Informativa sulla Privacy | Privacy Policy

Ultimo aggiornamento: Febbraio 2026 | Last updated: February 2026

⚠️

Versione Beta. Heaven's è in fase di beta pubblica e in sviluppo iterativo. Funzionalità, prezzi e i presenti termini possono cambiare senza preavviso. Possono verificarsi malfunzionamenti, perdite temporanee di dati o periodi di indisponibilità del servizio. Il documento sarà sostituito da una versione legalmente verificata prima del lancio pubblico definitivo. Per il solo periodo di beta, l'utilizzo del servizio è offerto a titolo gratuito o a tariffa scontata e senza garanzie esplicite di continuità.

1. Titolare del Trattamento

Il titolare del trattamento dei dati personali è il gestore della piattaforma Heaven's. Il trattamento avviene nel rispetto del Regolamento UE 2016/679 (GDPR) e della normativa italiana in materia di protezione dei dati personali.

2. Dati Raccolti

Raccogliamo e trattiamo le seguenti categorie di dati personali:

Dati forniti direttamente

Dati di registrazione: nome utente, email, password (criptata)
Dati del profilo: foto profilo, biografia, numero di telefono
Dati di salute e fitness: peso, altezza, misure corporee, obiettivi fitness, foto del fisico
Dati nutrizionali: diari alimentari, foto dei pasti, analisi nutrizionali
Certificati medici: documenti caricati per idoneità sportiva

Dati raccolti automaticamente

Dati di accesso: indirizzo IP, data e ora di accesso
Dati di check-in: orari di ingresso in palestra
Dati di utilizzo: interazioni con la piattaforma, preferenze

3. Base Giuridica del Trattamento

Esecuzione del contratto (Art. 6(1)(b) GDPR): per fornire i servizi della piattaforma (creazione account, gestione abbonamenti, prenotazione lezioni, comunicazione con il tuo trainer).
Consenso esplicito per dati sanitari (Art. 9(2)(a) GDPR): peso, altezza, composizione corporea, certificati medici, foto del fisico, allergie, condizioni mediche e altri dati di salute sono "categorie particolari" e vengono trattati solo dopo che ci hai fornito il consenso esplicito al momento dell'inserimento.
Consenso (Art. 6(1)(a) GDPR): per integrazioni opzionali con servizi terzi (es. Spotify) che attivi tu stesso.
Obbligo legale (Art. 6(1)(c) GDPR): conservazione dei dati di pagamento per gli obblighi fiscali italiani (DPR 633/72, periodo di 10 anni).
Interesse legittimo (Art. 6(1)(f) GDPR): sicurezza dell'infrastruttura, prevenzione delle frodi, registri di accesso.

4. Servizi di Terze Parti

Heaven's utilizza i seguenti fornitori di servizi (responsabili del trattamento ex Art. 28 GDPR) che possono trattare i tuoi dati:

Infrastruttura (UE)

Render (UE — Frankfurt, Germania) — Hosting dei server applicativi. Privacy Policy
Supabase (UE — Ireland, AWS eu-west-1) — Database PostgreSQL e archiviazione di file (foto profilo, certificati medici, foto del fisico, media nelle conversazioni). Privacy Policy

Servizi essenziali (USA — trasferimento basato su Clausole Contrattuali Standard)

Stripe (USA, EU subsidiary in Ireland) — Elaborazione pagamenti, gestione abbonamenti, payout ai professionisti. Conforme PCI-DSS; non memorizziamo i dati delle carte di credito. Privacy Policy
Resend (USA) — Invio di email transazionali (verifica email, reset password, notifiche di conferma). Privacy Policy
Google Firebase Cloud Messaging (USA) — Notifiche push sui dispositivi mobili; trattiamo solo il token del dispositivo. Privacy Policy
Google Firebase Crashlytics (USA) — Telemetria anonimizzata di crash dell'app per la diagnostica.
Sentry (USA) — Monitoraggio degli errori del backend; raccoglie tracce di stack e l'identificativo utente. Privacy Policy

Servizi opzionali (attivati dall'utente)

Google Gemini (USA) — Analisi AI delle foto dei pasti. Le immagini vengono inviate solo se utilizzi la funzione di analisi nutrizionale. Privacy Policy
Spotify (Svezia, UE) — Riproduzione musicale (solo se colleghi il tuo account Spotify). Privacy Policy
YouTube (USA) — Riproduzione di video di esercizi incorporati. Privacy Policy
Apple ID / Google Sign-In — Solo se scegli l'accesso social; ricevono solo che hai effettuato l'accesso, nessun dato sanitario.

