Parte II — Informativa Privacy ex artt. 13 e 14 GDPR
A. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Gestione Pagine SRL
Sede legale: Via della Cellulosa 25, 00166 Roma (RM)
P.IVA: 14388161003
Legale rappresentante: Daniele Testa
Email privacy: privacy@runnersclub.it
PEC: info@pec.gestionepagine.com
B. Responsabile della protezione dei dati (DPO)
[Da compilare in base all'esito della valutazione DPO contenuta nel documento RC_LEGAL_03_INTERNAL_OPS.md]:
- Opzione A (DPO nominato): Il DPO è ____________________, contattabile all'indirizzo
dpo@runnersclub.it. - Opzione B (DPO non obbligatorio allo stato): Allo stato attuale non sussistono i presupposti dell'art. 37 GDPR per la nomina obbligatoria di un DPO. Il riferimento interno per le materie privacy è il Legale Rappresentante, contattabile a
privacy@runnersclub.it. L'esito della valutazione è documentato e sarà periodicamente rivisto.
C. Tipologie di dati trattati
In funzione delle attività dell'Utente, sono trattati:
- Dati identificativi e di contatto: nome, cognome, data di nascita, email, numero di telefono, immagine del profilo, provincia di residenza/Club di appartenenza.
- Credenziali di autenticazione: password (hash bcrypt), token di sessione.
- Dati relativi alla salute (categoria particolare ex art. 9 GDPR): tipologia certificato medico (non agonistico/agonistico), data di scadenza; in fase successiva, eventuale PDF del certificato. Vedi sezione E.
- Dati atletici non sanitari: livello dichiarato, obiettivi, ritmo medio, distanze abituali, gare completate, infortuni pregressi auto-dichiarati in formato testo libero (con raccomandazione di non includere dati sanitari di dettaglio).
- Dati relativi all'attività sulla Piattaforma: uscite create e cui si è partecipato, badge, ruoli (Pacer/Trainer/Ambassador/One Star), interazioni con altri Utenti.
- Dati di geolocalizzazione: posizione GPS durante uscite con tracking attivo (sezione G), posizione attivata da SOS.
- Dati di utilizzo e tecnici: indirizzo IP, log di accesso, user agent, identificatori di dispositivo, eventi analitici.
- Dati provenienti da integrazioni terze (Strava/Garmin/altre): tracce GPS, dati di attività, parametri fitness, esclusivamente con consenso dell'Utente all'integrazione e nei limiti delle scope OAuth richieste.
- Dati di pagamento (in fase futura): trattati direttamente dal provider PSP (Stripe o equivalente), Gestione Pagine non memorizza i dati della carta.
- Comunicazioni con il supporto: contenuto delle email, ticket e chat di supporto.
D. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Categoria di dati |
|---|---|---|
| Registrazione, gestione Account, erogazione servizi base | Art. 6.1.b GDPR (esecuzione contratto) | 1, 2, 4, 5, 7 |
| Verifica idoneità sanitaria e gating contenuti agonistici | Art. 9.2.a (consenso esplicito) + 6.1.b GDPR | 3 |
| Funzionalità SOS e GPS tracking | Art. 6.1.b GDPR + Art. 9.2.c GDPR (vital interest, in caso di SOS) | 6 |
| Partecipazione a Club Provinciali, uscite di gruppo, Codice di Condotta | Art. 6.1.b GDPR | 1, 4, 5 |
| Programmi degli AI Coach (stato attuale: pre-generati) | Art. 6.1.b GDPR | 1, 4 |
| Integrazione Strava/Garmin/altri | Art. 6.1.a GDPR (consenso) | 8 |
| Pagamenti (fase futura) | Art. 6.1.b GDPR + Art. 6.1.c (obblighi fiscali) | 9 |
| Marketing e newsletter | Art. 6.1.a GDPR (consenso, opt-in) | 1 (email) |
| Sicurezza, prevenzione frodi, fraud detection | Art. 6.1.f GDPR (legittimo interesse) | 7 |
| Adempimenti di legge e difesa in giudizio | Art. 6.1.c e 6.1.f GDPR | tutte |
| Personalizzazione AI runtime (Fase 5 futura) | Art. 6.1.a + 6.1.b GDPR | 4 (no dati sanitari) |
| Statistiche aggregate e miglioramento Servizio | Art. 6.1.f GDPR (legittimo interesse) su dati aggregati/pseudonimizzati | 7 |
E. Trattamento dei dati relativi alla salute (art. 9 GDPR)
E.1 Dati raccolti
Tipologia di certificato medico (non agonistico/agonistico), data di scadenza. In fase successiva e su consenso dedicato, copia digitale (PDF) del certificato.
