniti |
| SendGrid (Twilio) | Invio email | Indirizzo email, contenuto email | Stati Uniti |
| OpenAI | Intelligenza artificiale | Conversazioni IA, profilo sportivo | Stati Uniti |
| reCAPTCHA, Analytics, OAuth | Indirizzo IP, dati di navigazione | Irlanda / Stati Uniti | |
| Plausible Analytics | Analisi audience | Dati di navigazione anonimizzati | UE |
| MaxMind (GeoIP2) | Geolocalizzazione IP | Indirizzo IP | Stati Uniti |
| Meta (Facebook) | OAuth, condivisione social | Identità (se connessione social) | Irlanda / Stati Uniti |
| Apple | OAuth (Accedi con Apple) | Identità (se connessione social) | Irlanda |
| Strava | Sincronizzazione attività sportive | Dati di attività fisica | Stati Uniti |
| Garmin | Esportazione sessioni | Sessioni di allenamento | Svizzera / Stati Uniti |
| Effiliation | Affiliazione commerciale | Dati di navigazione (cookie) | Francia |
Nessun dato personale viene venduto a terzi.
10. Trasferimenti di dati fuori dall'UE
Alcuni dei nostri responsabili del trattamento sono situati al di fuori dell'Unione Europea, in particolare negli Stati Uniti. Questi trasferimenti sono regolati dalle seguenti garanzie, conformemente al Capo V del GDPR:
EU-US Data Privacy Framework: Stripe, Google, Meta e altri responsabili statunitensi sono certificati nell'ambito del Data Privacy Framework, riconosciuto dalla Commissione europea come in grado di offrire un livello di protezione adeguato (decisione di adeguatezza del 10 luglio 2023).
Clausole Contrattuali Standard (SCC): Per i responsabili non coperti dal Data Privacy Framework, vengono implementate Clausole Contrattuali Standard approvate dalla Commissione europea.
Responsabili interessati da un trasferimento fuori dall'UE:
- Stripe (Stati Uniti) — Data Privacy Framework
- SendGrid / Twilio (Stati Uniti) — SCC
- OpenAI (Stati Uniti) — SCC + Data Processing Agreement
- Google (Stati Uniti) — Data Privacy Framework
- MaxMind (Stati Uniti) — SCC
- Strava (Stati Uniti) — SCC
11. Cookie e traccianti
Il sito https://www.athleteside.com utilizza cookie e traccianti. Per informazioni dettagliate, consultate la nostra pagina dedicata ai cookie.
Riepilogo delle categorie di cookie utilizzati:
- Cookie strettamente necessari: Sessione utente, autenticazione, carrello, CSRF, preferenza lingua. Questi cookie non richiedono il vostro consenso.
- Cookie analitici: Google Analytics, Plausible Analytics — misurazione audience e miglioramento del sito.
- Cookie funzionali: Memorizzazione delle vostre preferenze (comparatore prodotti, filtri).
- Cookie di terze parti: reCAPTCHA (Google), pulsanti di condivisione social, contenuti integrati (video).
12. Tempi di conservazione
I vostri dati sono conservati per i seguenti periodi:
| Tipo di dati | Tempo di conservazione |
|---|---|
| Account utente | Durata dell'account + 3 anni dopo la cancellazione |
| Dati di pagamento e fatture | 10 anni (obbligo contabile — art. 2220 Codice civile) |
| Dati di coaching (messaggi, piani) | Durata dell'abbonamento + 1 anno |
| Conversazioni Coach IA | Durata dell'account (eliminabili dall'utente) |
| Dati delle attività sportive | Durata dell'account (eliminabili dall'utente) |
| Newsletter | Fino alla disiscrizione |
| Log di connessione | 12 mesi (obbligo legale — D.Lgs. 70/2003) |
| Dati di audience (analytics) | 26 mesi massimo |
| Cookie | 13 mesi massimo |
| Annunci marketplace | Durata della pubblicazione + 6 mesi |
| Dati di referral | Durata dell'account referente |
Alla scadenza di questi periodi, i dati vengono eliminati o anonimizzati in modo irreversibile.
13. I vostri diritti
Conformemente al GDPR e al Codice Privacy, disponete dei seguenti diritti sui vostri dati personali:
- Diritto di accesso (art. 15 GDPR): Ottenere la conferma che dati che vi riguardano siano trattati e ottenerne una copia.
- Diritto di rettifica (art. 16 GDPR): Far correggere dati inesatti o incompleti.
- Diritto alla cancellazione (art. 17 GDPR): Chiedere la cancellazione dei vostri dati, fatti salvi gli obblighi legali di conservazione.
- Diritto alla portabilità (art. 20 GDPR): Ricevere i vostri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Diritto di opposizione (art. 21 GDPR): Opporvi al trattamento dei vostri dati per motivi legittimi, o opporvi alla prospezione commerciale.
- Diritto di limitazione (art. 18 GDPR): Chiedere la sospensione del trattamento dei vostri dati in determinati casi.
- Diritto di revoca del consenso: Revocare il vostro consenso in qualsiasi momento (newsletter, cookie, connessione social, dati sportivi), senza pregiudicare la liceità del trattamento precedente.
- Diritti in caso di decesso: Impartire istruzioni relative al destino dei vostri dati dopo la vostra morte.
14. Esercitare i vostri diritti
Per esercitare i vostri diritti, potete:
- Inviare un'email a contact@athleteside.com precisando la vostra richiesta e allegando un documento d'identità.
- Utilizzare le funzionalità del vostro account: modificare le vostre informazioni, eliminare il vostro account, gestire i vostri abbonamenti, disconnettere i servizi terzi (Strava, Google, ecc.).
In caso di difficoltà nell'esercizio dei vostri diritti, potete presentare un reclamo presso il Garante per la protezione dei dati personali:
Garante per la protezione dei dati personali — Piazza Venezia, n. 11, 00187 Roma
Sito web: www.garanteprivacy.it
15. Sicurezza dei dati
2A CONSULTING implementa le misure tecniche e organizzative appropriate per proteggere i vostri dati personali:
- Crittografia in transito: Tutte le comunicazioni sono protette tramite HTTPS/TLS.
- Crittografia a riposo: I dati sensibili sono crittografati nel database.
- Hash delle password: Le password sono crittografate con un algoritmo sicuro (bcrypt) e non sono mai memorizzate in chiaro.
- Controllo degli accessi: Accesso limitato ai dati per ruolo (RBAC), autenticazione rafforzata per gli amministratori.
- Pagamenti sicuri: Elaborazione PCI-DSS tramite Stripe — nessun dato di carta di credito transita attraverso i nostri server.
- Protezione contro gli abusi: Rate limiting, reCAPTCHA, protezione CSRF, rilevamento intrusioni.
- Backup: Backup regolari e crittografati dei dati.
- Aggiornamenti: Applicazione regolare delle patch di sicurezza.
16. Minori
Il sito AthleteSide non è destinato ai bambini di età inferiore ai 14 anni (età del consenso digitale in Italia, conformemente all'articolo 2-quinquies del Codice Privacy).
Gli utenti di età compresa tra 14 e 18 anni devono ottenere l'autorizzazione del loro rappresentante legale per creare un account e utilizzare i servizi, in particolare i servizi a pagamento.
Se veniamo a conoscenza del fatto che sono stati raccolti dati relativi a un bambino di età inferiore ai 14 anni senza il consenso del titolare della responsabilità genitoriale, adotteremo le misure necessarie per eliminare tali dati il prima possibile.