I trasferimenti di dati verso gli USA si basano sulle Clausole Contrattuali Standard (SCC) della Commissione Europea adottate il 4 giugno 2021. Per i fornitori USA aderenti al EU-US Data Privacy Framework (Stripe, Google) si applica anche la decisione di adeguatezza della Commissione del 10 luglio 2023.

5. Conservazione dei Dati

I tuoi dati personali sono conservati per la durata del tuo account. Alla cancellazione dell'account:

I dati personali e i dati sanitari (peso, foto, certificati medici, diari alimentari, conversazioni) vengono eliminati immediatamente in modo definitivo.
Il record utente viene anonimizzato: username, email, telefono e foto sono cancellati; il record è mantenuto unicamente per preservare l'integrità referenziale dei contenuti pubblici (post di community, commenti) ai quali hai partecipato e che restano visibili in forma anonima.
I dati di pagamento (transazioni Stripe, fatture, payout) vengono trattenuti per 10 anni in ottemperanza all'obbligo fiscale italiano (DPR 633/72, art. 22 e Codice Civile art. 2220). Non includono dati delle carte di credito (gestiti da Stripe).

6. I Tuoi Diritti (GDPR)

In conformità al GDPR, hai i seguenti diritti:

Accesso (Art. 15) — Richiedere una copia dei tuoi dati personali
Rettifica (Art. 16) — Correggere dati inesatti o incompleti
Cancellazione (Art. 17) — Richiedere l'eliminazione dei tuoi dati ("diritto all'oblio")
Portabilità (Art. 20) — Ricevere i tuoi dati in formato strutturato e leggibile
Opposizione (Art. 21) — Opporti al trattamento dei tuoi dati
Limitazione (Art. 18) — Richiedere la limitazione del trattamento

Puoi esercitare i diritti di accesso, portabilità e cancellazione direttamente dalla sezione Impostazioni Account della piattaforma:

"Esporta i Miei Dati" — scarica un JSON strutturato con tutti i tuoi dati. I file media (foto profilo, foto del fisico, certificati medici) sono inclusi come URL; per ottenere i file binari, scarica i file dai relativi link entro 24 ore dall'export.
"Elimina Account" — cancella permanentemente il tuo account e tutti i dati associati (vedi §5 per i dettagli su cosa viene eliminato e cosa viene anonimizzato).

Per gli altri diritti, contattaci tramite la piattaforma.

7. Sicurezza

Adottiamo misure tecniche e organizzative per proteggere i tuoi dati:

Password criptate con algoritmo bcrypt
Connessioni HTTPS con header HSTS
Cookie HttpOnly e SameSite per la protezione della sessione
Limitazione delle richieste (rate limiting) contro attacchi brute-force
Header di sicurezza (CSP, X-Frame-Options, X-Content-Type-Options)

8. Reclami

Hai il diritto di presentare un reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) se ritieni che il trattamento dei tuoi dati violi il GDPR.

1. Data Controller

The data controller is the operator of the Heaven's platform. Data processing is carried out in compliance with EU Regulation 2016/679 (GDPR) and Italian data protection legislation.

2. Data Collected

We collect and process the following categories of personal data:

Data provided directly

Registration data: username, email, password (encrypted)
Profile data: profile photo, bio, phone number
Health and fitness data: weight, height, body measurements, fitness goals, physique photos
Nutritional data: food diaries, meal photos, nutritional analyses
Medical certificates: documents uploaded for sports eligibility

Data collected automatically

Access data: IP address, date and time of access
Check-in data: gym entry times
Usage data: platform interactions, preferences

3. Legal Basis for Processing

Contract performance (Art. 6(1)(b) GDPR): to provide platform services (account creation, subscription management, class booking, communication with your trainer).
Explicit consent for health data (Art. 9(2)(a) GDPR): weight, height, body composition, medical certificates, physique photos, allergies, medical conditions and other health data are "special categories" and are only processed after you have given explicit consent at the time of entry.
Consent (Art. 6(1)(a) GDPR): for optional third-party integrations (e.g. Spotify) that you activate yourself.
Legal obligation (Art. 6(1)(c) GDPR): retention of payment data for Italian fiscal obligations (DPR 633/72, 10-year period).
Legitimate interest (Art. 6(1)(f) GDPR): infrastructure security, fraud prevention, access logs.

