Ultimo aggiornamento: [DATA]
Questo documento è una bozza generata come punto di partenza. Va rivista da un professionista legale o commercialista prima della pubblicazione, in particolare per gli aspetti di fatturazione e conformità GDPR specifici della tua attività.
Il Titolare del trattamento dei dati raccolti tramite la piattaforma Pistis Gym (di seguito anche "la Piattaforma" o "il Servizio") è:
Responsabile della Protezione dei Dati (DPO). Alla data di pubblicazione di questa informativa, Pistis Gym non ha nominato un Responsabile della Protezione dei Dati, non ricorrendo i presupposti di obbligatorietà previsti dall'art. 37 GDPR in base alla natura, all'oggetto, al contesto e alle finalità del trattamento svolto. [Se in futuro un DPO verrà nominato, i relativi dati di contatto saranno indicati in questa sezione.] Per qualsiasi richiesta in materia di protezione dei dati puoi comunque scrivere all'indirizzo sopra indicato.
Quando i dati trattati riguardano i clienti finali di una palestra abbonata a Pistis Gym, il ruolo di Titolare del trattamento su quei specifici dati spetta alla palestra stessa, non a Pistis Gym: la sezione 6 chiarisce questa distinzione, essenziale nell'architettura multi-tenant del Servizio.
Pistis Gym è una piattaforma software-as-a-service (SaaS) multi-tenant in abbonamento, che fornisce a palestre e centri fitness ("Palestre" o "Clienti Pistis Gym") un gestionale per l'amministrazione di anagrafiche clienti, pacchetti a sedute, prenotazioni, calendario e pagamenti.
La presente informativa assolve una duplice funzione, corrispondente alla duplice qualificazione di Pistis Gym descritta alla sezione 6:
3.1 Dati del titolare/gestore della palestra (cliente diretto di Pistis Gym)
3.2 Dati dei clienti finali della palestra
Questi dati sono di norma inseriti nel gestionale dal titolare della palestra (o dal suo staff) nell'ambito della gestione ordinaria della propria attività, e comprendono tipicamente:
Pistis Gym, in questo caso, non raccoglie i dati direttamente dal cliente finale al momento della sua iscrizione in palestra: li riceve perché è il titolare della palestra a caricarli nel gestionale per gestire la propria attività.
Eccezione — autoregistrazione: se la palestra ha attivato il modulo pubblico di autoregistrazione, il cliente finale può compilare autonomamente un form online per registrarsi, inserendo direttamente i propri dati (nome, cognome, email, telefono) nel sistema. Anche in questo caso specifico i dati sono raccolti da Pistis Gym per conto e su istruzione della palestra — che resta l'unico Titolare del trattamento anche per questi dati, come indicato alla sezione 2 — con le medesime finalità descritte in questa informativa. L'informativa mostrata al cliente finale in fase di autoregistrazione è quindi resa da Pistis Gym nell'interesse della palestra, che ne rimane responsabile per contenuti e correttezza.
3.3 Campi di testo libero e categorie particolari di dati (art. 9 GDPR)
La Piattaforma non richiede né è progettata per raccogliere dati relativi alla salute, certificati medico-sportivi o altre categorie particolari di dati personali. Tuttavia, i campi di testo libero descritti al punto 3.2 (annotazioni operative, note sui pagamenti) potrebbero, per scelta autonoma della palestra o del suo staff, contenere involontariamente informazioni di questo tipo (es. riferimenti a certificati medici, infortuni, condizioni di salute, allergie). In tal caso la palestra, quale Titolare del trattamento per i dati dei propri clienti finali, è tenuta a valutare autonomamente l'idoneità della base giuridica e delle misure di sicurezza applicabili ai sensi dell'art. 9 GDPR. Si raccomanda alla palestra di non inserire dati sanitari o altre categorie particolari nei campi di testo libero, salvo quando strettamente necessario e con adeguate garanzie.
