Parte II — Informativa Privacy ex artt. 13 e 14 GDPR
A. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Gestione Pagine SRL
Sede legale: Via della Cellulosa 25, 00166 Roma (RM)
P.IVA: 14388161003
Legale rappresentante: Daniele Testa
Email privacy: privacy@runnersclub.it
PEC: info@pec.gestionepagine.com
B. Responsabile della protezione dei dati (DPO)
[Da compilare in base all'esito della valutazione DPO contenuta nel documento RC_LEGAL_03_INTERNAL_OPS.md]:
- Opzione A (DPO nominato): Il DPO è ____________________, contattabile all'indirizzo
dpo@runnersclub.it. - Opzione B (DPO non obbligatorio allo stato): Allo stato attuale non sussistono i presupposti dell'art. 37 GDPR per la nomina obbligatoria di un DPO. Il riferimento interno per le materie privacy è il Legale Rappresentante, contattabile a
privacy@runnersclub.it. L'esito della valutazione è documentato e sarà periodicamente rivisto.
C. Tipologie di dati trattati
In funzione delle attività dell'Utente, sono trattati:
- Dati identificativi e di contatto: nome, cognome, data di nascita, email, numero di telefono, immagine del profilo, provincia di residenza/Club di appartenenza.
- Credenziali di autenticazione: password (hash bcrypt), token di sessione.
- Dati relativi alla salute (categoria particolare ex art. 9 GDPR): tipologia certificato medico (non agonistico/agonistico), data di scadenza; in fase successiva, eventuale PDF del certificato. Vedi sezione E.
- Dati atletici non sanitari: livello dichiarato, obiettivi, ritmo medio, distanze abituali, gare completate, infortuni pregressi auto-dichiarati in formato testo libero (con raccomandazione di non includere dati sanitari di dettaglio).
- Dati relativi all'attività sulla Piattaforma: uscite create e cui si è partecipato, badge, ruoli (Pacer/Trainer/Ambassador/One Star), interazioni con altri Utenti.
- Dati di geolocalizzazione: posizione GPS durante uscite con tracking attivo (sezione G), posizione attivata da SOS.
- Dati di utilizzo e tecnici: indirizzo IP, log di accesso, user agent, identificatori di dispositivo, eventi analitici.
- Dati provenienti da integrazioni terze (Strava/Garmin/altre): tracce GPS, dati di attività, parametri fitness, esclusivamente con consenso dell'Utente all'integrazione e nei limiti delle scope OAuth richieste.
- Dati di pagamento (in fase futura): trattati direttamente dal provider PSP (Stripe o equivalente), Gestione Pagine non memorizza i dati della carta.
- Comunicazioni con il supporto: contenuto delle email, ticket e chat di supporto.
D. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Categoria di dati |
|---|---|---|
| Registrazione, gestione Account, erogazione servizi base | Art. 6.1.b GDPR (esecuzione contratto) | 1, 2, 4, 5, 7 |
| Verifica idoneità sanitaria e gating contenuti agonistici | Art. 9.2.a (consenso esplicito) + 6.1.b GDPR | 3 |
| Funzionalità SOS e GPS tracking | Art. 6.1.b GDPR + Art. 9.2.c GDPR (vital interest, in caso di SOS) | 6 |
| Partecipazione a Club Provinciali, uscite di gruppo, Codice di Condotta | Art. 6.1.b GDPR | 1, 4, 5 |
| Programmi degli AI Coach (stato attuale: pre-generati) | Art. 6.1.b GDPR | 1, 4 |
| Integrazione Strava/Garmin/altri | Art. 6.1.a GDPR (consenso) | 8 |
| Pagamenti (fase futura) | Art. 6.1.b GDPR + Art. 6.1.c (obblighi fiscali) | 9 |
| Marketing e newsletter | Art. 6.1.a GDPR (consenso, opt-in) | 1 (email) |
| Sicurezza, prevenzione frodi, fraud detection | Art. 6.1.f GDPR (legittimo interesse) | 7 |
| Adempimenti di legge e difesa in giudizio | Art. 6.1.c e 6.1.f GDPR | tutte |
| Personalizzazione AI runtime (Fase 5 futura) | Art. 6.1.a + 6.1.b GDPR | 4 (no dati sanitari) |
| Statistiche aggregate e miglioramento Servizio | Art. 6.1.f GDPR (legittimo interesse) su dati aggregati/pseudonimizzati | 7 |
E. Trattamento dei dati relativi alla salute (art. 9 GDPR)
E.1 Dati raccolti
Tipologia di certificato medico (non agonistico/agonistico), data di scadenza. In fase successiva e su consenso dedicato, copia digitale (PDF) del certificato.
