Scalea

Informativa Privacy

đź”’

Informativa sul Trattamento dei Dati Personali

ai sensi del Regolamento UE 2016/679 (GDPR)

Versione 1.0 — Aprile 2026

1Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Scalea è:

Alessandro Zingone

Email: privacy@scalea.app

Per qualsiasi questione relativa al trattamento dei Suoi dati personali, l'utente può contattare il Titolare all'indirizzo email indicato sopra.

2Tipologie di Dati Raccolti

2.1 Dati forniti direttamente dall'utente

  • Dati anagrafici: nome, cognome, indirizzo email
  • Credenziali di accesso: email e password (archiviata in forma di hash con algoritmo bcrypt, non reversibile)
  • Dati di profilo professionale (solo PT): specializzazioni, disponibilitĂ  oraria
  • Contenuti generati: schede di allenamento, note, messaggi chat

2.2 Dati sanitari (categoria speciale ai sensi dell'art. 9 GDPR)

La piattaforma tratta, su esplicita richiesta e con consenso espresso dell'utente, le seguenti categorie di dati sanitari:

  • Misurazioni corporee: peso, altezza, circonferenze, percentuale di massa grassa
  • Dati attivitĂ  fisica: allenamenti svolti, serie, ripetizioni, carichi
  • Parametri di benessere giornaliero: ore di sonno, livello di idratazione, umore, funzioni fisiologiche (configurati dal PT)
  • Dati provenienti da app di salute (Apple Health, Google Health Connect, Garmin, Fitbit, Oura, Whoop) — solo previo consenso esplicito
  • Foto dei progressi fisici — visibili esclusivamente al Personal Trainer assegnato

Il trattamento di dati sanitari è fondato sul consenso esplicito dell'interessato (art. 9, par. 2, lett. a del GDPR). Il tap di conferma nel diario giornaliero costituisce atto di consenso tracciato con timestamp.

2.3 Dati raccolti automaticamente

  • Dati di log tecnici: indirizzo IP, browser, sistema operativo, timestamp di accesso
  • Dati di sessione: token JWT per l'autenticazione (archiviati in cookie httpOnly)

3FinalitĂ  e Basi Giuridiche del Trattamento

Il trattamento dei dati personali avviene per le seguenti finalitĂ :

a) Erogazione del servizio

base giuridica: contratto — art. 6, par. 1, lett. b

  • âś“Creazione e gestione dell'account utente
  • âś“Fornitura delle funzionalitĂ  della piattaforma (schede, diario, appuntamenti, chat)
  • âś“Comunicazione tra Personal Trainer e cliente

b) Trattamento dati sanitari

base giuridica: consenso esplicito — art. 9, par. 2, lett. a

  • âś“Compilazione e consultazione del diario giornaliero
  • âś“Tracciamento sessioni di allenamento e recuperi
  • âś“Generazione di insights comportamentali per il PT
  • âś“Notifiche intelligenti al cliente basate sui dati del diario

c) Obblighi legali

base giuridica: obbligo legale — art. 6, par. 1, lett. c

  • âś“Adempimenti fiscali e contabili connessi ai pagamenti
  • âś“Risposta a richieste delle autoritĂ  competenti

d) Legittimo interesse

base giuridica: art. 6, par. 1, lett. f

  • âś“Sicurezza della piattaforma e prevenzione delle frodi
  • âś“Miglioramento del servizio tramite analisi aggregate e anonime

4Periodo di Conservazione dei Dati

Dati account e profilo

Durata del rapporto contrattuale + 10 anni (obblighi fiscali)

Dati sanitari (diario, sessioni, check-in)

Durata del rapporto + 1 anno, salvo diversa richiesta

Foto progressi

Fino alla cancellazione esplicita da parte del PT o del cliente

Dati di log tecnici

12 mesi

Messaggi chat

Durata del rapporto + 1 anno

Alla cessazione del rapporto contrattuale, l'utente può richiedere la cancellazione immediata di tutti i dati sanitari tramite la funzione "Elimina account" nelle impostazioni.