3.4 Minori d'età
Il modulo di autoregistrazione di cui al punto 3.2 non è concepito per essere compilato direttamente da minori di 14 anni. Se la palestra consente l'iscrizione di clienti minorenni, è responsabilità della palestra, quale Titolare del trattamento, assicurarsi che i dati dei minori siano inseriti da un esercente la responsabilità genitoriale o comunque nel rispetto dell'art. 8 GDPR e dell'art. 2-quinquies del Codice Privacy italiano, anche quando l'inserimento avviene tramite lo staff della palestra anziché tramite autoregistrazione diretta.
Attualmente la Piattaforma non effettua invii automatici di email o SMS ai clienti finali delle palestre (es. promemoria di prenotazione o scadenza pacchetto); tale funzionalità potrà essere introdotta in futuro e, se attivata, questa informativa sarà aggiornata di conseguenza con l'indicazione della relativa base giuridica.
Consenso. Nessun trattamento descritto in questa informativa si basa attualmente sul consenso (art. 6.1.a GDPR). Qualora in futuro venissero introdotti trattamenti fondati sul consenso (es. comunicazioni promozionali), sarà possibile revocarlo in qualsiasi momento con effetto per il futuro, senza pregiudicare la liceità del trattamento svolto prima della revoca.
Obbligo di conferimento dei dati. Il conferimento dei dati indicati al punto 3.1 è necessario per creare l'account e attivare l'abbonamento: in assenza di tali dati non è possibile utilizzare la Piattaforma. Il conferimento dei dati dei clienti finali di cui al punto 3.2 è deciso autonomamente dalla palestra, quale Titolare del trattamento per tali dati, in base alle esigenze della propria attività.
Assenza di processi decisionali automatizzati. Pistis Gym non effettua, sui dati trattati tramite la Piattaforma, processi decisionali interamente automatizzati (incluso la profilazione) che producano effetti giuridici sugli interessati o che incidano in modo analogamente significativo sulla loro persona, ai sensi dell'art. 22 GDPR.
Per l'elaborazione dei pagamenti relativi all'abbonamento SaaS (dal titolare della palestra verso Pistis Gym), la Piattaforma si avvale di Stripe, Inc. (e delle eventuali società del gruppo Stripe coinvolte, es. Stripe Payments Europe Ltd.), fornitore di servizi di pagamento. Poiché questi dati sono trattati da Pistis Gym in qualità di Titolare autonomo (vedi sezione 6), per questo specifico trattamento Stripe agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR, nominato da Pistis Gym e vincolato dal Data Processing Agreement messo a disposizione da Stripe.
A oggi la Piattaforma non utilizza Stripe né altri gateway di pagamento per elaborare i pagamenti che i clienti finali versano alla palestra per pacchetti e sedute: tali pagamenti, quando registrati nel gestionale, sono annotazioni contabili interne inserite manualmente dallo staff della palestra (importo, modalità, data), non transazioni elettroniche gestite da un fornitore terzo. Se in futuro la Piattaforma introducesse il pagamento online dei clienti finali tramite Stripe (o altro gateway), Stripe assumerebbe per quei dati la qualifica di sub-responsabile del trattamento, nominato da Pistis Gym su autorizzazione della palestra Titolare, e questa informativa sarebbe aggiornata di conseguenza.
Oltre a Stripe, Pistis Gym può avvalersi di altri fornitori terzi in qualità di responsabili (o sub-responsabili, a seconda del trattamento coinvolto) per l'erogazione del Servizio, tra cui a titolo esemplificativo: fornitori di hosting e infrastruttura cloud, servizi di backup, servizi di invio email transazionali (es. reset password, notifiche di sistema) ed eventuali strumenti di assistenza clienti (help desk/ticketing). Tali soggetti sono nominati responsabili del trattamento ai sensi dell'art. 28 GDPR e sono vincolati contrattualmente a trattare i dati solo per le finalità indicate da Pistis Gym e con adeguate misure di sicurezza. L'elenco aggiornato dei fornitori/sub-responsabili attualmente in uso è disponibile su richiesta, scrivendo all'indirizzo di cui alla sezione 1.
