1. Titolare del trattamento
Per i dati trattati direttamente (vedi PARTE A) e per i dati dei Clienti finali trattati su istruzione dei Coach (vedi PARTE B), il Titolare del trattamento ai sensi dell'art. 4(7) GDPR è:
Filippo Brambilla
Sede legale: Via San Martino 1, 20864 Agrate Brianza (MB), Italia
Codice Fiscale: BRMFPP02L08F704L
Partita IVA: 14693790967
Regime fiscale: Regime forfettario ex art. 1, c. 54-89, L. 190/2014
Contatti
- Email per richieste privacy: info@trainercore.app
- PEC: filippo.brambilla@pec.fiscozen.it
- Sito web: https://www.trainercore.app
Responsabile per la Protezione dei Dati (DPO): non designato. Ai sensi dell'art. 37 GDPR, la designazione non è obbligatoria per l'attuale dimensione e struttura del servizio. La nomina sarà rivalutata in caso di crescita significativa del numero di interessati o di estensione delle attività di trattamento.
2. Chi siamo e come è strutturato il servizio
TrainerCore è una piattaforma SaaS (Software-as-a-Service) accessibile via web e applicazione mobile, che fornisce a personal trainer, nutrizionisti e altri professionisti del fitness (di seguito “Coach”) strumenti per gestire i propri clienti: anamnesi, piani alimentari, monitoraggio progressi, check periodici, comunicazione.
Esistono due categorie di utenti, con ruoli giuridici differenti:
- Coach: professionisti che sottoscrivono un abbonamento al servizio. Per i loro dati personali, TrainerCore è Titolare autonomo del trattamento (vedi PARTE A).
- Clienti finali: persone fisiche invitate da un Coach per essere seguite professionalmente. Per i loro dati personali, il Coach è il Titolare autonomo del trattamento; TrainerCore agisce come Responsabile del trattamento ex art. 28 GDPR, sulla base di un Accordo per il Trattamento dei Dati (DPA) accettato dal Coach all'attivazione dell'abbonamento. Per i dati dei Clienti finali trattati per finalità tecniche autonome (es. log di sicurezza, anti-frode, gestione push notification) TrainerCore è invece Titolare autonomo (vedi PARTE B sez. dedicata).
PARTE A — Trattamento dati dei Coach
Questa parte si applica se sei un Coach o stai valutando di registrarti come Coach su TrainerCore.
3.A Dati personali trattati
3.A.1 Dati di registrazione e account
- Nome e cognome
- Indirizzo email
- Password (memorizzata in forma crittografata tramite hash sicuro)
- Numero di telefono (facoltativo)
- Immagine del profilo (facoltativa)
- Specializzazione professionale dichiarata
- Codice di iscrizione professionale (se richiesto)
- Identificativo univoco interno (UUID)
- Token di sessione e di autenticazione
3.A.2 Dati di fatturazione e pagamento
- Nome e cognome (o ragione sociale se persona giuridica)
- Indirizzo di fatturazione
- Partita IVA o codice fiscale
- Codice destinatario SDI o PEC per fatturazione elettronica
- Identificativo cliente Stripe (
stripe_customer_id) - Identificativo abbonamento Stripe (
stripe_subscription_id) - Stato abbonamento (attivo, sospeso, cancellato)
- Storico dei pagamenti effettuati
- I dati della carta di pagamento non sono trattati direttamente da TrainerCore: sono raccolti e custoditi esclusivamente da Stripe Payments Europe Ltd. (PCI-DSS Level 1). TrainerCore riceve da Stripe esclusivamente le ultime quattro cifre della carta e il tipo di circuito, per finalità di interfaccia utente.
3.A.3 Dati di utilizzo del servizio
- Log di accesso e attività (timestamp, IP anonimizzato, user-agent)
- Token di notifica push (Expo Push Token, se hai installato l'app mobile)
- Preferenze interfaccia (lingua, tema, ordine sezioni)
- Configurazioni di personalizzazione del servizio (template, schemi anamnesi, ecc.)
