Privacy Policy

Titolare: [NOME E COGNOME / RAGIONE SOCIALE — da compilare]
Codice fiscale / P.IVA: [P.IVA o CF — da compilare]
Sede: [indirizzo della sede — da compilare]
Email per esercitare i tuoi diritti: [email-supporto@dominio.it — da compilare]

• Dati account: indirizzo email (per autenticazione via codice OTP) e identificatore utente.
• Dati di allenamento: disciplina, grado, obiettivi, disponibilità, equipment, sessioni svolte e relativo feedback.
• Dati relativi a salute e infortuni (categoria particolare ex art. 9 GDPR): infortuni dichiarati, condizioni cliniche, livelli di dolore, durata. Trattati solo con il tuo consenso esplicito e con la sola finalità di generare un piano di allenamento sicuro.
• Dati di fatturazione: nome, indirizzo, codice fiscale (per gli obblighi fiscali). I dati della carta di credito sono gestiti integralmente da Stripe; non li conserviamo sui nostri sistemi.
• Log dei consensi: data/ora di accettazione, indirizzo IP, user agent, versione dei testi accettata — per dimostrare la conformità al GDPR.
• Dati tecnici: indirizzo IP, user agent, eventuali log applicativi necessari alla sicurezza e al debug. Non profiliamo.

• Erogazione del servizio (art. 6.1.b GDPR — esecuzione del contratto): account, generazione del piano, tracciamento delle sessioni, fatturazione.
• Trattamento di dati di salute (art. 9.2.a GDPR — consenso esplicito): solo per generare un piano sicuro e segnalare esercizi controindicati. Puoi revocare il consenso in qualsiasi momento cancellando l'account; senza questo consenso il servizio non può essere erogato in modo sicuro.
• Adempimenti fiscali (art. 6.1.c GDPR — obbligo di legge): conservazione dei dati di fatturazione per il tempo previsto dalla normativa.
• Sicurezza del servizio (art. 6.1.f GDPR — legittimo interesse): rate limiting, log di sicurezza, prevenzione abusi.

• Supabase (database + autenticazione) — istanza ospitata in UE / Francoforte.
• Stripe (pagamenti) — può trasferire dati negli USA con clausole contrattuali standard.
• Vercel (hosting dell'applicazione).
• Resend (invio email transazionali: codici di accesso, notifiche di fatturazione).

Tutti i fornitori sopra elencati sono vincolati da accordi sul trattamento dei dati (DPA) e adottano misure di sicurezza adeguate.

Conserviamo i dati per il tempo strettamente necessario alle finalità sopra indicate:

• Dati di allenamento e salute: cancellati quando cancelli l'account.
• Dati di fatturazione e log dei consensi: conservati per 10 anni dopo la fine del rapporto, in conformità agli obblighi fiscali e probatori (art. 2220 c.c.).
• Log tecnici di sicurezza: conservati al massimo 12 mesi.

I dati personali sono prevalentemente ospitati nell'Unione Europea (Supabase Francoforte, Vercel regione UE). Stripe e Resend possono trattare alcuni dati negli Stati Uniti d'America: in tal caso il trasferimento avviene sulla base delle clausole contrattuali standard approvate dalla Commissione Europea.

In qualità di interessato puoi esercitare i seguenti diritti:

• accesso ai tuoi dati (art. 15 GDPR);
• rettifica (art. 16 GDPR);
• cancellazione (art. 17 GDPR);
• limitazione del trattamento (art. 18 GDPR);
• portabilità dei dati (art. 20 GDPR);
• opposizione (art. 21 GDPR);
• revoca del consenso (art. 7.3 GDPR), in qualsiasi momento.

Puoi esercitare questi diritti scrivendo a [email-supporto@dominio.it — da compilare]. Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali.

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:

• Row Level Security (RLS) su tutte le tabelle: ogni utente accede solo ai propri dati.
• Cifratura in transito (TLS/HTTPS) per ogni connessione, con HSTS attivo.
• Cifratura at-rest del database (PostgreSQL gestito).
• Autenticazione senza password (codice OTP via email).
• Rate limiting sulle API sensibili, controllo dell'origine delle richieste, security headers HTTP (CSP, HSTS, X-Frame-Options).
• Accesso ai dati dei clienti limitato al Titolare per finalità di supporto.

Takka non utilizza cookie di profilazione. I cookie tecnici essenziali (autenticazione, sessione) sono necessari al funzionamento dell'app e non richiedono consenso. Non integriamo attualmente strumenti di analytics con tracciamento personale.

Potremmo aggiornare questa policy. La versione corrente è sempre consultabile a questo indirizzo; le modifiche sostanziali ti saranno notificate via email.