INFORMATIVA PRIVACY UPTIVO
Versione r2605.7 — Data di efficacia: 6 maggio 2026
La presente Informativa Privacy descrive le modalità con cui UPTIVO S.r.l. ("UPTIVO", "noi") raccoglie, utilizza e protegge i dati personali degli utenti: (i) del sito www.uptivo.fit e di ogni dominio correlato; (ii) delle applicazioni mobili e web UPTIVO; e (iii) di ogni servizio UPTIVO. La presente Informativa si applica a prescindere dalle modalità di accesso ai Servizi. Qualora l'utente acceda ai Servizi in qualità di utente finale di un Cliente UPTIVO (ad esempio, una palestra che utilizza UPTIVO ai sensi di un Contratto di Servizi), si applica un ulteriore livello di accordi contrattuali tra UPTIVO e tale Cliente (cfr. Sezione 11).
1. TITOLARE DEL TRATTAMENTO E CONTATTI
UPTIVO S.r.l., con sede legale in Via L. Vitali 1, 20122 Milano (MI), Italia, partita IVA IT08849150969, posta elettronica certificata (PEC) euvic@legalmail.it, è il Titolare del trattamento dei dati personali ai sensi dell'articolo 4(7) GDPR.
Per richieste in materia di privacy (incluse le richieste di esercizio dei diritti di cui alla Sezione 6) è possibile contattarci all'indirizzo support@uptivo.fit ovvero per posta presso la sede legale sopra indicata.
2. CATEGORIE DI DATI PERSONALI
Raccogliamo e trattiamo le seguenti categorie di dati personali, nella misura necessaria per le finalità descritte nella Sezione 3.
2.1 Dati identificativi e di contatto: nome, cognome, nickname, immagine profilo; indirizzo e-mail; numero di telefono; indirizzo postale; codice fiscale o tax ID ove richiesto per la fatturazione.
2.2 Dati di account e autenticazione: UserId; username; password in formato hash con sale crittografico; token di autenticazione JWT; API key; identificativi OAuth di dispositivo.
2.3 Dati demografici e di profilo: data di nascita; genere; lingua; paese; fuso orario; occupazione.
2.4 Profilo fitness e preferenze: peso; altezza; obiettivi di allenamento; storico infortuni; attività da evitare; disponibilità settimanale; preferenze su notifiche, ranking e calendario.
2.5 Dati relativi a club e abbonamenti: appartenenza al club; ruolo (atleta o staff); licenze; crediti; prenotazioni di classi.
2.6 Dati di dispositivo e sensore: identificativo hardware; modello del dispositivo; nome del sensore; dispositivi bridge associati e SNAP; identificativi applicativi.
2.7 Integrazioni con account esterni: identificativi di connessione e token OAuth di accesso a servizi terzi quali Garmin Connect, Stripe, PayPal, Whoop e Withings.
2.8 Dati di utilizzo e tecnici: registri di accesso; indirizzo IP; timestamp di sessione; identificativi di dispositivo; User Agent; log diagnostici e metriche Application Insights.
2.9 Dati sanitari e biometrici — categoria particolare ex articolo 9 GDPR. I Servizi comportano il trattamento di dati relativi alla salute ai sensi dell'articolo 4(15) GDPR. Si tratta di: (a) frequenza cardiaca (minima, massima, media e a riposo), zone cardiache, soglie target, variabilità cardiaca (HRV), SpO2; (b) indice di massa corporea (BMI), potenza di soglia funzionale (FTP); (c) telemetria di allenamento e prestazione (data e ora, durata, distanza, calorie, potenza, cadenza, hits, geolocalizzazione, quota, dislivello); (d) dati sanitari integrati da fornitori terzi (passi, stress, body battery, fasi del sonno, respirazione, piani di allenamento); (e) misure cliniche e antropometriche fornite dall'utente o da un Cliente (pressione sanguigna, glicemia, composizione corporea, risultati di fitness test); (f) feedback generati dal Nate AI a partire da profilo, sonno e HRV. Tali categorie costituiscono categorie particolari di dati personali ai sensi dell'articolo 9 GDPR e sono trattate solo sulla base giuridica indicata nella Sezione 4.
2.10 Comunicazioni: richieste di assistenza e relativa corrispondenza.
2.11 Identificativi di pagamento: identificativi gestiti dal payment processor. UPTIVO non conserva i dati completi della carta di pagamento; i dati completi sono trattati direttamente da Stripe e PayPal sulla base delle rispettive informative privacy.