3.A.4 Dati di comunicazione
- Contenuto delle comunicazioni intercorse con il servizio di assistenza
- Eventuali iscrizioni a newsletter o comunicazioni commerciali (solo previo consenso)
3.A.5 Dati raccolti in modo automatico
- Cookie tecnici e funzionali (vedi separata Cookie Policy)
- Metriche aggregate di prestazione del sito (Vercel Analytics, in forma aggregata e non identificativa)
- Crash report dell'app mobile (Sentry), in forma pseudonimizzata
4.A Finalità e basi giuridiche
| Finalità | Base giuridica | Riferimento GDPR |
|---|---|---|
| Creazione e gestione dell'account Coach | Esecuzione del contratto | Art. 6(1)(b) |
| Erogazione del servizio sottoscritto | Esecuzione del contratto | Art. 6(1)(b) |
| Gestione abbonamento, fatturazione, pagamenti | Esecuzione del contratto + obbligo legale | Art. 6(1)(b), (c) |
| Conservazione documenti fiscali | Obbligo legale (DPR 600/1973, art. 22) | Art. 6(1)(c) |
| Invio comunicazioni di servizio (es. variazioni T&C, manutenzioni) | Esecuzione del contratto + interesse legittimo | Art. 6(1)(b), (f) |
| Sicurezza, prevenzione frodi, debugging | Interesse legittimo | Art. 6(1)(f) |
| Invio comunicazioni commerciali (newsletter, novità) | Consenso revocabile in qualsiasi momento | Art. 6(1)(a) |
| Profilazione per offerte personalizzate | Consenso esplicito e specifico (non attualmente attivo) | Art. 6(1)(a) |
| Adempimento richieste autorità | Obbligo legale | Art. 6(1)(c) |
| Difesa in sede giudiziale | Interesse legittimo | Art. 6(1)(f) |
5.A Conferimento dei dati
Il conferimento dei dati indicati nelle sezioni 3.A.1, 3.A.2, 3.A.3 è necessarioper la fruizione del servizio. Il mancato conferimento impedisce la creazione dell'account o l'attivazione dell'abbonamento.
Il conferimento dei dati per finalità di marketing (newsletter, comunicazioni promozionali) è facoltativoe il consenso è revocabile in qualunque momento senza pregiudicare l'uso del servizio.
6.A Conservazione dei dati
| Categoria | Durata di conservazione |
|---|---|
| Account e dati di profilo | Per tutta la durata del rapporto contrattuale + 12 mesi dalla cessazione, per gestione di eventuali contestazioni |
| Dati di fatturazione e documenti fiscali | 10 anni dalla data del documento, ex art. 2220 c.c. e DPR 633/1972 |
| Log di accesso e sicurezza | 12 mesi (in conformità a quanto previsto per i log di accesso applicativo) |
| Comunicazioni di assistenza | 24 mesi dalla chiusura della richiesta |
| Dati per finalità di marketing | Fino alla revoca del consenso o 24 mesi di inattività |
| Backup di sistema | Massimo 35 giorni rotazione |
Al termine dei periodi indicati, i dati sono cancellati o resi anonimi in forma irreversibile, fatta salva la conservazione di quanto strettamente necessario per adempimenti legali residuali.
PARTE B — Trattamento dati dei Clienti finali
Questa parte si applica se sei un Cliente finale che è stato invitato da un Coach a utilizzare TrainerCore per essere seguito nel suo percorso professionale.
Ruoli giuridici applicabili al tuo trattamento
Per i tuoi dati personali sono coinvolti due soggetti con ruoli distinti:
- Il tuo Coach è il Titolare autonomo del trattamentodei dati che ti riguardano. È il Coach che decide quali dati raccogliere, per quali finalità, e per quanto tempo conservarli. È il Coach che è giuridicamente responsabile verso di te per le scelte di trattamento, per la corretta informativa che ti è stata fornita all'inizio del percorso, e per il rispetto dei tuoi diritti.
- TrainerCore è il Responsabile del trattamentoex art. 28 GDPR, ovvero il fornitore tecnologico che mette a disposizione del Coach gli strumenti per raccogliere e gestire i tuoi dati. TrainerCore tratta i tuoi dati esclusivamente su istruzione del Coach e per le finalità specificate nell'Accordo per il Trattamento dei Dati (DPA) sottoscritto con il Coach.
