INFORMATIVA PRIVACY
Versione 1.0 - Giugno 2025
1. IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento dei dati personali è Runtheons S.R.L.:
- Sede legale: Via Desenzano, 1, 25087 Salò (BS), Italia
- Codice Fiscale e Partita IVA: 04517900983
- Email: hello@runtheons.com
- Email Privacy: privacy@runtheons.com
- Sito web: runtheons.com
Per qualsiasi questione relativa al trattamento dei dati personali, è possibile contattare il Titolare all'indirizzo privacy@runtheons.com.
2. CATEGORIE DI DATI PERSONALI TRATTATI
Runtheons raccoglie e tratta le seguenti categorie di dati personali:
2.1 Dati Anagrafici e di Identificazione
- Nome, cognome, data di nascita, sesso
- Indirizzo email (identificativo principale dell'account)
- Password (conservata in forma cifrata)
- Foto del profilo (facoltativa)
2.2 Dati di Profilo Sportivo
- Sport praticato e specialità
- Livello atletico (amatoriale, semi-professionista, professionista)
- Anni di esperienza sportiva
- Obiettivi sportivi e performance target
2.3 Dati Sanitari e Biometrici (Categorie Particolari)
- Parametri fisici: altezza, peso, composizione corporea
- Dati biometrici: frequenza cardiaca, variabilità cardiaca, pressione sanguigna, saturazione ossigeno
- Informazioni cliniche: infortuni pregressi, patologie, limitazioni fisiche, dolori
- Referti medici: documenti sanitari caricati dall'utente
- Dati da dispositivi wearable: metriche di performance, sonno, stress, recupero
- Allergie e intolleranze alimentari
- Video e immagini: per analisi biomeccanica
2.4 Dati Nutrizionali e Stile di Vita
- Preferenze e abitudini alimentari
- Orari dei pasti e regime dietetico
- Informazioni su sonno, stress, stile di vita
- Consumo di integratori o farmaci (se dichiarato)
2.5 Dati Psicologici e di Benessere Mentale
- Auto-valutazioni su motivazione, concentrazione, stress
- Note e riflessioni personali nel diario
- Parametri di benessere mentale e emotivo
2.6 Dati di Geolocalizzazione
- Posizione geografica attuale (se autorizzata)
- Percorsi di allenamento (tracce GPS)
- Indirizzi di casa, lavoro e luoghi frequentati (se forniti)
- Dati di altitudine e velocità durante attività outdoor
2.7 Dati di Comunicazione
- Contenuto delle conversazioni con Alfred (chat AI)
- Comandi vocali e testuali
- Messaggi di supporto e assistenza
- Cronologia delle interazioni
2.8 Dati di Utilizzo e Tecnici
- Log di accesso e utilizzo della piattaforma
- Indirizzo IP, tipo di dispositivo, sistema operativo
- Identificatori univoci del dispositivo
- Tempo di utilizzo e funzionalità accedute
- Dati di sessione e preferenze utente
2.9 Dati di Pagamento e Fatturazione
- Piano di abbonamento scelto e stato pagamenti
- Dati per fatturazione (nome, indirizzo se richiesto)
- Storico transazioni e ID cliente Stripe
- Informazioni per programmi referral
2.10 Contenuti Caricati dall'Utente
- Video per analisi biomeccanica
- Documenti, file Excel, PDF caricati
- Foto e immagini caricate
- Note e annotazioni nel diario personale
3. FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA
3.1 Fornitura del Servizio di Coaching Personalizzato