E.2 Modalità
Self-declaration in fase di onboarding con casella di consenso esplicita non pre-selezionata, in conformità all'art. 9.2.a GDPR. Il consenso è separato dal flag di accettazione dei T&C.
E.3 Base giuridica
- Art. 9.2.a GDPR (consenso esplicito al trattamento di categoria particolare)
- Art. 6.1.b GDPR (esecuzione del contratto di servizio)
- Artt. 2-septies e 2-quater D.Lgs. 196/2003
E.4 Finalità
Verifica del requisito sanitario di legge per l'accesso ai programmi di allenamento, in conformità a D.M. 18/02/1982, D.M. 24/04/2013, art. 42-bis D.L. 69/2013 conv. L. 98/2013, D.M. 8/08/2014.
E.5 Conservazione
Cifratura at-rest su database PostgreSQL gestito da Supabase, regione eu-west-1 (Irlanda — UE). Conservazione per la durata del rapporto contrattuale + 30 giorni a fini di ripristino, salva richiesta anticipata di cancellazione.
E.6 Destinatari
- L'Utente, attraverso l'area personale.
- Personale interno autorizzato di Gestione Pagine, esclusivamente per audit, supporto e adempimenti di legge, con accesso tracciato.
- Nessun trasferimento extra-UE dei dati sanitari.
- Nessun trattamento da parte di sistemi AI sui dati sanitari.
E.7 Revoca del consenso
Il consenso al trattamento dei dati sanitari è revocabile in qualsiasi momento dall'area personale dell'Utente. La revoca comporta sospensione immediata dei servizi che richiedono la verifica del certificato.
F. Trattamento dei dati per servizi di intelligenza artificiale
F.1 Stato attuale
I programmi degli AI Coach pubblicati sulla Piattaforma sono pre-generati con tecniche di intelligenza artificiale e revisionati editorialmente dal Team RunnersClub. Non avviene trattamento AI runtime sui dati personali dell'Utente al momento dell'utilizzo del Servizio.
F.2 Sviluppi futuri (Fase 5)
È pianificata l'introduzione di una funzionalità di personalizzazione AI runtime, subordinata a nuovo consenso esplicito e ad aggiornamento della presente Informativa. Saranno trasmessi al fornitore AI esclusivamente:
- età;
- livello dichiarato;
- obiettivo (5km/10km/mezza/maratona);
- settimane disponibili;
- ritmo medio;
- eventuali infortuni pregressi auto-dichiarati (testo libero, con raccomandazione di non includere dati sanitari di dettaglio).
F.3 Fornitore individuato
Anthropic PBC (Claude API), con preferenza per processing in regione UE ove disponibile. Sarà stipulato Data Processing Agreement ex art. 28 GDPR e adottate Standard Contractual Clauses ex Decisione UE 2021/914 in caso di trasferimento extra-UE.
F.4 Esclusione di processo decisionale interamente automatizzato (art. 22 GDPR)
Ogni programma generato dal sistema AI è soggetto a revisione obbligatoria di un Coach umano del Team RunnersClub prima della pubblicazione all'Utente. Il Coach umano ha facoltà di modificare, integrare o rigettare l'output AI. Non si configura una decisione interamente automatizzata.