Per esercitare i tuoi diritti privacy (accesso, rettifica, cancellazione, opposizione, portabilità) devi rivolgerti prima al tuo Coach. TrainerCore può supportare l'esecuzione tecnica delle tue richieste, ma le decisioni sostanziali spettano al Coach.
Solo per le finalità descritte nella sez. 3.B.4 seguente (sicurezza, log tecnici, anti-frode), TrainerCore agisce come Titolare autonomo anche rispetto ai dati dei Clienti finali.
3.B Dati personali trattati
3.B.1 Dati identificativi e di contatto
- Nome e cognome
- Indirizzo email
- Numero di telefono (se richiesto dal Coach)
- Data di nascita (per calcolo età e adeguamento del piano)
- Sesso anagrafico (per calcolo di parametri fisiologici)
- Identificativo univoco interno (UUID)
3.B.2 Dati relativi alla salute (Articolo 9 GDPR — categorie particolari)
I seguenti dati sono dati relativi alla salutee ricadono nell'art. 9 GDPR (categorie particolari di dati). Il loro trattamento richiede una base giuridica rafforzata, tipicamente il consenso esplicitoche ti viene richiesto dal Coach all'inizio del percorso.
- Peso corporeo, altezza, misurazioni antropometriche (circonferenze, pliche)
- Anamnesi: patologie pregresse e in corso, farmaci assunti, allergie, intolleranze alimentari, infortuni
- Obiettivi e abitudini: alimentazione, sonno, attività fisica, abitudini al fumo e all'alcol
- Fotografie del corpo per il monitoraggio dei progressi (raccolte previa esplicita richiesta e consenso per ogni singolo check)
- Misurazioni custom definite dal Coach (es. parametri ematici, valori soggettivi)
Le fotografie del corpo sono conservate in storage cifrato ad accesso ristretto (Supabase Storage, region Irlanda). Sono accessibili esclusivamente al Cliente che le ha caricate e al Coach che lo segue. Non sono indicizzate, non sono ricercabili pubblicamente, non sono utilizzate per addestramento di algoritmi o intelligenze artificiali.
3.B.3 Contenuti generati dal Cliente
- Risposte ai check periodici e custom check
- Note personali, diario
- Comunicazioni inviate al Coach
3.B.4 Dati tecnici trattati da TrainerCore come Titolare autonomo
Per le finalità di seguito indicate, TrainerCore tratta i seguenti dati come Titolare autonomo e indipendente:
- Indirizzo IP di accesso (anonimizzato nei log di lungo periodo)
- Tipo di dispositivo, sistema operativo, versione applicazione
- Token di notifica push (per inviare promemoria check, nuovi piani, comunicazioni del Coach)
- Log di sicurezza e anti-frode
- Crash report dell'app (Sentry, in forma pseudonimizzata)
4.B Finalità e basi giuridiche
Finalità del Titolare (il tuo Coach)
| Finalità | Base giuridica (definita dal Coach) |
|---|---|
| Erogazione del percorso professionale (allenamento, nutrizione, monitoraggio) | Esecuzione del contratto professionale tra te e il Coach — Art. 6(1)(b) |
| Trattamento dei dati relativi alla salute (anamnesi, foto, misurazioni) | Consenso esplicito ai sensi dell'art. 9(2)(a) GDPR, richiesto dal Coach all'avvio del percorso |
| Comunicazioni di servizio del Coach | Esecuzione del contratto — Art. 6(1)(b) |
Finalità di TrainerCore come Responsabile
TrainerCore esegue il trattamento dei dati indicati sopra esclusivamente per:
- Mettere a disposizione del Coach l'infrastruttura tecnica
- Eseguire le istruzioni documentate del Coach
- Garantire sicurezza, integrità e disponibilità dei dati
- Supportare il Coach nell'evasione delle tue richieste di esercizio dei diritti
TrainerCore non utilizza i tuoi dati per finalità proprie, non li vende, non li condivide con soggetti diversi dai subprocessors elencati, non li usa per addestrare modelli di intelligenza artificiale.
