Informativa sulla Privacy | Privacy Policy

Ultimo aggiornamento: Febbraio 2026 | Last updated: February 2026

1. Titolare del Trattamento

Il titolare del trattamento dei dati personali è il gestore della piattaforma FitOS. Il trattamento avviene nel rispetto del Regolamento UE 2016/679 (GDPR) e della normativa italiana in materia di protezione dei dati personali.

2. Dati Raccolti

Raccogliamo e trattiamo le seguenti categorie di dati personali:

Dati forniti direttamente

Dati di registrazione: nome utente, email, password (criptata)
Dati del profilo: foto profilo, biografia, numero di telefono
Dati di salute e fitness: peso, altezza, misure corporee, obiettivi fitness, foto del fisico
Dati nutrizionali: diari alimentari, foto dei pasti, analisi nutrizionali
Certificati medici: documenti caricati per idoneità sportiva

Dati raccolti automaticamente

Dati di accesso: indirizzo IP, data e ora di accesso
Dati di check-in: orari di ingresso in palestra
Dati di utilizzo: interazioni con la piattaforma, preferenze

3. Base Giuridica del Trattamento

Esecuzione del contratto (Art. 6(1)(b) GDPR): per fornire i servizi della piattaforma
Consenso (Art. 6(1)(a) GDPR): per l'integrazione con servizi terzi come Spotify
Interesse legittimo (Art. 6(1)(f) GDPR): per la sicurezza e il miglioramento del servizio

4. Servizi di Terze Parti

FitOS utilizza i seguenti fornitori di servizi che possono trattare i tuoi dati:

Stripe (USA) — Elaborazione pagamenti. Privacy Policy di Stripe
Spotify (Svezia) — Riproduzione musicale (solo se connesso dall'utente). Privacy Policy di Spotify
Cloudinary (USA) — Archiviazione immagini e media. Privacy Policy di Cloudinary
Google Gemini (USA) — Analisi AI dei pasti per il tracciamento nutrizionale. Privacy Policy di Google
Clarifai (USA) — Riconoscimento immagini alimentari. Privacy Policy di Clarifai
YouTube (USA) — Riproduzione video per esercizi e musica. Privacy Policy di Google

I trasferimenti di dati verso gli USA sono protetti da adeguate garanzie ai sensi del GDPR (Decisione di adeguatezza, clausole contrattuali standard).

5. Conservazione dei Dati

I tuoi dati personali sono conservati per la durata del tuo account. Alla cancellazione dell'account, tutti i dati vengono eliminati definitivamente entro 30 giorni, salvo obblighi di legge che richiedano una conservazione più lunga.

6. I Tuoi Diritti (GDPR)

In conformità al GDPR, hai i seguenti diritti:

Accesso (Art. 15) — Richiedere una copia dei tuoi dati personali
Rettifica (Art. 16) — Correggere dati inesatti o incompleti
Cancellazione (Art. 17) — Richiedere l'eliminazione dei tuoi dati ("diritto all'oblio")
Portabilità (Art. 20) — Ricevere i tuoi dati in formato strutturato e leggibile
Opposizione (Art. 21) — Opporti al trattamento dei tuoi dati
Limitazione (Art. 18) — Richiedere la limitazione del trattamento

Puoi esercitare i diritti di accesso, portabilità e cancellazione direttamente dalla sezione Impostazioni Account della piattaforma:

"Esporta i Miei Dati" — scarica tutti i tuoi dati in formato JSON
"Elimina Account" — cancella permanentemente il tuo account e tutti i dati associati

Per gli altri diritti, contattaci tramite la piattaforma.

7. Sicurezza

Adottiamo misure tecniche e organizzative per proteggere i tuoi dati:

Password criptate con algoritmo bcrypt
Connessioni HTTPS con header HSTS
Cookie HttpOnly e SameSite per la protezione della sessione
Limitazione delle richieste (rate limiting) contro attacchi brute-force
Header di sicurezza (CSP, X-Frame-Options, X-Content-Type-Options)

8. Reclami

Hai il diritto di presentare un reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) se ritieni che il trattamento dei tuoi dati violi il GDPR.

1. Data Controller

The data controller is the operator of the FitOS platform. Data processing is carried out in compliance with EU Regulation 2016/679 (GDPR) and Italian data protection legislation.

2. Data Collected

We collect and process the following categories of personal data:

Data provided directly

Registration data: username, email, password (encrypted)
Profile data: profile photo, bio, phone number
Health and fitness data: weight, height, body measurements, fitness goals, physique photos
Nutritional data: food diaries, meal photos, nutritional analyses
Medical certificates: documents uploaded for sports eligibility

Data collected automatically

Access data: IP address, date and time of access
Check-in data: gym entry times
Usage data: platform interactions, preferences

3. Legal Basis for Processing

Contract performance (Art. 6(1)(b) GDPR): to provide platform services
Consent (Art. 6(1)(a) GDPR): for third-party integrations like Spotify
Legitimate interest (Art. 6(1)(f) GDPR): for security and service improvement

4. Third-Party Services

FitOS uses the following service providers that may process your data:

Stripe (USA) — Payment processing. Stripe Privacy Policy
Spotify (Sweden) — Music playback (only if connected by user). Spotify Privacy Policy
Cloudinary (USA) — Image and media storage. Cloudinary Privacy Policy
Google Gemini (USA) — AI meal analysis for nutritional tracking. Google Privacy Policy
Clarifai (USA) — Food image recognition. Clarifai Privacy Policy
YouTube (USA) — Video playback for exercises and music. Google Privacy Policy

Data transfers to the USA are protected by adequate safeguards under GDPR (Adequacy decision, standard contractual clauses).

5. Data Retention

Your personal data is retained for the duration of your account. Upon account deletion, all data is permanently deleted within 30 days, unless legal obligations require longer retention.

6. Your Rights (GDPR)

Under the GDPR, you have the following rights:

Access (Art. 15) — Request a copy of your personal data
Rectification (Art. 16) — Correct inaccurate or incomplete data
Erasure (Art. 17) — Request deletion of your data ("right to be forgotten")
Portability (Art. 20) — Receive your data in a structured, readable format
Objection (Art. 21) — Object to the processing of your data
Restriction (Art. 18) — Request restriction of processing

You can exercise your access, portability, and erasure rights directly from the Account Settings section of the platform:

"Export My Data" — download all your data in JSON format
"Delete Account" — permanently delete your account and all associated data

For other rights, contact us through the platform.

7. Security

We implement technical and organizational measures to protect your data:

Passwords encrypted with bcrypt algorithm
HTTPS connections with HSTS headers
HttpOnly and SameSite cookies for session protection
Rate limiting against brute-force attacks
Security headers (CSP, X-Frame-Options, X-Content-Type-Options)

8. Complaints

You have the right to lodge a complaint with the Italian Data Protection Authority (Garante per la Protezione dei Dati Personali — www.garanteprivacy.it) if you believe the processing of your data violates the GDPR.