← Torna alla home
Pistis Gym

Informativa Privacy

Ultimo aggiornamento: [DATA]

Questo documento è una bozza generata come punto di partenza. Va rivista da un professionista legale o commercialista prima della pubblicazione, in particolare per gli aspetti di fatturazione e conformità GDPR specifici della tua attività.

1. Titolare del trattamento

Il Titolare del trattamento dei dati raccolti tramite la piattaforma Pistis Gym (di seguito anche "la Piattaforma" o "il Servizio") è:

  • Ragione sociale/Nome: [RAGIONE SOCIALE/NOME — DA COMPLETARE]
  • Sede legale: [INDIRIZZO — DA COMPLETARE]
  • P.IVA/Codice Fiscale: [P.IVA/CF — DA COMPLETARE]
  • Email di contatto per la privacy: [EMAIL CONTATTO — DA COMPLETARE]

Responsabile della Protezione dei Dati (DPO). Alla data di pubblicazione di questa informativa, Pistis Gym non ha nominato un Responsabile della Protezione dei Dati, non ricorrendo i presupposti di obbligatorietà previsti dall'art. 37 GDPR in base alla natura, all'oggetto, al contesto e alle finalità del trattamento svolto. [Se in futuro un DPO verrà nominato, i relativi dati di contatto saranno indicati in questa sezione.] Per qualsiasi richiesta in materia di protezione dei dati puoi comunque scrivere all'indirizzo sopra indicato.

Quando i dati trattati riguardano i clienti finali di una palestra abbonata a Pistis Gym, il ruolo di Titolare del trattamento su quei specifici dati spetta alla palestra stessa, non a Pistis Gym: la sezione 6 chiarisce questa distinzione, essenziale nell'architettura multi-tenant del Servizio.

2. Cos'è Pistis Gym e ambito di applicazione dell'informativa

Pistis Gym è una piattaforma software-as-a-service (SaaS) multi-tenant in abbonamento, che fornisce a palestre e centri fitness ("Palestre" o "Clienti Pistis Gym") un gestionale per l'amministrazione di anagrafiche clienti, pacchetti a sedute, prenotazioni, calendario e pagamenti.

La presente informativa assolve una duplice funzione, corrispondente alla duplice qualificazione di Pistis Gym descritta alla sezione 6:

  • per i dati relativi all'account della palestra e al rapporto di abbonamento SaaS (sezione 3.1), costituisce l'informativa resa ai sensi degli artt. 13-14 GDPR da Pistis Gym in qualità di Titolare autonomo del trattamento;
  • per i dati dei clienti finali della palestra inseriti nel gestionale (sezione 3.2), ha invece natura di informativa di trasparenza resa da Pistis Gym, in qualità di responsabile del trattamento, per conto e nell'interesse della palestra. Resta fermo che è la palestra, quale Titolare autonomo del trattamento su tali dati, a dover assolvere in prima persona agli obblighi informativi di cui agli artt. 13-14 GDPR nei confronti dei propri clienti (anche tramite canali propri, es. modulo di iscrizione cartaceo o digitale, regolamento interno). Questa sezione non sostituisce tale obbligo della palestra, ma lo integra rendendolo disponibile anche tramite la Piattaforma.

3. Tipologie di dati raccolti

3.1 Dati del titolare/gestore della palestra (cliente diretto di Pistis Gym)

  • Dati identificativi e di contatto: nome, cognome, ragione sociale della palestra, email, numero di telefono
  • Credenziali di accesso alla Piattaforma: email e password (quest'ultima memorizzata in forma crittografata, mai in chiaro)
  • Dati relativi all'abbonamento SaaS: piano sottoscritto, stato dell'abbonamento (prova gratuita, attivo, scaduto), storico dei pagamenti effettuati verso Pistis Gym (i dati della carta di pagamento sono gestiti esclusivamente da Stripe, vedi sezione 5)
  • Dati tecnici: indirizzo IP, data e ora di accesso, cookie di sessione tecnico

3.2 Dati dei clienti finali della palestra

Questi dati sono di norma inseriti nel gestionale dal titolare della palestra (o dal suo staff) nell'ambito della gestione ordinaria della propria attività, e comprendono tipicamente:

  • Dati anagrafici: nome e cognome
  • Dati di contatto: numero di telefono, indirizzo email
  • Dati relativi ai pacchetti a sedute sottoscritti, alle sedute svolte o residue, alle prenotazioni effettuate e ai pagamenti registrati manualmente dallo staff della palestra (es. importo, modalità di pagamento, data)
  • Eventuali annotazioni operative inserite dallo staff della palestra in campi di testo libero (es. promemoria, scadenze del pacchetto — vedi anche punto 3.3 sui rischi legati a questi campi)

Pistis Gym, in questo caso, non raccoglie i dati direttamente dal cliente finale al momento della sua iscrizione in palestra: li riceve perché è il titolare della palestra a caricarli nel gestionale per gestire la propria attività.

