Informativa sulla Privacy

Ultimo aggiornamento: 7 giugno 2026 — Versione 1.0

La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e descrive le modalità di trattamento dei dati personali degli utenti dell'applicazione mobile CosmoFitness e del sito web cosmofitness.ai (di seguito, congiuntamente, la "Piattaforma").

1. Titolare del trattamento

Il Titolare del trattamento è Alan Primicerio, con sede in Via Timavo 3, Genova (GE), Codice Fiscale PRMLNA86H02D969L.
Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile scrivere a: privacy@cosmofitness.ai.
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti di legge.

2. Tipologie di dati trattati

In relazione all'utilizzo della Piattaforma possono essere trattate le seguenti categorie di dati:

– Dati di registrazione e profilo: nome, cognome, indirizzo e-mail, numero di telefono, data di nascita, genere, città e provincia di residenza, foto profilo, eventuali handle dei profili social inseriti volontariamente.
– Dati specifici dei Personal Trainer: descrizione professionale, specializzazioni, tariffe, attestati e certificazioni professionali caricati ai fini della verifica del profilo, dati necessari al pagamento dei compensi.
– Dati specifici delle Palestre: denominazione, indirizzo e coordinate geografiche della struttura, fotografie, orari, tariffe, dati identificativi e di contatto del coordinatore.
– Dati di prenotazione e utilizzo: prenotazioni effettuate, partecipanti, storico transazioni, saldo e movimenti del wallet Coin, abbonamenti attivi, ingressi presso le strutture.
– Dati di pagamento: i pagamenti sono gestiti dal fornitore Stripe. I dati completi della carta di pagamento non transitano e non vengono mai memorizzati sui sistemi del Titolare, che conserva esclusivamente l'esito della transazione e gli identificativi tecnici necessari.
– Dati di fatturazione: se l'utente richiede fattura, vengono raccolti i dati fiscali necessari (denominazione, Codice Fiscale, Partita IVA, codice SDI/PEC, indirizzo).
– Dati di geolocalizzazione: previa autorizzazione del sistema operativo, la posizione del dispositivo è utilizzata esclusivamente mentre l'app è in uso, per mostrare le strutture sulla mappa e calcolare le distanze. La posizione non viene memorizzata sui server del Titolare.
– Dati relativi alle notifiche push: token tecnico del dispositivo (Firebase Cloud Messaging / Apple Push Notification service) e stato di autorizzazione alle notifiche.
– Dati di accesso alle strutture: per le palestre dotate di serratura smart, la Piattaforma registra gli eventi di apertura associati alla prenotazione, a fini di sicurezza e di corretta erogazione del servizio.
– Dati di assistenza: contenuto delle richieste inviate tramite ticket di supporto.
– Dati tecnici: log di sistema, identificativi del dispositivo, informazioni necessarie alla sicurezza e al corretto funzionamento della Piattaforma.

3. Finalità e basi giuridiche del trattamento

– Erogazione del servizio (creazione e gestione dell'account, prenotazioni, pagamenti, abbonamenti, accesso alle strutture, assistenza): la base giuridica è l'esecuzione del contratto (art. 6.1.b GDPR).
– Adempimento di obblighi di legge (fatturazione, obblighi contabili e fiscali): base giuridica è l'obbligo legale (art. 6.1.c GDPR).
– Sicurezza della Piattaforma, prevenzione di frodi e abusi, tutela in sede giudiziaria: base giuridica è il legittimo interesse del Titolare (art. 6.1.f GDPR).
– Invio di comunicazioni promozionali e newsletter: base giuridica è il consenso dell'interessato (art. 6.1.a GDPR), liberamente revocabile in ogni momento.
– Attività di profilazione finalizzata a proporre contenuti e offerte personalizzate: base giuridica è il consenso dell'interessato (art. 6.1.a GDPR), liberamente revocabile.
– Utilizzo della geolocalizzazione e invio di notifiche push: base giuridica è il consenso, espresso tramite le autorizzazioni del sistema operativo e revocabile in qualsiasi momento dalle impostazioni del dispositivo.

Il conferimento dei dati necessari all'erogazione del servizio è indispensabile: in sua assenza non è possibile registrarsi o utilizzare la Piattaforma. Il conferimento dei dati per finalità basate sul consenso è sempre facoltativo.

4. Destinatari dei dati

I dati personali possono essere comunicati a:

– Fornitori di servizi tecnici che agiscono quali responsabili del trattamento ex art. 28 GDPR: Supabase (hosting del database e autenticazione), Google Ireland / Google LLC (servizi Firebase, incluse le notifiche push), Apple (distribuzione dell'app e notifiche push su dispositivi iOS), Stripe (gestione dei pagamenti), Vercel (hosting del sito web), Nuki (sistemi di accesso smart alle strutture convenzionate).
– Palestre e Personal Trainer: in caso di prenotazione, i dati strettamente necessari alla gestione della stessa (quali nome, prenotazione effettuata, numero di partecipanti) sono condivisi con la struttura e il professionista interessati, che li trattano quali autonomi titolari per l'erogazione delle proprie prestazioni.
– Autorità pubbliche, consulenti e professionisti, nei casi previsti dalla legge.

I dati personali non sono oggetto di diffusione, fatta eccezione per le informazioni che l'utente sceglie volontariamente di rendere pubbliche sul proprio profilo (ad esempio il profilo professionale dei Personal Trainer e delle Palestre, visibile agli altri utenti).

5. Trasferimenti di dati verso Paesi terzi

Alcuni dei fornitori indicati hanno sede o server negli Stati Uniti o in altri Paesi extra-UE. In tali casi il trasferimento avviene sulla base di una decisione di adeguatezza della Commissione Europea (incluso l'EU-U.S. Data Privacy Framework, ove il fornitore vi aderisca) ovvero delle Clausole Contrattuali Standard approvate dalla Commissione Europea, unitamente a misure supplementari ove necessarie.

6. Periodo di conservazione

– I dati dell'account sono conservati per tutta la durata del rapporto e cancellati a seguito dell'eliminazione dell'account, richiedibile in autonomia dalla sezione Profilo, Informazioni personali, Elimina account.
– I dati di fatturazione e i documenti fiscali sono conservati per 10 anni, in adempimento degli obblighi di legge.
– I dati trattati sulla base del consenso sono conservati fino alla revoca dello stesso.
– I log tecnici e di sicurezza sono conservati per il tempo strettamente necessario alle finalità di sicurezza.

7. Diritti dell'interessato

L'interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR: accesso ai dati, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione al trattamento, revoca del consenso (senza pregiudizio per la liceità del trattamento effettuato prima della revoca).
Le richieste possono essere inviate a privacy@cosmofitness.ai. L'interessato ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

8. Minori

La Piattaforma è riservata a utenti che abbiano compiuto 16 anni. Il Titolare non raccoglie consapevolmente dati di minori di 16 anni; qualora ne venisse a conoscenza, provvederà alla loro tempestiva cancellazione.

9. Processi decisionali automatizzati

Il Titolare non adotta processi decisionali interamente automatizzati che producano effetti giuridici sull'interessato. Le eventuali attività di profilazione a fini promozionali sono svolte esclusivamente previo consenso dell'utente.

10. Modifiche alla presente informativa

Il Titolare si riserva di modificare o aggiornare la presente informativa. Le modifiche sostanziali saranno comunicate tramite la Piattaforma. La versione aggiornata è sempre disponibile nell'app e all'indirizzo cosmofitness.ai/privacy.