Informativa sulla Privacy di CoachReview

1. Titolare del trattamento

Il titolare del trattamento dei dati degli Utenti è Marcin Jasiński, indirizzo: ul. Długa 75, 84-239 Bolszewo, P. IVA 7742896892, iscritto al registro polacco CEIDG.

Contatto in materia di protezione dei dati: mindmotion.tech@gmail.com o per posta all'indirizzo indicato sopra.

Per i dati degli Allievi inseriti dall'Allenatore, il titolare è di regola l'Allenatore, mentre l'Operatore opera quale responsabile del trattamento ai sensi del DPA allegato ai Termini.

2. Responsabile della protezione dei dati

L'Operatore non ha designato un Responsabile della Protezione dei Dati — non sussiste obbligo di designazione ai sensi dell'art. 37 GDPR. Per qualsiasi richiesta in materia di protezione dei dati si prega di contattare direttamente il titolare all'indirizzo mindmotion.tech@gmail.com.

3. Categorie di dati trattati

Dati dell'account: nome, cognome, e-mail, password (in forma di hash), lingua, fuso orario, dati del profilo pubblico (se pubblicato), dati di fatturazione.

Dati tecnici: indirizzo IP, identificatori di dispositivo e browser, log degli eventi, dati diagnostici e dati cookie.

Dati degli Allievi inseriti dall'Allenatore: nome, dati di contatto, note, documenti, materiali, video, calendario disponibilità e altre informazioni connesse all'allenamento.

Le categorie particolari di dati (art. 9 GDPR), come i dati relativi alla salute, possono essere inserite solo se l'Allenatore dispone di una base giuridica adeguata.

4. Finalità e basi giuridiche

Erogazione del Servizio e gestione dell'account – art. 6, par. 1, lett. b) GDPR.

Pagamenti e fatturazione – art. 6, par. 1, lett. b) e c) GDPR (obblighi fiscali e contabili).

Sicurezza, prevenzione delle frodi e logging – art. 6, par. 1, lett. f) GDPR (legittimo interesse alla protezione del Servizio).

Reclami e gestione di pretese – art. 6, par. 1, lett. b), c) e f) GDPR.

Comunicazioni di marketing – art. 6, par. 1, lett. a) GDPR (consenso) e disciplina ePrivacy.

Adempimento di obblighi DSA e di altre norme – art. 6, par. 1, lett. c) GDPR.

5. Origine dei dati

La maggior parte dei dati è fornita direttamente dall'Utente (registrazione, profilo, pagamento).

Alcuni dati sono generati durante l'uso (log, metadati tecnici).

I dati degli Allievi sono forniti dall'Allenatore.

6. Destinatari e responsabili del trattamento

I dati possono essere trattati dalle seguenti categorie di fornitori che operano per conto del titolare: hosting e infrastrutture cloud, archiviazione di oggetti (es. Amazon S3 o Cloudflare R2), e-mail transazionale, il processore di pagamento Stripe Payments Europe, Ltd., monitoraggio e logging, strumenti di assistenza clienti.

I dati possono essere comunicati alle autorità pubbliche quando richiesto dalla legge.

Un elenco aggiornato dei responsabili e delle relative ubicazioni viene fornito su richiesta all'indirizzo mindmotion.tech@gmail.com.

7. Trasferimenti extra-SEE

Alcuni responsabili possono trattare i dati al di fuori dello Spazio Economico Europeo, in particolare negli USA. Il titolare adotta garanzie adeguate, tra cui le Clausole Contrattuali Standard della Commissione Europea e, per destinatari USA, il EU-US Data Privacy Framework qualora certificati.

Una copia delle garanzie è disponibile su richiesta al titolare.

8. Tempi di conservazione

I dati dell'account sono conservati per la durata del Contratto e per il tempo necessario al suo perfezionamento e alla gestione dei reclami.

I dati di fatturazione sono conservati per il periodo previsto dalla normativa fiscale e civilistica (in genere 10 anni ai sensi dell'art. 2220 c.c.).

I dati necessari per la difesa di diritti sono conservati fino allo scadere dei termini di prescrizione.