Eccezione — autoregistrazione: se la palestra ha attivato il modulo pubblico di autoregistrazione, il cliente finale può compilare autonomamente un form online per registrarsi, inserendo direttamente i propri dati (nome, cognome, email, telefono) nel sistema. Anche in questo caso specifico i dati sono raccolti da Pistis Gym per conto e su istruzione della palestra — che resta l'unico Titolare del trattamento anche per questi dati, come indicato alla sezione 2 — con le medesime finalità descritte in questa informativa. L'informativa mostrata al cliente finale in fase di autoregistrazione è quindi resa da Pistis Gym nell'interesse della palestra, che ne rimane responsabile per contenuti e correttezza.

3.3 Campi di testo libero e categorie particolari di dati (art. 9 GDPR)

La Piattaforma non richiede né è progettata per raccogliere dati relativi alla salute, certificati medico-sportivi o altre categorie particolari di dati personali. Tuttavia, i campi di testo libero descritti al punto 3.2 (annotazioni operative, note sui pagamenti) potrebbero, per scelta autonoma della palestra o del suo staff, contenere involontariamente informazioni di questo tipo (es. riferimenti a certificati medici, infortuni, condizioni di salute, allergie). In tal caso la palestra, quale Titolare del trattamento per i dati dei propri clienti finali, è tenuta a valutare autonomamente l'idoneità della base giuridica e delle misure di sicurezza applicabili ai sensi dell'art. 9 GDPR. Si raccomanda alla palestra di non inserire dati sanitari o altre categorie particolari nei campi di testo libero, salvo quando strettamente necessario e con adeguate garanzie.

3.4 Minori d'età

Il modulo di autoregistrazione di cui al punto 3.2 non è concepito per essere compilato direttamente da minori di 14 anni. Se la palestra consente l'iscrizione di clienti minorenni, è responsabilità della palestra, quale Titolare del trattamento, assicurarsi che i dati dei minori siano inseriti da un esercente la responsabilità genitoriale o comunque nel rispetto dell'art. 8 GDPR e dell'art. 2-quinquies del Codice Privacy italiano, anche quando l'inserimento avviene tramite lo staff della palestra anziché tramite autoregistrazione diretta.

4. Finalità e base giuridica del trattamento

  • Erogazione del Servizio SaaS alla palestra (creazione dell'account, gestione di clienti/pacchetti/prenotazioni, funzionamento della dashboard): base giuridica — esecuzione del contratto di abbonamento (art. 6.1.b GDPR).
  • Gestione della fatturazione e dei pagamenti dell'abbonamento SaaS: base giuridica — esecuzione del contratto e adempimento di obblighi legali/fiscali (art. 6.1.b e 6.1.c GDPR).
  • Gestione dei clienti finali, dei pacchetti a sedute e delle prenotazioni per conto della palestra: base giuridica — esecuzione del contratto tra la palestra e il proprio cliente finale (rapporto per cui Pistis Gym agisce come responsabile del trattamento, vedi sezione 6).
  • Autenticazione e sicurezza dell'accesso alla Piattaforma (cookie di sessione tecnico): base giuridica — legittimo interesse del Titolare a garantire il funzionamento sicuro del Servizio (art. 6.1.f GDPR); non richiede consenso trattandosi di cookie strettamente necessario.
  • Assistenza clienti e comunicazioni relative al Servizio (es. risposta a richieste di supporto): base giuridica — esecuzione del contratto o legittimo interesse.
  • Adempimento di obblighi di legge (es. conservazione di documenti fiscali e contabili): base giuridica — obbligo legale (art. 6.1.c GDPR).

Attualmente la Piattaforma non effettua invii automatici di email o SMS ai clienti finali delle palestre (es. promemoria di prenotazione o scadenza pacchetto); tale funzionalità potrà essere introdotta in futuro e, se attivata, questa informativa sarà aggiornata di conseguenza con l'indicazione della relativa base giuridica.

Consenso. Nessun trattamento descritto in questa informativa si basa attualmente sul consenso (art. 6.1.a GDPR). Qualora in futuro venissero introdotti trattamenti fondati sul consenso (es. comunicazioni promozionali), sarà possibile revocarlo in qualsiasi momento con effetto per il futuro, senza pregiudicare la liceità del trattamento svolto prima della revoca.