F.5 Conformità AI Act (Reg. UE 2024/1689)
Ottemperanza all'obbligo di trasparenza ex art. 50 mediante etichettatura "AI Coach" nell'interfaccia. I sistemi utilizzati sono classificabili a rischio limitato e non rientrano nelle categorie ad alto rischio di cui all'Allegato III. È mantenuto registro interno prompt/output a fini di accountability.
F.6 Dati sanitari esclusi
In nessun caso i dati sanitari (certificato medico) sono trasmessi a sistemi AI di terze parti.
F.7 Conservazione prompt/output
24 mesi, decorsi i quali i dati sono cancellati o resi anonimi in modo irreversibile.
F-bis. Autocertificazione di buona salute (DPR 445/2000)
F-bis.1 Ambito
Per i programmi entry-level (Alzati & Cammina, Alzati & Corri, Allenamenti da Casa e analoghi a carico moderato), l'Utente firma in app un'autocertificazione di buona salute ai sensi del DPR 28 dicembre 2000 n. 445. La dichiarazione sostitutiva di atto notorio attesta l'idoneità soggettiva alla pratica di attività amatoriale a carico moderato.
F-bis.2 Base giuridica
Art. 9.2.a GDPR (consenso esplicito) per il dato sanitario auto-dichiarato, in combinato con art. 6.1.b GDPR per l'esecuzione del contratto e DPR 445/2000 per la natura giuridica della dichiarazione.
F-bis.3 Finalità
Tutela dell'Utente (gating accesso programmi) e manleva di responsabilità ex sez. 6.3 dei T&C. La modulistica adottata è disciplinata dalla policy pubblica /policy-salute.
F-bis.4 Conservazione
5 (cinque) anni dalla last activity dell'Utente, in conformità ai termini di prescrizione ordinaria ex art. 2946 c.c. e alla necessità probatoria della dichiarazione sostitutiva ex art. 76 DPR 445/2000.
F-bis.5 Destinatari
L'Utente; personale interno autorizzato Gestione Pagine per fini di audit; autorità competenti su richiesta legittima. Nessun trasferimento extra-UE. Nessun trattamento AI.
F-ter. Trattamento dati dei runner da parte dei Trainer
F-ter.1 Ruolo del Trainer
Il Trainer (Coach umano certificato FIDAL/CONI/EPS, approvato da Gestione Pagine) opera in qualità di co-titolare del trattamento ex art. 26 GDPR esclusivamente per i dati dei runner attivamente iscritti ai propri programmi e per la sola finalità di erogazione del coaching personalizzato.
Per ogni altra finalità di Piattaforma il Titolare unico resta Gestione Pagine.
F-ter.2 Dati visibili al Trainer
Il Trainer accede, per i soli runner che hanno sbloccato un suo programma o richiesto una sessione 1-to-1:
- nome, cognome, immagine profilo;
- email (solo per comunicazioni di servizio dentro la Piattaforma);
- progressi sessioni del programma, note dell'Utente sulle sessioni completate;
- esito dell'autocertificazione di buona salute (booleano sì/no, non il contenuto della dichiarazione né eventuali certificati medici associati).
F-ter.3 Limiti e divieti per il Trainer
Il Trainer si impegna contrattualmente (DPA art. 28 GDPR, documento coach-terms e Contratto Trainer affiliato) a:
- non esportare in massa i dati dei runner;
- non contattare commercialmente i runner al di fuori della Piattaforma;
- non comunicare i dati a terzi se non in adempimento di obblighi di legge;
- segnalare a Gestione Pagine eventuali violazioni o incidenti entro 24h.
F-ter.4 Diritto del runner
L'Utente runner ha diritto, in qualsiasi momento, di non essere assegnato a un Trainer specifico o di revocare la condivisione dei propri dati con un Trainer cui era assegnato (la revoca comporta l'interruzione del programma corrispondente).