I video pubblicati sono conservati per il periodo di disponibilità previsto dal piano scelto (6 mesi per Solo, 12 mesi per Pro), a partire dalla data di pubblicazione. Trascorso tale periodo, il video viene spostato automaticamente nel cestino e resta ripristinabile per 30 giorni; allo scadere viene eliminato definitivamente insieme al file associato nello storage a oggetti (Cloudflare R2 o Amazon S3). Le bozze non pubblicate vengono eliminate 30 giorni dopo la creazione. Le regole di dettaglio, compresa la procedura in caso di cambio piano, sono descritte nei Termini (punto 6a).

I dati tecnici e i log di sicurezza sono conservati al massimo 12 mesi, salvo necessità per incidenti in corso.

9. Diritti degli interessati

Gli interessati hanno diritto di accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione (art. 18), portabilità (art. 20), opposizione (art. 21) e di revocare il consenso quando questo costituisce la base.

Le richieste possono essere effettuate dalle impostazioni dell'account o scrivendo a mindmotion.tech@gmail.com. Il titolare risponde senza ingiustificato ritardo, comunque entro un mese.

È riconosciuto il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità di controllo competente nel paese di residenza abituale.

10. Decisioni automatizzate e profilazione

Il titolare non adotta decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano significativamente sugli Utenti ai sensi dell'art. 22 GDPR.

11. Cookie e tecnologie analoghe

Il Servizio utilizza cookie e tecnologie simili. I cookie strettamente necessari (autenticazione, sicurezza, funzionamento) non richiedono consenso. I cookie analitici, di marketing e altri non essenziali richiedono consenso espresso, libero e informato, revocabile in qualsiasi momento.

Il banner cookie consente di accettare, rifiutare o personalizzare. L'elenco dettagliato è disponibile nelle impostazioni dei cookie.

12. Sicurezza

Il titolare adotta misure tecniche e organizzative adeguate, tra cui cifratura TLS, hashing delle password, controlli di accesso basati su ruoli, principio del minimo privilegio, backup regolari e monitoraggio degli eventi.

In caso di violazione dei dati che possa comportare un rischio per i diritti e le libertà degli interessati, il titolare effettua la notifica all'autorità di controllo entro 72 ore e, ove necessario, agli interessati.

13. Dati utente Google e Google API Services

Ambiti richiesti: https://www.googleapis.com/auth/calendar.events.freebusy (lettura di disponibilità/occupazione su Google Calendar).

Dati a cui si accede: blocchi di tempo libero/occupato del calendario Google principale del Coach per la settimana selezionata. L'Operatore non accede a titoli, descrizioni, partecipanti, luoghi, allegati o altri contenuti degli eventi.

Finalità: calcolare le finestre di disponibilità affinché il Coach possa importarle nel calendario di disponibilità di CoachReview. I dati utente Google sono usati esclusivamente per mostrare le finestre libere/occupate al Coach che ha collegato l'account e non per altre finalità.

Conservazione: il refresh token emesso da Google è conservato cifrato e utilizzato solo per interrogare disponibilità/occupazione su richiesta del Coach. Le risposte free/busy sono elaborate in memoria; vengono conservate in modo persistente solo le finestre di disponibilità che il Coach sceglie di importare.

Condivisione: i dati utente Google non vengono venduti, condivisi con terzi a fini pubblicitari o utilizzati per addestrare modelli di IA/ML. CoachReview non trasferisce i dati utente Google a terzi se non quando necessario per fornire o migliorare l'integrazione, adempiere a obblighi di legge o nell'ambito di fusione, acquisizione o cessione di asset, con preavviso agli Utenti.

Limited Use: l'uso e il trasferimento a qualsiasi altra app delle informazioni ricevute dalle Google APIs è conforme alla Google API Services User Data Policy, inclusi i requisiti di Limited Use.

Revoca: il Coach può disconnettere Google Calendar in qualsiasi momento dalle impostazioni dell'account o revocare l'accesso su https://myaccount.google.com/permissions. Alla disconnessione il refresh token viene cancellato.

14. Modifiche dell'informativa

L'informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate per e-mail e con la data riportata in alto. Le versioni precedenti sono conservate ai fini dell'accountability.