Obbligo di conferimento dei dati. Il conferimento dei dati indicati al punto 3.1 è necessario per creare l'account e attivare l'abbonamento: in assenza di tali dati non è possibile utilizzare la Piattaforma. Il conferimento dei dati dei clienti finali di cui al punto 3.2 è deciso autonomamente dalla palestra, quale Titolare del trattamento per tali dati, in base alle esigenze della propria attività.

Assenza di processi decisionali automatizzati. Pistis Gym non effettua, sui dati trattati tramite la Piattaforma, processi decisionali interamente automatizzati (incluso la profilazione) che producano effetti giuridici sugli interessati o che incidano in modo analogamente significativo sulla loro persona, ai sensi dell'art. 22 GDPR.

5. Soggetti terzi e responsabili del trattamento — Stripe e altri fornitori

Per l'elaborazione dei pagamenti relativi all'abbonamento SaaS (dal titolare della palestra verso Pistis Gym), la Piattaforma si avvale di Stripe, Inc. (e delle eventuali società del gruppo Stripe coinvolte, es. Stripe Payments Europe Ltd.), fornitore di servizi di pagamento. Poiché questi dati sono trattati da Pistis Gym in qualità di Titolare autonomo (vedi sezione 6), per questo specifico trattamento Stripe agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR, nominato da Pistis Gym e vincolato dal Data Processing Agreement messo a disposizione da Stripe.

  • Pistis Gym non memorizza mai i dati della carta di credito/debito o altri strumenti di pagamento: tali dati sono raccolti e gestiti direttamente da Stripe attraverso i propri sistemi certificati (standard PCI-DSS).
  • Pistis Gym riceve da Stripe solo le informazioni necessarie a confermare lo stato del pagamento e dell'abbonamento (es. esito della transazione, ultime cifre della carta, data di scadenza dell'abbonamento).
  • Il trattamento effettuato da Stripe è disciplinato anche dalla propria informativa privacy, consultabile sul sito di Stripe.

A oggi la Piattaforma non utilizza Stripe né altri gateway di pagamento per elaborare i pagamenti che i clienti finali versano alla palestra per pacchetti e sedute: tali pagamenti, quando registrati nel gestionale, sono annotazioni contabili interne inserite manualmente dallo staff della palestra (importo, modalità, data), non transazioni elettroniche gestite da un fornitore terzo. Se in futuro la Piattaforma introducesse il pagamento online dei clienti finali tramite Stripe (o altro gateway), Stripe assumerebbe per quei dati la qualifica di sub-responsabile del trattamento, nominato da Pistis Gym su autorizzazione della palestra Titolare, e questa informativa sarebbe aggiornata di conseguenza.

Oltre a Stripe, Pistis Gym può avvalersi di altri fornitori terzi in qualità di responsabili (o sub-responsabili, a seconda del trattamento coinvolto) per l'erogazione del Servizio, tra cui a titolo esemplificativo: fornitori di hosting e infrastruttura cloud, servizi di backup, servizi di invio email transazionali (es. reset password, notifiche di sistema) ed eventuali strumenti di assistenza clienti (help desk/ticketing). Tali soggetti sono nominati responsabili del trattamento ai sensi dell'art. 28 GDPR e sono vincolati contrattualmente a trattare i dati solo per le finalità indicate da Pistis Gym e con adeguate misure di sicurezza. L'elenco aggiornato dei fornitori/sub-responsabili attualmente in uso è disponibile su richiesta, scrivendo all'indirizzo di cui alla sezione 1.

I dati possono inoltre essere comunicati, se necessario, a consulenti e liberi professionisti di Pistis Gym (es. commercialista, legale) per le finalità di cui alla sezione 4, e alle autorità pubbliche competenti quando richiesto dalla legge (es. autorità fiscali, giudiziarie o di pubblica sicurezza).

6. Ruoli e responsabilità nel trattamento (architettura multi-tenant)

Pistis Gym è una piattaforma multi-tenant: ogni palestra abbonata dispone di uno spazio dati isolato e separato dalle altre palestre presenti sulla Piattaforma. Per chiarezza, i ruoli GDPR sono distinti come segue:

  • Per i dati del titolare/gestore della palestra (account, fatturazione dell'abbonamento SaaS): Pistis Gym è Titolare autonomo del trattamento.
  • Per i dati dei clienti finali della palestra (anagrafiche, pacchetti, prenotazioni, pagamenti registrati e annotazioni caricati nel gestionale): il titolare della palestra è Titolare del trattamento, in quanto è lui a determinare finalità e modalità con cui quei dati vengono raccolti e utilizzati nella gestione della propria attività. Pistis Gym agisce in qualità di Responsabile del trattamento (data processor) ai sensi dell'art. 28 GDPR, trattando questi dati esclusivamente su istruzione della palestra e per l'unica finalità di fornire il Servizio.