F-ter.5 DPA
Il Data Processing Agreement che disciplina i ruoli reciproci è il documento DPA_TRAINER pubblicato e accettato dal Trainer al primo accesso alla dashboard coach. Il documento è consultabile alla pagina runnersclub.it/coach-terms (link da pubblicare a valle del rilascio del modulo legale per i Trainer).
F-quater. Pagamenti — Stripe Connect Express
F-quater.1 Strumento
I pagamenti dei programmi paid sono processati tramite Stripe Payments Europe Ltd. (per i pagamenti) e Stripe Connect Express (per i payout ai Trainer affiliati). Stripe è autonomo titolare del trattamento dei dati di pagamento ai sensi della propria privacy policy (stripe.com/it/privacy).
F-quater.2 Dati condivisi con Stripe
- Identificativi Utente (nome, email);
- Importo della transazione, valuta, riferimento programma;
- Geo-IP e dati tecnici di dispositivo a fini di fraud detection (Stripe Radar);
- Per i Trainer onboardati: dati anagrafici e fiscali necessari al KYC/KYB di Stripe Connect Express (raccolti direttamente sull'interfaccia hosted di Stripe, non transitano sui sistemi RunnersClub).
F-quater.3 Dati non trattati da RunnersClub
Gestione Pagine non memorizza PAN/CVV/data scadenza delle carte. La Piattaforma riceve unicamente il token di transazione e lo stato pagamento (pending/paid/refunded) via webhook firmati.
F-quater.4 Trasferimenti
Stripe può trasferire dati negli Stati Uniti ai sensi delle Standard Contractual Clauses ex Decisione UE 2021/914. Stripe aderisce al Data Privacy Framework UE-USA (decisione di adeguatezza Commissione UE 10 luglio 2023).
F-quater.5 Conservazione
Gestione Pagine conserva i metadati di transazione (program_purchases) per 10 anni ai fini fiscali e antiriciclaggio ex art. 2220 c.c. e D.Lgs. 231/2007. I dati di carta restano esclusivamente in capo a Stripe nei termini della sua policy.
G. Geolocalizzazione, SOS e tracking
G.1 GPS tracking durante uscite
Attivabile e disattivabile dall'Utente. La posizione è condivisa con i contatti e/o i gruppi selezionati esclusivamente per la durata dell'uscita.
G.2 SOS
L'attivazione del SOS comporta invio della posizione GPS attuale ai contatti di emergenza preimpostati e/o al gruppo, ai sensi dell'art. 9.2.c GDPR (interesse vitale dell'interessato). Gestione Pagine non sostituisce i servizi pubblici di emergenza.
G.3 Conservazione tracce
Le tracce GPS delle uscite completate sono conservate fino a richiesta di cancellazione dell'Utente o chiusura dell'Account, salvo richiesta espressa di mantenimento storico.