4. Third-Party Services

Heaven's uses the following service providers (data processors per GDPR Art. 28) that may process your data:

Infrastructure (EU)

Render (EU — Frankfurt, Germany) — Application server hosting. Privacy Policy
Supabase (EU — Ireland, AWS eu-west-1) — PostgreSQL database and file storage (profile photos, medical certificates, physique photos, conversation media). Privacy Policy

Essential services (USA — transfers under Standard Contractual Clauses)

Stripe (USA, EU subsidiary in Ireland) — Payment processing, subscription management, payouts to professionals. PCI-DSS compliant; we do not store credit card data. Privacy Policy
Resend (USA) — Transactional email delivery (email verification, password reset, confirmation notifications). Privacy Policy
Google Firebase Cloud Messaging (USA) — Push notifications on mobile devices; we only process the device token. Privacy Policy
Google Firebase Crashlytics (USA) — Anonymized app crash telemetry for diagnostics.
Sentry (USA) — Backend error monitoring; collects stack traces and user identifier. Privacy Policy

Optional services (user-activated)

Google Gemini (USA) — AI analysis of meal photos. Images are sent only if you use the nutritional analysis feature. Privacy Policy
Spotify (Sweden, EU) — Music playback (only if you connect your Spotify account). Privacy Policy
YouTube (USA) — Embedded exercise video playback. Privacy Policy
Apple ID / Google Sign-In — Only if you choose social login; they only receive that you have signed in, no health data.

Data transfers to the USA are based on the European Commission's Standard Contractual Clauses (SCC) adopted on 4 June 2021. For US providers adhering to the EU-US Data Privacy Framework (Stripe, Google), the Commission's adequacy decision of 10 July 2023 also applies.

5. Data Retention

Your personal data is retained for the duration of your account. Upon account deletion:

Personal and health data (weight, photos, medical certificates, food diaries, conversations) are immediately and permanently deleted.
The user record is anonymized: username, email, phone and photos are erased; the record is retained solely to preserve the referential integrity of public content (community posts, comments) you participated in, which remains visible in anonymized form.
Payment data (Stripe transactions, invoices, payouts) is retained for 10 years to comply with Italian fiscal obligations (DPR 633/72, art. 22 and Italian Civil Code art. 2220). It does not include credit card data (managed by Stripe).

6. Your Rights (GDPR)

Under the GDPR, you have the following rights:

Access (Art. 15) — Request a copy of your personal data
Rectification (Art. 16) — Correct inaccurate or incomplete data
Erasure (Art. 17) — Request deletion of your data ("right to be forgotten")
Portability (Art. 20) — Receive your data in a structured, readable format
Objection (Art. 21) — Object to the processing of your data
Restriction (Art. 18) — Request restriction of processing

You can exercise your access, portability, and erasure rights directly from the Account Settings section of the platform:

"Export My Data" — download a structured JSON with all your data. Media files (profile photos, physique photos, medical certificates) are included as URLs; to obtain the binary files, download them from the corresponding links within 24 hours of export.
"Delete Account" — permanently delete your account and all associated data (see §5 for details on what is deleted vs anonymized).

For other rights, contact us through the platform.

7. Security

We implement technical and organizational measures to protect your data:

Passwords encrypted with bcrypt algorithm
HTTPS connections with HSTS headers
HttpOnly and SameSite cookies for session protection
Rate limiting against brute-force attacks
Security headers (CSP, X-Frame-Options, X-Content-Type-Options)

8. Complaints

You have the right to lodge a complaint with the Italian Data Protection Authority (Garante per la Protezione dei Dati Personali — www.garanteprivacy.it) if you believe the processing of your data violates the GDPR.