Base giuridica: Esecuzione del contratto (art. 6(1)(b) GDPR) + Consenso esplicito per dati sanitari (art. 9(2)(a) GDPR)
Finalità:
- Creazione e aggiornamento del Digital Twin personalizzato
- Generazione di piani di allenamento, nutrizionali e mentali su misura
- Monitoraggio in tempo reale delle condizioni fisiche e performance
- Adattamento dinamico dei programmi in base ai progressi
- Analisi biomeccanica dei video caricati
- Assistenza tramite chat AI (Alfred)
- Integrazione con dispositivi wearable e applicazioni fitness
- Previsione del rischio di infortuni e consigli preventivi
3.2 Gestione dell'Account e del Servizio
Base giuridica: Esecuzione del contratto (art. 6(1)(b) GDPR)
Finalità:
- Registrazione e autenticazione utente
- Gestione dell'abbonamento e dei pagamenti
- Comunicazioni di servizio e notifiche operative
- Supporto tecnico e assistenza clienti
- Sincronizzazione con calendari e servizi esterni
3.3 Miglioramento del Servizio e Ricerca
Base giuridica: Consenso (art. 6(1)(a) GDPR) + Consenso esplicito per dati sanitari (art. 9(2)(a) GDPR)
Finalità:
- Miglioramento degli algoritmi di intelligenza artificiale
- Sviluppo di nuove funzionalità e servizi
- Ricerca interna per ottimizzare i modelli predittivi
- Analisi aggregate e statistiche anonime
- Addestramento e affinamento dei modelli AI
3.4 Sicurezza e Prevenzione Frodi
Base giuridica: Legittimo interesse (art. 6(1)(f) GDPR)
Finalità:
- Protezione dell'account e prevenzione accessi non autorizzati
- Rilevazione e prevenzione di frodi nei pagamenti
- Monitoraggio della sicurezza della piattaforma
- Backup e ripristino dei dati
3.5 Adempimenti Legali
Base giuridica: Obbligo legale (art. 6(1)(c) GDPR)
Finalità:
- Adempimento di obblighi fiscali e contabili
- Conservazione di registri per finalità legali
- Risposta a richieste legittime delle autorità
4. DESTINATARI DEI DATI E TRASFERIMENTI INTERNAZIONALI
I dati personali possono essere comunicati ai seguenti destinatari:
4.1 Fornitori di Servizi Tecnologici (Responsabili del Trattamento)
Terra API (Try Terra)
- Finalità: Integrazione con dispositivi wearable e app fitness
- Dati condivisi: Dati biometrici e di performance da dispositivi connessi
- Ubicazione: Regno Unito/Stati Uniti
- Garanzie: Clausole contrattuali standard (SCC)
OpenAI
- Finalità: Servizi di intelligenza artificiale per chat e analisi
- Dati condivisi: Messaggi chat, richieste di analisi (pseudonimizzati quando possibile)
- Ubicazione: Stati Uniti
- Garanzie: Clausole contrattuali standard, certificazioni di sicurezza
Anthropic (Claude)
- Finalità: Servizi di intelligenza artificiale avanzata
- Dati condivisi: Contenuti delle conversazioni per elaborazione AI
- Ubicazione: Stati Uniti
- Garanzie: Clausole contrattuali standard
Google LLC
- Finalità: Google Calendar (sincronizzazione), Google Maps (geolocalizzazione), Google Cloud (infrastruttura)
- Dati condivisi: Eventi calendario, coordinate geografiche, dati di backup
- Ubicazione: Stati Uniti (server possibilmente in UE)
- Garanzie: Clausole contrattuali standard, certificazioni Google
Stripe Inc.