H. Destinatari e responsabili esterni del trattamento
I dati possono essere comunicati a:
| Soggetto | Ruolo | Trasferimento extra-UE |
|---|---|---|
| Supabase Inc. (USA) | Responsabile esterno — hosting database, auth, storage; regione eu-west-1 (Irlanda) | Dati a riposo in UE; SCC ex Dec. UE 2021/914 |
| Vercel Inc. (USA) | Responsabile esterno — hosting frontend, edge functions, CDN; preferenza routing EU edge | SCC ex Dec. UE 2021/914 |
| Stripe Payments Europe Ltd. (Irlanda) + Stripe Connect Express | Titolare autonomo dei dati di pagamento; responsabile per le ulteriori finalità contrattuali | SCC + Data Privacy Framework UE-USA (Dec. 2023) |
| Resend, Inc. — email transazionali + newsletter (Audiences) | Responsabile esterno — invio email di servizio e newsletter su opt-in | SCC ex Dec. UE 2021/914 |
| Google LLC — Google Calendar API (OAuth) | Responsabile esterno — sincronizzazione sessioni live nel calendario Trainer, esclusivamente per Trainer che hanno fornito consenso OAuth | SCC + Data Privacy Framework UE-USA |
| Anthropic PBC (USA) — fase futura | Responsabile esterno — generazione AI Coach runtime (post fase 5) | DPA + SCC |
| Provider analytics (es. Plausible su EU-hosting o equivalente privacy-friendly) | Responsabile esterno — statistiche aggregate | UE |
| Strava Inc., Garmin Ltd. e altri — fase futura | Titolari autonomi e/o responsabili — integrazioni opzionali su consenso OAuth | Privacy policy delle piattaforme terze |
| Trainer affiliati (persone fisiche o ditte individuali) | Co-titolari ex art. 26 GDPR per i soli dati dei runner attivi sui propri programmi (cfr. sez. F-ter) | UE |
| Autorità competenti | Su richiesta legittima ex art. 6.1.c GDPR | N/A |
I soggetti del Team RunnersClub autorizzati al trattamento sono designati per iscritto ai sensi dell'art. 29 GDPR e ricevono istruzioni operative.
Notifica modifiche sub-processor: Gestione Pagine si impegna a comunicare con almeno 30 giorni di preavviso ogni introduzione o sostituzione di sub-processor che tratti dati personali degli Utenti, tramite avviso in piattaforma e/o email. La presente tabella è la fonte autoritativa, aggiornata l'ultima volta al last_modified di cui all'header di questa Informativa.
I. Trasferimenti extra-UE
Per i dati relativi alla salute il trattamento è esclusivamente in UE.
Per gli altri dati, eventuali trasferimenti extra-UE avvengono esclusivamente verso Paesi che assicurano adeguato livello di protezione (decisioni di adeguatezza della Commissione UE) o sulla base di Standard Contractual Clauses ex Decisione UE 2021/914, integrate ove necessario da misure tecniche e organizzative supplementari (cifratura, pseudonimizzazione, controllo accessi).
J. Periodo di conservazione
| Dato | Periodo |
|---|---|
| Account attivo (tutti i dati funzionali) | Per la durata del rapporto contrattuale |
| Dati sanitari | Durata contrattuale + 30 giorni |
| Account chiuso | 30 giorni per ripristino, poi cancellazione/anonimizzazione |
| Log di accesso e sicurezza | 12 mesi |
| Email transazionali (mittente/destinatario) | 24 mesi |
| Prompt/output AI | 24 mesi |
| Dati fiscali e metadati transazione Stripe | 10 anni ex art. 2220 c.c. e D.Lgs. 231/2007 |
| Autocertificazione di buona salute (DPR 445/2000) | 5 anni dalla last activity (cfr. F-bis.4) |
| Comunicazioni con il supporto | 24 mesi |
K. Diritti dell'interessato
L'Utente ha diritto, ai sensi degli artt. 15-22 GDPR, di:
- accedere ai propri dati personali (art. 15);
- ottenerne la rettifica (art. 16);
- ottenerne la cancellazione (art. 17);
- ottenere la limitazione del trattamento (art. 18);
- ricevere i propri dati in formato strutturato e portabile (art. 20);
- opporsi al trattamento basato su legittimo interesse (art. 21);
- non essere sottoposto a decisioni interamente automatizzate (art. 22).
Per l'esercizio dei diritti l'Utente può scrivere a privacy@runnersclub.it. La risposta è fornita entro 30 giorni, prorogabili di ulteriori 60 giorni per richieste particolarmente complesse.
L. Diritto di reclamo al Garante
L'Utente ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, Piazza Venezia, 11 — 00187 Roma — garante@gpdp.it — www.garanteprivacy.it.
M. Modifiche all'Informativa
Modifiche sostanziali sono comunicate all'Utente con almeno 15 giorni di preavviso. La versione vigente è sempre disponibile alla pagina runnersclub.it/privacy con data di ultimo aggiornamento.