Il rapporto tra la palestra (Titolare) e Pistis Gym (Responsabile) è disciplinato da un apposito accordo di trattamento dati (Data Processing Agreement — DPA), che regola le condizioni, le misure di sicurezza, l'elenco dei sub-responsabili autorizzati e gli obblighi reciproci relativi al trattamento dei dati dei clienti finali — incluse le modalità con cui Pistis Gym assiste la palestra nel rispondere alle richieste degli interessati e nella gestione di eventuali violazioni di dati (vedi sezione 10). Il DPA è [disponibile all'indirizzo/link — DA COMPLETARE] e costituisce parte integrante delle condizioni di abbonamento accettate dalla palestra in fase di sottoscrizione del Servizio.

Per qualunque richiesta relativa ai propri dati, il cliente finale di una palestra dovrà quindi rivolgersi in primo luogo alla palestra presso cui è iscritto (vedi sezione 12).

7. Trasferimento dei dati extra-UE

Alcuni dei fornitori di cui la Piattaforma si avvale, in particolare Stripe, hanno sede negli Stati Uniti o comunque trattano dati anche al di fuori dello Spazio Economico Europeo (SEE). Lo stesso potrebbe valere per altri fornitori indicati alla sezione 5 (es. hosting, backup, email transazionali), qualora i relativi server o strutture si trovino fuori dal SEE. In questi casi, il trasferimento dei dati personali verso paesi extra-UE avviene sulla base di garanzie adeguate previste dal GDPR, in particolare, a seconda del fornitore:

  • l'adozione delle Clausole Contrattuali Standard (Standard Contractual Clauses — SCC) approvate dalla Commissione Europea, eventualmente integrate da misure supplementari tecniche e organizzative; e/o
  • l'adesione del fornitore al Data Privacy Framework (DPF) UE-USA, ove applicabile e nei limiti della relativa decisione di adeguatezza della Commissione Europea (per Stripe, da verificare lo stato di certificazione aggiornato su dataprivacyframework.gov e sulla documentazione privacy di Stripe); e/o
  • altri meccanismi di trasferimento riconosciuti come adeguati dalla normativa vigente (es. decisioni di adeguatezza della Commissione Europea per altri paesi).

Puoi richiedere maggiori informazioni sulle garanzie adottate per i trasferimenti extra-UE, incluso l'elenco dei fornitori extra-SEE coinvolti, scrivendo all'indirizzo indicato nella sezione 1.

8. Modalità e durata di conservazione dei dati

  • Dati dell'account della palestra e dell'abbonamento SaaS: conservati per tutta la durata del contratto e, successivamente alla cessazione, per il tempo necessario ad adempiere a obblighi di legge (es. fiscali/contabili, generalmente fino a 10 anni per la documentazione contabile ai sensi dell'art. 2220 c.c.) o a far valere/difendere un diritto in sede giudiziaria.
  • Dati dei clienti finali della palestra: conservati per tutta la durata in cui la palestra mantiene un account attivo sulla Piattaforma, secondo le istruzioni della palestra stessa (Titolare del trattamento per questi dati). In caso di cessazione dell'abbonamento della palestra, i dati vengono conservati per un periodo massimo di [X giorni/mesi — DA COMPLETARE] per consentire l'eventuale riattivazione ed esportazione da parte della palestra, decorso il quale vengono cancellati o anonimizzati, salvo diverso obbligo di legge o diversa istruzione ricevuta dalla palestra prima di tale termine.
  • Dati di log tecnici e cookie di sessione: conservati per il tempo strettamente necessario a garantire la sicurezza e il corretto funzionamento della Piattaforma; il cookie di sessione decade automaticamente alla scadenza della sessione o al logout.

9. Cookie e tecnologie simili

Pistis Gym utilizza esclusivamente un cookie tecnico di sessione (token JWT), necessario per mantenere l'utente autenticato durante la navigazione all'interno della Piattaforma dopo il login. Questo cookie:

  • è strettamente necessario al funzionamento del Servizio e non richiede il consenso dell'utente ai sensi della normativa cookie;
  • non viene utilizzato per finalità di profilazione, marketing o tracciamento pubblicitario;
  • non viene condiviso con soggetti terzi per finalità diverse dall'erogazione del Servizio;
  • ha una durata limitata alla sessione di utilizzo o comunque un periodo di validità tecnico predefinito, decorso il quale l'utente dovrà autenticarsi nuovamente.