- Finalità: Elaborazione pagamenti e gestione abbonamenti
- Dati condivisi: Dati di fatturazione, informazioni transazioni
- Ubicazione: Stati Uniti
- Garanzie: Certificazione PCI DSS, clausole contrattuali standard
Amazon Web Services (AWS)
- Finalità: Hosting, storage e infrastruttura cloud
- Dati condivisi: Tutti i dati della piattaforma per storage e elaborazione
- Ubicazione: Preferibilmente regioni UE (da confermare)
- Garanzie: Clausole contrattuali standard AWS
Eleven Labs
- Finalità: Sintesi vocale (text-to-speech)
- Dati condivisi: Testo dei report e analisi per conversione audio
- Ubicazione: Stati Uniti
- Garanzie: Clausole contrattuali standard
4.2 Altri Servizi di Terze Parti
Perplexity AI
- Finalità: Ricerche web avanzate
- Dati condivisi: Query di ricerca dell'utente
- Ubicazione: Stati Uniti
FireCrawl/Brave Search
- Finalità: Accesso a contenuti web per ricerche
- Dati condivisi: Richieste di ricerca e URL
- Ubicazione: Stati Uniti
4.3 Trasferimenti Extra-UE
I trasferimenti di dati verso paesi terzi sono protetti mediante:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
- Certificazioni di sicurezza e misure tecniche aggiuntive
- Principi di minimizzazione: trasferimento solo dei dati strettamente necessari
5. PERIODO DI CONSERVAZIONE DEI DATI
5.1 Dati dell'Account Attivo
- Durata: Per tutta la durata dell'abbonamento attivo
- Finalità: Erogazione continua del servizio e miglioramento delle performance
5.2 Dati Sanitari e Biometrici
- Durata: Fino alla cancellazione dell'account o revoca del consenso
- Eccezione: Dati aggregati e anonimizzati possono essere conservati indefinitamente per ricerca
5.3 Dati di Pagamento e Fatturazione
- Durata: 10 anni dalla fine del rapporto contrattuale
- Finalità: Adempimento di obblighi fiscali e legali
5.4 Chat e Comunicazioni
- Durata: 3 anni dalla fine dell'abbonamento
- Finalità: Supporto e miglioramento del servizio AI
5.5 Log Tecnici e di Sicurezza
- Durata: 12 mesi
- Finalità: Sicurezza della piattaforma e troubleshooting
5.6 Video e Contenuti Caricati
- Durata: Fino alla cancellazione manuale da parte dell'utente o chiusura account
- Controllo utente: L'utente può eliminare i propri contenuti in qualsiasi momento
6. DIRITTI DELL'INTERESSATO
In conformità al GDPR, l'utente ha i seguenti diritti:
6.1 Diritto di Accesso (art. 15 GDPR)
Ottenere conferma del trattamento e copia dei dati personali trattati
6.2 Diritto di Rettifica (art. 16 GDPR)
Correggere dati inesatti o completare dati incompleti
6.3 Diritto alla Cancellazione (art. 17 GDPR)
Ottenere la cancellazione dei dati quando:
- Non sono più necessari per le finalità originarie
- È stato revocato il consenso
- I dati sono stati trattati illecitamente
6.4 Diritto di Limitazione (art. 18 GDPR)
Limitare il trattamento in caso di contestazione dell'accuratezza o del trattamento
6.5 Diritto alla Portabilità (art. 20 GDPR)
Ricevere i propri dati in formato strutturato e trasmetterli ad altro titolare
6.6 Diritto di Opposizione (art. 21 GDPR)
Opporsi al trattamento basato su legittimo interesse
6.7 Diritto di Revoca del Consenso (art. 7 GDPR)
Revocare il consenso in qualsiasi momento per i trattamenti basati su consenso
6.8 Modalità di Esercizio
I diritti possono essere esercitati inviando richiesta a:
- Email: privacy@runtheons.com
- Risposta: Entro 30 giorni dalla richiesta
7. MISURE DI SICUREZZA
Runtheons implementa misure tecniche e organizzative appropriate per proteggere i dati personali:
7.1 Sicurezza Tecnica
- Crittografia: Comunicazioni protette con HTTPS/TLS
- Autenticazione: Password crittografate con algoritmi sicuri
- Controlli di accesso: Accesso limitato al personale autorizzato
- Firewall e protezioni: Sistemi di sicurezza perimetrale
- Backup crittografati: Copie di sicurezza protette
7.2 Sicurezza Organizzativa
- Formazione del personale su privacy e sicurezza
- Procedure di gestione degli incidenti di sicurezza
- Controlli regolari e audit di sicurezza
- Accordi di riservatezza con tutto il personale
7.3 Pseudonimizzazione e Minimizzazione
- Pseudonimizzazione dei dati quando possibile
- Minimizzazione: raccolta solo dei dati strettamente necessari
- Anonimizzazione per analisi statistiche aggregate
8. VIOLAZIONI DEI DATI (DATA BREACH)
In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati:
- Notifica all'Autorità: Entro 72 ore al Garante Privacy
- Comunicazione agli utenti: Senza ritardo, se alto rischio
- Misure correttive: Immediate azioni per limitare i danni
9. PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE
9.1 Profilazione per il Servizio
Runtheons utilizza decisioni automatizzate per:
- Generazione piani personalizzati: Basati su algoritmi AI e dati utente
- Previsione rischio infortuni: Attraverso modelli predittivi
- Adattamento in tempo reale: Dei programmi di allenamento
9.2 Logica e Conseguenze
- Finalità: Migliorare performance e prevenire infortuni
- Logica: Algoritmi di machine learning su dati biometrici e performance
- Diritti: L'utente può richiedere intervento umano e contestare le decisioni
9.3 Controllo Utente
L'utente mantiene sempre il controllo finale sulle decisioni relative alla propria salute e allenamento.
