Privacy Policy

Il Titolare del Trattamento dei dati personali è Diego Truant, in qualità di sviluppatore e titolare della piattaforma Velolab. Per esercitare i tuoi diritti o per qualsiasi informazione relativa al trattamento dei tuoi dati personali, puoi contattarci ai seguenti recapiti:

• —Email: diego@ddtraining.it
• —Responsabile della Protezione dei Dati (DPO): diego@ddtraining.it

Trattiamo le seguenti categorie di dati personali:

Dati comuni (Art. 6 GDPR):

• —Dati anagrafici: nome, cognome, indirizzo email
• —Dati di profilo: data di nascita, peso, altezza, somatotipo, disponibilità settimanale all'allenamento
• —Dati di autenticazione: credenziali di accesso (password conservata in forma hash sicuro)
• —Dati tecnici: indirizzo IP, tipo di dispositivo, sistema operativo, log di accesso
• —Dati di utilizzo: interazioni con la piattaforma, preferenze di configurazione

Dati particolari relativi alla salute (Art. 9 GDPR) — trattati solo con consenso esplicito:

• —Dati fisiologici: frequenza cardiaca, HRV (variabilità della frequenza cardiaca), intervalli R-R
• —Dati di performance atletica: potenza, cadenza, velocità, dati GPS, file FIT di allenamento
• —Parametri metabolici stimati: VO₂max, VLamax, CP (Critical Power), W', Pmax, MLSS, FatMax
• —Stato di recupero: readiness giornaliero, punteggi del sonno (tramite Oura Ring, se connesso)
• —Calendario gare e obiettivi sportivi

Nota sui dati sanitari:I dati fisiologici (HRV, frequenza cardiaca) rientrano nelle "categorie particolari di dati" ai sensi dell'Art. 9 GDPR. Il loro trattamento avviene esclusivamente sulla base del tuo consenso esplicito, che puoi revocare in qualsiasi momento.

• —Erogazione del servizio (Art. 6(1)(b) — esecuzione del contratto): creazione e gestione account, fornitura delle funzionalità della piattaforma, comunicazioni di servizio.
• —Analisi fisiologica e coaching (Art. 9(2)(a) — consenso esplicito): elaborazione di dati HRV, file FIT e parametri metabolici per generare analisi, piani di allenamento e profili atletici.
• —Intelligenza Artificiale (Centauro) (Art. 6(1)(a) — consenso): utilizzo dei dati di performance per generare risposte personalizzate dell'assistente AI del coach.
• —Integrazioni di terze parti (Strava, Oura) (Art. 6(1)(a) — consenso): acquisizione di dati di allenamento e salute tramite API di terze parti previo collegamento esplicito dell'account.
• —Obblighi legali (Art. 6(1)(c)): conservazione di dati per adempimento fiscale e normativo.
• —Miglioramento del servizio (Art. 6(1)(f) — legittimo interesse): analisi aggregate e anonime per migliorare funzionalità e sicurezza della piattaforma.

• —Dati di account: per tutta la durata del contratto + 30 giorni dalla cancellazione dell'account
• —Dati di allenamento e fisiologici: fino alla cancellazione dell'account o revoca del consenso
• —Log tecnici e di sicurezza: 12 mesi
• —Dati fiscali e contabili: 10 anni (obbligo di legge)
• —Dati per contenziosi: fino alla definizione del procedimento

Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro e irreversibile.

I tuoi dati personali possono essere condivisi con:

• —Il tuo coach assegnato: accede ai dati di allenamento, HRV e profilo atletico per erogare il servizio di coaching.
• —Supabase Inc. (database e autenticazione): Responsabile del Trattamento ai sensi dell'Art. 28 GDPR. Server localizzati in EU-West (Parigi). DPA disponibile su supabase.com/privacy.
• —Render Services Inc. (analisi fisiologica): elabora file FIT per calcolo parametri metabolici. Server US-West. Trasferimento regolato da Clausole Contrattuali Standard (SCC).
• —Vercel Inc. (hosting web app): CDN e server-side rendering. DPA disponibile su vercel.com/legal/dpa.
• —Non vendiamo mai i tuoi dati a terzi per finalità di profilazione commerciale o marketing.