Finalità di TrainerCore come Titolare autonomo (sez. 3.B.4)
| Finalità | Base giuridica | Riferimento |
|---|---|---|
| Sicurezza informatica, prevenzione frodi, integrità dei dati | Interesse legittimo | Art. 6(1)(f) |
| Diagnostica e risoluzione di malfunzionamenti | Interesse legittimo | Art. 6(1)(f) |
| Invio notifiche push tecniche | Esecuzione di un servizio richiesto + interesse legittimo | Art. 6(1)(b), (f) |
| Adempimento di richieste delle Autorità | Obbligo legale | Art. 6(1)(c) |
6.B Conservazione dei dati dei Clienti finali
La conservazione dei dati dei Clienti finali è decisa dal Coach in qualità di Titolare. TrainerCore conserva i dati per la durata indicata dal Coach o, in mancanza di indicazione, secondo i seguenti criteri standard:
| Categoria | Conservazione |
|---|---|
| Profilo cliente attivo | Per tutta la durata del rapporto col Coach |
| Profilo cliente dopo cessazione del rapporto col Coach | Massimo 12 mesi salvo richiesta di cancellazione anticipata |
| Foto progressi e dati sanitari art. 9 | Fino a 12 mesi dalla cessazione del rapporto, salvo cancellazione anticipata su richiesta |
| Log di accesso e dati tecnici (sez. 3.B.4) | 12 mesi |
Su richiesta dell'interessato e accettazione da parte del Coach, TrainerCore esegue la cancellazione completadei dati entro 30 giorni dalla richiesta. La cancellazione comporta: rimozione del profilo dall'autenticazione, cancellazione cascade di anamnesi, check, foto, note, file caricati. Restano conservati solo i dati strettamente necessari per adempimenti fiscali del Coach verso il proprio cliente (es. ricevute di prestazione professionale), in conformità alla normativa fiscale applicabile.
PARTI COMUNI
7. Destinatari e Responsabili esterni (Subprocessors)
I tuoi dati possono essere trattati dai seguenti soggetti, nominati Responsabili del trattamento o agenti come autonomi titolari (per servizi a infrastruttura):
| Soggetto | Ruolo | Finalità | Sede legale | Trasferimento extra-UE? |
|---|---|---|---|---|
| Supabase Inc. | Responsabile | Hosting database, autenticazione, storage file | USA (server in Irlanda per TrainerCore) | No — dati ospitati in UE (Irlanda); accesso operativo USA coperto da SCC e Addendum DPA |
| Vercel Inc. | Responsabile | Hosting applicazione web, CDN, analytics aggregate | USA | Sì — Standard Contractual Clauses (SCC) + Addendum DPA |
| Stripe Payments Europe Ltd. | Titolare autonomo | Processamento pagamenti dei Coach | Irlanda | No (entità europea) |
| Resend Inc. | Responsabile | Invio email transazionali | USA | Sì — SCC + Addendum DPA |
| Expo (650 Industries Inc.) | Responsabile | Servizio notifiche push mobile | USA | Sì — SCC; il token push non è di per sé identificativo |
| Sentry (Functional Software Inc.) | Responsabile | Reporting di errori applicativi (crash report) | USA | Sì — SCC + Addendum DPA; report inviati in forma pseudonimizzata |
| Apple Inc. | Titolare autonomo | Distribuzione app iOS, autenticazione “Sign in with Apple” | USA | Sì — secondo policy Apple |
| Google LLC | Titolare autonomo | Distribuzione app Android, autenticazione “Sign in with Google” | USA | Sì — secondo policy Google |
| Fiscozen S.p.A. (commercialista del Titolare) | Responsabile (su nomina specifica) | Gestione fatturazione elettronica e adempimenti fiscali | Italia | No |
Hai diritto a richiedere in qualsiasi momento l'elenco aggiornato e i dettagli di contatto dei Subprocessors scrivendo a info@trainercore.app. TrainerCore mantiene un registro interno aggiornato dei trattamenti ex art. 30 GDPR.
8. Trasferimenti extra-UE
Il database principale (anagrafica, anamnesi, dati sanitari, foto progressi) è ospitato presso un data center Supabase situato in Irlanda (UE), quindi i dati restano nello Spazio Economico Europeo.