I dati possono inoltre essere comunicati, se necessario, a consulenti e liberi professionisti di Pistis Gym (es. commercialista, legale) per le finalità di cui alla sezione 4, e alle autorità pubbliche competenti quando richiesto dalla legge (es. autorità fiscali, giudiziarie o di pubblica sicurezza).
Pistis Gym è una piattaforma multi-tenant: ogni palestra abbonata dispone di uno spazio dati isolato e separato dalle altre palestre presenti sulla Piattaforma. Per chiarezza, i ruoli GDPR sono distinti come segue:
Il rapporto tra la palestra (Titolare) e Pistis Gym (Responsabile) è disciplinato da un apposito accordo di trattamento dati (Data Processing Agreement — DPA), che regola le condizioni, le misure di sicurezza, l'elenco dei sub-responsabili autorizzati e gli obblighi reciproci relativi al trattamento dei dati dei clienti finali — incluse le modalità con cui Pistis Gym assiste la palestra nel rispondere alle richieste degli interessati e nella gestione di eventuali violazioni di dati (vedi sezione 10). Il DPA è [disponibile all'indirizzo/link — DA COMPLETARE] e costituisce parte integrante delle condizioni di abbonamento accettate dalla palestra in fase di sottoscrizione del Servizio.
Per qualunque richiesta relativa ai propri dati, il cliente finale di una palestra dovrà quindi rivolgersi in primo luogo alla palestra presso cui è iscritto (vedi sezione 12).
Alcuni dei fornitori di cui la Piattaforma si avvale, in particolare Stripe, hanno sede negli Stati Uniti o comunque trattano dati anche al di fuori dello Spazio Economico Europeo (SEE). Lo stesso potrebbe valere per altri fornitori indicati alla sezione 5 (es. hosting, backup, email transazionali), qualora i relativi server o strutture si trovino fuori dal SEE. In questi casi, il trasferimento dei dati personali verso paesi extra-UE avviene sulla base di garanzie adeguate previste dal GDPR, in particolare, a seconda del fornitore:
Puoi richiedere maggiori informazioni sulle garanzie adottate per i trasferimenti extra-UE, incluso l'elenco dei fornitori extra-SEE coinvolti, scrivendo all'indirizzo indicato nella sezione 1.
Pistis Gym utilizza esclusivamente un cookie tecnico di sessione (token JWT), necessario per mantenere l'utente autenticato durante la navigazione all'interno della Piattaforma dopo il login. Questo cookie:
La Piattaforma non installa cookie di profilazione o di marketing di terze parti.
Pistis Gym adotta misure tecniche e organizzative adeguate a proteggere i dati personali trattati, tra cui la separazione logica dei dati tra le diverse palestre (isolamento multi-tenant), la memorizzazione delle password in forma crittografata, l'uso di connessioni cifrate e controlli di accesso basati sui ruoli. Nessun sistema è tuttavia sicuro al 100%.
In caso di violazione dei dati personali ("data breach") che comporti un rischio per i diritti e le libertà degli interessati:
In qualità di interessato, hai il diritto di:
Le modalità di esercizio dei diritti dipendono dal tuo ruolo:
Risponderemo alla tua richiesta entro i termini previsti dal GDPR (di norma entro un mese dalla ricezione, prorogabile di due mesi in caso di richieste complesse o numerose, con comunicazione dei motivi della proroga).
La presente informativa può essere aggiornata periodicamente, ad esempio in caso di modifiche normative o di evoluzione delle funzionalità della Piattaforma (es. introduzione di notifiche email/SMS automatiche, di pagamenti online per i clienti finali). Eventuali modifiche sostanziali saranno comunicate agli utenti registrati tramite la Piattaforma o via email. Ti invitiamo a consultare periodicamente questa pagina.
Questa informativa è stata aggiornata in data: [DATA]