E.2 Modalità
Self-declaration in fase di onboarding con casella di consenso esplicita non pre-selezionata, in conformità all'art. 9.2.a GDPR. Il consenso è separato dal flag di accettazione dei T&C.
E.3 Base giuridica
- Art. 9.2.a GDPR (consenso esplicito al trattamento di categoria particolare)
- Art. 6.1.b GDPR (esecuzione del contratto di servizio)
- Artt. 2-septies e 2-quater D.Lgs. 196/2003
E.4 Finalità
Verifica del requisito sanitario di legge per l'accesso ai programmi di allenamento, in conformità a D.M. 18/02/1982, D.M. 24/04/2013, art. 42-bis D.L. 69/2013 conv. L. 98/2013, D.M. 8/08/2014.
E.5 Conservazione
Cifratura at-rest su database PostgreSQL gestito da Supabase, regione eu-west-1 (Irlanda — UE). Conservazione per la durata del rapporto contrattuale + 30 giorni a fini di ripristino, salva richiesta anticipata di cancellazione.
E.6 Destinatari
- L'Utente, attraverso l'area personale.
- Personale interno autorizzato di Gestione Pagine, esclusivamente per audit, supporto e adempimenti di legge, con accesso tracciato.
- Nessun trasferimento extra-UE dei dati sanitari.
- Nessun trattamento da parte di sistemi AI sui dati sanitari.
E.7 Revoca del consenso
Il consenso al trattamento dei dati sanitari è revocabile in qualsiasi momento dall'area personale dell'Utente. La revoca comporta sospensione immediata dei servizi che richiedono la verifica del certificato.
F. Trattamento dei dati per servizi di intelligenza artificiale
F.1 Stato attuale
I programmi degli AI Coach pubblicati sulla Piattaforma sono pre-generati con tecniche di intelligenza artificiale e revisionati editorialmente dal Team RunnersClub. Non avviene trattamento AI runtime sui dati personali dell'Utente al momento dell'utilizzo del Servizio.
F.2 Sviluppi futuri (Fase 5)
È pianificata l'introduzione di una funzionalità di personalizzazione AI runtime, subordinata a nuovo consenso esplicito e ad aggiornamento della presente Informativa. Saranno trasmessi al fornitore AI esclusivamente:
- età;
- livello dichiarato;
- obiettivo (5km/10km/mezza/maratona);
- settimane disponibili;
- ritmo medio;
- eventuali infortuni pregressi auto-dichiarati (testo libero, con raccomandazione di non includere dati sanitari di dettaglio).
F.3 Fornitore individuato
Anthropic PBC (Claude API), con preferenza per processing in regione UE ove disponibile. Sarà stipulato Data Processing Agreement ex art. 28 GDPR e adottate Standard Contractual Clauses ex Decisione UE 2021/914 in caso di trasferimento extra-UE.
F.4 Esclusione di processo decisionale interamente automatizzato (art. 22 GDPR)
Ogni programma generato dal sistema AI è soggetto a revisione obbligatoria di un Coach umano del Team RunnersClub prima della pubblicazione all'Utente. Il Coach umano ha facoltà di modificare, integrare o rigettare l'output AI. Non si configura una decisione interamente automatizzata.
F.5 Conformità AI Act (Reg. UE 2024/1689)
Ottemperanza all'obbligo di trasparenza ex art. 50 mediante etichettatura "AI Coach" nell'interfaccia. I sistemi utilizzati sono classificabili a rischio limitato e non rientrano nelle categorie ad alto rischio di cui all'Allegato III. È mantenuto registro interno prompt/output a fini di accountability.
F.6 Dati sanitari esclusi
In nessun caso i dati sanitari (certificato medico) sono trasmessi a sistemi AI di terze parti.
F.7 Conservazione prompt/output
24 mesi, decorsi i quali i dati sono cancellati o resi anonimi in modo irreversibile.