5Condivisione e Trasferimento dei Dati

5.1 Accesso interno

I dati sanitari del cliente sono accessibili esclusivamente al Personal Trainer assegnato. Nessun altro utente della piattaforma può accedervi.

5.2 Fornitori tecnici (responsabili del trattamento)

  • Server di hosting: server privato gestito dal Titolare, ubicato in territorio UE
  • Storage media (MinIO): server privato gestito dal Titolare per l'archiviazione di video e foto
  • Groq Inc.: elaborazione AI per la generazione di insights e notifiche. I dati inviati a Groq sono aggregati e privi di identificatori diretti
  • Firebase (Google): invio di notifiche push. Vengono trasmessi solo token di dispositivo, senza dati sanitari

Scalea NON vende né cede i dati personali a terzi per finalità commerciali o pubblicitarie.

5.3 Trasferimenti internazionali

Groq Inc. ha sede negli Stati Uniti. Il trasferimento avviene nel rispetto delle garanzie previste dall'art. 46 GDPR (Clausole Contrattuali Standard). I dati sanitari non vengono mai trasmessi a Groq in forma identificabile.

6Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:

  • Accesso: ottenere conferma del trattamento e copia dei dati personali
  • Rettifica: correggere dati inesatti o incompleti
  • Cancellazione ("diritto all'oblio"): ottenere la cancellazione dei propri dati
  • Limitazione: limitare il trattamento in determinati casi
  • PortabilitĂ : ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico
  • Opposizione: opporsi al trattamento basato su legittimo interesse
  • Revoca del consenso: revocare in qualsiasi momento il consenso al trattamento dei dati sanitari, senza pregiudizio per la liceitĂ  del trattamento precedente

Per esercitare i propri diritti, inviare richiesta a: privacy@scalea.app — Il Titolare risponderà entro 30 giorni. L'utente ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

7Misure di Sicurezza

Scalea adotta le seguenti misure tecniche e organizzative per proteggere i dati personali:

  • Hashing delle password con algoritmo bcrypt (cost factor 12)
  • Autenticazione tramite JWT (durata 15 minuti) con refresh token in cookie httpOnly e secure (protetto da attacchi XSS e CSRF)
  • Comunicazioni cifrate end-to-end tramite protocollo HTTPS/TLS 1.2+
  • Storage dei file (foto progressi, documenti) su server con cifratura at-rest del filesystem
  • Database PostgreSQL con accesso ristretto da rete privata e backup periodici
  • Accesso ai dati filtrato per trainerId/clientId a livello applicativo: ogni query verifica la titolaritĂ  della risorsa
  • Server in territorio UE (DigitalOcean Frankfurt) con accesso fisico limitato secondo standard ISO 27001 del provider
  • Validazione rigorosa di tutti gli input lato server (Zod schemas) contro SQL injection e XSS
  • Rate limiting sugli endpoint di autenticazione per prevenire attacchi brute-force

Stiamo valutando l'implementazione di cifratura applicativa AES-256 aggiuntiva sui dati sanitari piĂą sensibili (anamnesi, foto progressi). Aggiorneremo questa policy non appena tale misura sarĂ  attivata.

8Cookie e Tecnologie di Tracciamento

La piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio:

  • refreshToken: cookie httpOnly utilizzato per mantenere la sessione autenticata (durata: 7 giorni)

Non vengono utilizzati cookie di profilazione, cookie di terze parti a scopo pubblicitario, né tecnologie di tracciamento comportamentale.

9Minori

La piattaforma Scalea è destinata a utenti maggiorenni. Non raccogliamo consapevolmente dati personali di minori di 18 anni. Qualora venissimo a conoscenza di dati di minori raccolti senza consenso genitoriale, procederemo alla loro immediata cancellazione.

10Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate agli utenti tramite notifica in-app o email con almeno 30 giorni di anticipo rispetto all'entrata in vigore.

Data di ultima modifica: Aprile 2026

Per esercitare i tuoi diritti: privacy@scalea.app

Termini e CondizioniTorna alla home