Alcuni dei nostri fornitori tecnici (Render, Vercel) hanno sede negli Stati Uniti. I trasferimenti di dati verso paesi extra-UE avvengono nel rispetto del GDPR, tramite:

• —Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE)
• —Garanzie supplementari per la sicurezza dei dati in transito (TLS 1.3) e a riposo (AES-256)

In qualità di interessato, hai i seguenti diritti:

• —Accesso (Art. 15): ottenere conferma se trattiamo tuoi dati e richiederne copia.
• —Rettifica (Art. 16): correggere dati inesatti o incompleti.
• —Cancellazione (Art. 17): richiedere la cancellazione dei tuoi dati ("diritto all'oblio").
• —Limitazione (Art. 18): limitare il trattamento in determinate circostanze.
• —Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato e leggibile (JSON, CSV).
• —Opposizione (Art. 21): opporti al trattamento basato su legittimo interesse.
• —Revoca del consenso (Art. 7(3)): revocare in qualsiasi momento il consenso senza pregiudizio per i trattamenti già effettuati.
• —Decisioni automatizzate (Art. 22): il profilo fisiologico e il fenotipo atletico sono generati da algoritmi. Hai diritto a richiedere l'intervento umano e a contestare i risultati.

Per esercitare i tuoi diritti, scrivi a diego@ddtraining.it o utilizza la sezione Impostazioni → Privacydell'app. Risponderemo entro 30 giorni.

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di presentare reclamo all'autorità di controllo competente. Per gli utenti residenti in Italia:

• —Garante per la Protezione dei Dati Personali
• —Sito web: https://www.garanteprivacy.it
• —Email: garante@gpdp.it
• —Telefono: +39 06 69677 1

• —Cifratura in transito: TLS 1.3 per tutte le comunicazioni
• —Cifratura a riposo: AES-256 per dati nel database
• —Password: conservate in forma hash bcrypt, mai in chiaro
• —Autenticazione: session token con scadenza e refresh automatico
• —Accesso ai dati: controllo basato su ruoli (coach/atleta) con Row Level Security (RLS) a livello database
• —Monitoraggio: log degli accessi con alert automatici per comportamenti anomali

Per informazioni dettagliate sull'uso dei cookie, consulta la nostra Cookie Policy.

Il Servizio è rivolto a utenti di almeno 16 anni(soglia minima per il consenso autonomo ai sensi dell'Art. 8 GDPR, recepito in Italia con D.Lgs. 101/2018). Per atleti di età inferiore è richiesto il consenso esplicito del genitore o tutore legale. Il coach che invita un atleta minorenne è responsabile di aver ottenuto tale consenso preventivo.

La presente informativa può essere aggiornata per riflettere modifiche normative o tecniche. Le modifiche sostanziali saranno notificate via email e tramite avviso in-app con almeno 30 giorni di preavviso. La versione vigente è sempre disponibile su questa pagina con la data di ultimo aggiornamento.

L'integrazione con Stravaconsente di sincronizzare automaticamente le tue attività sportive. VELO Lab opera nel pieno rispetto della "Strava API Agreement" e della "Strava Data Usage Policy".

• —I dati ottenuti tramite le API di Strava (es. tracciati GPS, potenza, frequenza cardiaca) sono utilizzati esclusivamente per permettere al tuo Coach di analizzare le tue performance e pianificare gli allenamenti.
• —VELO Lab non condivide né vende i dati ottenuti da Strava con reti pubblicitarie, broker di dati o altri servizi di terze parti per finalità commerciali.
• —L'accesso ai dati può essere revocato in qualsiasi momento dall'utente tramite le opzioni di integrazione in Velolab o tramite le impostazioni del proprio profilo su Strava.com.