G. Geolocalizzazione, SOS e tracking
G.1 GPS tracking durante uscite
Attivabile e disattivabile dall'Utente. La posizione è condivisa con i contatti e/o i gruppi selezionati esclusivamente per la durata dell'uscita.
G.2 SOS
L'attivazione del SOS comporta invio della posizione GPS attuale ai contatti di emergenza preimpostati e/o al gruppo, ai sensi dell'art. 9.2.c GDPR (interesse vitale dell'interessato). Gestione Pagine non sostituisce i servizi pubblici di emergenza.
G.3 Conservazione tracce
Le tracce GPS delle uscite completate sono conservate fino a richiesta di cancellazione dell'Utente o chiusura dell'Account, salvo richiesta espressa di mantenimento storico.
H. Destinatari e responsabili esterni del trattamento
I dati possono essere comunicati a:
| Soggetto | Ruolo | Trasferimento extra-UE |
|---|---|---|
| Supabase Inc. (USA) | Responsabile esterno — hosting database, regione eu-west-1 (Irlanda) | Dati a riposo in UE; rapporto contrattuale con SCC |
| Vercel Inc. (USA) | Responsabile esterno — hosting frontend e CDN | SCC ex Dec. UE 2021/914 |
| Anthropic PBC (USA) — fase futura | Responsabile esterno — generazione AI | DPA + SCC |
| Stripe Inc. — fase futura | Responsabile esterno — pagamenti | SCC ove applicabili |
| Provider email transazionali (es. Resend, Postmark) | Responsabile esterno — invio email di servizio | SCC ove applicabili |
| Provider analytics (es. Plausible su EU-hosting o equivalente privacy-friendly) | Responsabile esterno — statistiche | UE |
| Strava Inc., Garmin Ltd. e altri — fase futura | Titolari autonomi e/o responsabili — integrazioni opzionali | Privacy policy delle piattaforme terze |
| Autorità competenti | Su richiesta legittima ex art. 6.1.c GDPR | N/A |
I soggetti del Team RunnersClub autorizzati al trattamento sono designati per iscritto ai sensi dell'art. 29 GDPR e ricevono istruzioni operative.
I. Trasferimenti extra-UE
Per i dati relativi alla salute il trattamento è esclusivamente in UE.
Per gli altri dati, eventuali trasferimenti extra-UE avvengono esclusivamente verso Paesi che assicurano adeguato livello di protezione (decisioni di adeguatezza della Commissione UE) o sulla base di Standard Contractual Clauses ex Decisione UE 2021/914, integrate ove necessario da misure tecniche e organizzative supplementari (cifratura, pseudonimizzazione, controllo accessi).
J. Periodo di conservazione
| Dato | Periodo |
|---|---|
| Account attivo (tutti i dati funzionali) | Per la durata del rapporto contrattuale |
| Dati sanitari | Durata contrattuale + 30 giorni |
| Account chiuso | 30 giorni per ripristino, poi cancellazione/anonimizzazione |
| Log di accesso e sicurezza | 12 mesi |
| Email transazionali (mittente/destinatario) | 24 mesi |
| Prompt/output AI | 24 mesi |
| Dati fiscali (in fase futura) | 10 anni ex art. 2220 c.c. |
| Comunicazioni con il supporto | 24 mesi |
K. Diritti dell'interessato
L'Utente ha diritto, ai sensi degli artt. 15-22 GDPR, di:
- accedere ai propri dati personali (art. 15);
- ottenerne la rettifica (art. 16);
- ottenerne la cancellazione (art. 17);
- ottenere la limitazione del trattamento (art. 18);
- ricevere i propri dati in formato strutturato e portabile (art. 20);
- opporsi al trattamento basato su legittimo interesse (art. 21);
- non essere sottoposto a decisioni interamente automatizzate (art. 22).
Per l'esercizio dei diritti l'Utente può scrivere a privacy@runnersclub.it. La risposta è fornita entro 30 giorni, prorogabili di ulteriori 60 giorni per richieste particolarmente complesse.
L. Diritto di reclamo al Garante
L'Utente ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, Piazza Venezia, 11 — 00187 Roma — garante@gpdp.it — www.garanteprivacy.it.
M. Modifiche all'Informativa
Modifiche sostanziali sono comunicate all'Utente con almeno 15 giorni di preavviso. La versione vigente è sempre disponibile alla pagina runnersclub.it/privacy con data di ultimo aggiornamento.