10. COOKIE E TECNOLOGIE SIMILI
10.1 Cookie Essenziali
- Cookie di sessione: Per mantenere l'accesso alla piattaforma
- Cookie di preferenze: Per ricordare impostazioni utente
- Durata: Sessione o secondo necessità tecnica
- Base giuridica: Interesse legittimo per il funzionamento del servizio
10.2 Cookie Analitici
- Finalità: Analisi dell'utilizzo della piattaforma
- Dati raccolti: Statistiche di navigazione aggregate
- Base giuridica: Consenso
- Gestione: Banner per consenso cookie
10.3 Cookie di Terze Parti
- Stripe: Per elaborazione pagamenti e prevenzione frodi
- Google: Se utilizzati servizi Google integrati
- Controllo: Possibilità di gestire preferenze cookie
10.4 Gestione Cookie
L'utente può gestire le preferenze cookie attraverso:
- Banner di consenso sulla piattaforma
- Impostazioni del browser
- Strumenti di gestione privacy forniti
11. MINORI
Il servizio Runtheons è destinato esclusivamente a maggiorenni (18+ anni). Non raccogliamo consapevolmente dati di minori di 18 anni. Se venissimo a conoscenza di dati di minori, procederemo alla loro immediata cancellazione.
12. MODIFICHE ALL'INFORMATIVA
12.1 Aggiornamenti
Questa informativa può essere aggiornata per riflettere:
- Modifiche alle funzionalità del servizio
- Evoluzione normativa
- Nuove integrazioni tecnologiche
12.2 Comunicazione
Gli aggiornamenti saranno comunicati tramite:
- Email agli utenti registrati
- Notifica sulla piattaforma
- Pubblicazione sul sito web
12.3 Accettazione
L'uso continuato del servizio dopo le modifiche costituisce accettazione della nuova informativa.
13. USO LIMITATO DEI DATI UTENTE GOOGLE
Runtheons utilizza i dati utente ottenuti tramite le API di Google esclusivamente per fornire o migliorare funzionalità visibili all’utente all'interno della piattaforma.
Non vendiamo, non trasferiamo e non utilizziamo questi dati per scopi pubblicitari o per profilazione.
Runtheons è conforme ai requisiti di Limited Use previsti da Google:
14. DIRITTO DI RECLAMO
L'utente ha il diritto di presentare reclamo all'autorità di controllo competente:
Garante per la Protezione dei Dati Personali
- Sito web: www.gpdp.it
- Email: garante@gpdp.it
- Telefono: 06.69677.1
15. CONTATTI E RICHIESTE
Per qualsiasi questione relativa al trattamento dei dati personali:
Runtheons S.R.L.
- Email Privacy: privacy@runtheons.com
- Email generale: hello@runtheons.com
- Sito web: runtheons.com
- Indirizzo: Via Desenzano, 1, 25087 Salò (BS), Italia
Data di entrata in vigore: 30/06/2025
Ultima modifica: 30/06/2025
Utilizzando la piattaforma Runtheons, l'utente dichiara di aver letto e compreso la presente Informativa Privacy e di prestare il proprio consenso esplicito al trattamento dei dati sanitari per le finalità specificate.