Alcuni servizi accessori (Vercel hosting applicazione, Resend, Expo, Sentry) hanno sede negli Stati Uniti. Per questi servizi:
- I dati trasferiti sono limitati al minimo necessario
- Il trasferimento è regolato dalle Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE (Decisione 2021/914)
- Dove disponibile, il fornitore aderisce al EU-U.S. Data Privacy Framework (Decisione di adeguatezza UE 2023/1795)
- Sono in essere valutazioni di impatto del trasferimento (TIA) e misure tecniche aggiuntive (cifratura in transito e a riposo, controllo accessi)
Puoi richiedere copia delle SCC e della documentazione sui trasferimenti scrivendo a info@trainercore.app.
9. Misure di sicurezza
TrainerCore adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:
- Cifratura in transito (TLS 1.2+) su tutte le comunicazioni
- Cifratura a riposo del database e dello storage file
- Hashing delle password con algoritmo bcrypt o equivalente
- Autenticazione multifattore disponibile per i Coach
- Controllo accessi basato sui ruoli (Row Level Security a livello di database)
- Isolamento dei dati tra Coach — un Coach non può accedere ai dati di clienti di altri Coach
- Audit log delle azioni rilevanti effettuate dai Coach sui dati dei propri clienti
- Backup automatici cifrati con rotazione massima 35 giorni
- Monitoraggio anomalie e procedure di gestione incidenti
- Aggiornamenti di sicurezza periodici delle dipendenze software
In caso di violazione di dati personali (data breach) suscettibile di porre rischio per i diritti e le libertà degli interessati, TrainerCore notifica l'evento al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta e, ove richiesto dall'art. 34 GDPR, agli interessati senza ingiustificato ritardo.
10. Diritti dell'interessato
In qualunque momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR:
- Accesso ai tuoi dati personali (art. 15)
- Rettifica di dati inesatti o incompleti (art. 16)
- Cancellazione(“diritto all'oblio”) quando ricorrono i presupposti (art. 17)
- Limitazione del trattamento (art. 18)
- Portabilità dei dati in formato strutturato e leggibile da dispositivo automatico (art. 20)
- Opposizione al trattamento basato su interesse legittimo (art. 21)
- Non essere sottoposto a decisioni automatizzate che producano effetti giuridici (art. 22)
- Revoca del consenso in qualunque momento, senza pregiudizio della liceità del trattamento precedente (art. 7)
Come esercitare i diritti:
- Se sei un Coach: scrivi a info@trainercore.app indicando la richiesta e i dati per identificarti
- Se sei un Cliente finale: rivolgiti prima al tuo Coach (Titolare autonomo dei tuoi dati). Il Coach gestirà la richiesta in autonomia o, se necessario, ci farà eseguire le operazioni tecniche conseguenti. Se non ricevi risposta dal Coach entro un mese, puoi scrivere a info@trainercore.app
TrainerCore risponde entro 30 giorni dalla ricezione della richiesta, eventualmente prorogabili di altri 60 giorni in casi di particolare complessità (art. 12 GDPR).
La risposta è fornita gratuitamente. È previsto un contributo solo per richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo.
11. Reclami al Garante
Senza pregiudizio di ogni altro ricorso amministrativo o giurisdizionale, hai il diritto di proporre reclamo all'autorità di controllo competente:
Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma
Web: https://www.garanteprivacy.it
Email: protocollo@gpdp.it — PEC: protocollo@pec.gpdp.it
12. Modifiche all'informativa
TrainerCore si riserva il diritto di modificare la presente informativa per adeguarla a:
- Modifiche normative (GDPR, decisioni del Garante, sentenze)
- Evoluzione del servizio e introduzione di nuove funzionalità
- Cambiamenti dei subprocessors
Le modifiche sostanziali (cambio di finalità, basi giuridiche, retention) sono comunicate agli utenti con un preavviso di almeno 30 giornivia email e/o tramite avviso nell'applicazione, con eventuale richiesta di nuovo consenso ove necessario.
Le modifiche non sostanziali (aggiornamenti redazionali, integrazioni di chiarimento, aggiornamento elenco subprocessors senza cambio di sede o finalità) sono pubblicate con preavviso di 7 giorni.
La versione vigente è sempre disponibile alla pagina https://www.trainercore.app/privacy con data di ultima modifica.