La Piattaforma non installa cookie di profilazione o di marketing di terze parti.

10. Sicurezza dei dati

Pistis Gym adotta misure tecniche e organizzative adeguate a proteggere i dati personali trattati, tra cui la separazione logica dei dati tra le diverse palestre (isolamento multi-tenant), la memorizzazione delle password in forma crittografata, l'uso di connessioni cifrate e controlli di accesso basati sui ruoli. Nessun sistema è tuttavia sicuro al 100%.

In caso di violazione dei dati personali ("data breach") che comporti un rischio per i diritti e le libertà degli interessati:

  • se la violazione riguarda dati per cui Pistis Gym è Titolare autonomo (sezione 3.1), Pistis Gym provvede direttamente alle notifiche previste dagli artt. 33 e 34 GDPR verso il Garante e, se necessario, verso gli interessati;
  • se la violazione riguarda dati dei clienti finali per cui Pistis Gym è responsabile del trattamento (sezione 3.2), Pistis Gym ne dà comunicazione senza ingiustificato ritardo alla palestra interessata, fornendo le informazioni necessarie affinché la palestra, quale Titolare, possa adempiere ai propri obblighi di notifica ai sensi degli artt. 33 e 34 GDPR.

11. Diritti dell'interessato

In qualità di interessato, hai il diritto di:

  • Accesso: ottenere conferma dell'esistenza di un trattamento e accedere ai tuoi dati personali (art. 15 GDPR);
  • Rettifica: ottenere la correzione di dati inesatti o l'integrazione di dati incompleti (art. 16 GDPR);
  • Cancellazione ("diritto all'oblio"): ottenere la cancellazione dei tuoi dati, nei casi previsti dalla legge (art. 17 GDPR);
  • Limitazione del trattamento, nei casi previsti (art. 18 GDPR);
  • Portabilità dei dati: ricevere i tuoi dati in formato strutturato e leggibile da dispositivo automatico, o richiederne il trasferimento a un altro titolare (art. 20 GDPR);
  • Opposizione al trattamento basato sul legittimo interesse (art. 21 GDPR);
  • Revoca del consenso, in qualsiasi momento e senza pregiudicare la liceità del trattamento svolto prima della revoca, con riferimento ai soli trattamenti eventualmente fondati sul consenso (vedi sezione 4);
  • Proporre reclamo all'autorità di controllo competente, in Italia il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), qualora ritenga che il trattamento dei suoi dati violi la normativa vigente.

12. Come esercitare i tuoi diritti

Le modalità di esercizio dei diritti dipendono dal tuo ruolo:

  • Se sei il titolare/gestore di una palestra abbonata a Pistis Gym, puoi esercitare i tuoi diritti relativi ai tuoi dati account e di fatturazione scrivendo direttamente a [EMAIL CONTATTO — DA COMPLETARE].
  • Se sei un cliente finale di una palestra che utilizza Pistis Gym, i tuoi dati sono trattati sotto la responsabilità della palestra presso cui sei iscritto (Titolare del trattamento per i tuoi dati, vedi sezione 6): dovrai quindi rivolgerti in primo luogo alla palestra stessa per esercitare i tuoi diritti. Pistis Gym, in qualità di responsabile del trattamento, collabora con le palestre per dare seguito a tali richieste nei tempi previsti dalla legge, e può essere contattata direttamente a [EMAIL CONTATTO — DA COMPLETARE] qualora la richiesta non possa essere gestita tramite la palestra (ad esempio se la palestra ha cessato l'attività).

Risponderemo alla tua richiesta entro i termini previsti dal GDPR (di norma entro un mese dalla ricezione, prorogabile di due mesi in caso di richieste complesse o numerose, con comunicazione dei motivi della proroga).

13. Modifiche alla presente informativa

La presente informativa può essere aggiornata periodicamente, ad esempio in caso di modifiche normative o di evoluzione delle funzionalità della Piattaforma (es. introduzione di notifiche email/SMS automatiche, di pagamenti online per i clienti finali). Eventuali modifiche sostanziali saranno comunicate agli utenti registrati tramite la Piattaforma o via email. Ti invitiamo a consultare periodicamente questa pagina.

14. Data di ultimo aggiornamento

Questa informativa è stata aggiornata in data: [DATA]