3. FINALITÀ DEL TRATTAMENTO
Trattiamo i dati personali per le seguenti finalità: (a) erogazione dei Servizi: registrazione dell'account, autenticazione, gestione delle sessioni di allenamento, dashboard, classifiche, badge, notifiche; (b) personalizzazione: calcolo delle zone cardiache, stima delle calorie, punti e ranking; (c) gestione club: relazione tra atleti e trainer, prenotazioni, comunicazioni operative; (d) funzionalità Nate AI: generazione di valutazioni e raccomandazioni personalizzate sulla base di profilo, sonno e HRV (cfr. Sezione 5); (e) assistenza clienti: risposta alle richieste di assistenza e gestione dei reclami; (f) sicurezza e manutenzione: log diagnostici, prevenzione delle frodi, prevenzione degli abusi, audit logging; (g) fatturazione e gestione amministrativa: emissione di fatture, gestione dei pagamenti, contabilità; (h) adempimento di obblighi di legge: obblighi fiscali, conservazione documentale, riscontro a richieste legittime delle autorità; (i) comunicazioni di marketing (solo previo consenso): newsletter e informazioni sui servizi UPTIVO.
Cosa non facciamo. Non effettuiamo profilazione pubblicitaria, non vendiamo dati personali identificabili, ivi inclusi dati sanitari e biometrici, a terzi per loro autonome finalità commerciali, e non condividiamo i dati con terzi per le loro autonome finalità di marketing.
4. BASE GIURIDICA
Le basi giuridiche del trattamento, ai sensi dell'articolo 6 GDPR (e, ove applicabile, dell'articolo 9 GDPR), sono le seguenti:
(a) Erogazione dei Servizi, personalizzazione, gestione club, assistenza clienti — articolo 6(1)(b) GDPR: esecuzione del contratto di cui l'interessato è parte (Contratto di Servizi o equivalente accordo di utilizzo).
(b) Trattamento di dati sanitari e biometrici (Sezione 2.9) per finalità di fitness, monitoraggio della prestazione e funzionalità Nate AI — articolo 9(2)(a) GDPR: consenso esplicito, prestato in fase di registrazione o in occasione dell'attivazione delle relative funzionalità. Il consenso può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca; la revoca comporta la cessazione delle funzionalità correlate.
(c) Profilazione tramite Nate AI — articoli 6(1)(a) e 9(2)(a) GDPR: consenso esplicito (cfr. Sezione 5).
(d) Sicurezza, prevenzione delle frodi e degli abusi — articolo 6(1)(f) GDPR: legittimo interesse a tutelare l'integrità dei Servizi e degli utenti.
(e) Fatturazione, contabilità, adempimenti fiscali — articoli 6(1)(b) e 6(1)(c) GDPR: contratto e obblighi di legge.
(f) Adempimento di altri obblighi di legge — articolo 6(1)(c) GDPR.
(g) Comunicazioni di marketing — articolo 6(1)(a) GDPR: consenso, liberamente revocabile in qualsiasi momento tramite il link di disiscrizione presente nelle comunicazioni o tramite il contatto privacy della Sezione 1.
5. PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE (NATE AI)
I Servizi includono la funzionalità Nate AI, che utilizza un modello di intelligenza artificiale per generare valutazioni e raccomandazioni personalizzate sulla base dei dati di profilo, della variabilità cardiaca e dei dati di sonno. Tale funzionalità costituisce profilazione ai sensi dell'articolo 4(4) GDPR.
Logica, rilevanza e conseguenze. Nate AI elabora gli input sopra elencati attraverso un modello linguistico generativo che produce raccomandazioni testuali relative ad allenamento, recupero e prestazione. L'output è destinato a supportare l'autovalutazione dell'utente ed è veicolato esclusivamente in forma informativa.
UPTIVO ritiene che Nate AI non rientri nell'ambito di applicazione dell'articolo 22(1) GDPR, in considerazione del fatto che le raccomandazioni hanno carattere informativo e non vincolante, sono finalizzate a supportare ma non a sostituire il giudizio dell'utente e di professionisti qualificati e non condizionano l'erogazione di alcun Servizio.
L'utente ha in qualsiasi momento il diritto di: (i) disabilitare Nate AI dalle impostazioni del proprio account; (ii) richiedere l'intervento umano per la revisione di un output di Nate AI ritenuto inaccurato o non idoneo; (iii) esprimere il proprio punto di vista e contestare l'output. Le richieste di intervento umano sono gestite da personale qualificato ed evase in tempi ragionevoli e comunque entro trenta (30) giorni. Per esercitare tali diritti è possibile contattarci secondo le modalità della Sezione 6.
Il Nate AI non fornisce consulenza medica. I Servizi non costituiscono dispositivo medico ai sensi del Regolamento (UE) 2017/745. L'utente dovrebbe consultare un professionista sanitario qualificato prima di affidarsi a un output del Nate AI per decisioni di natura sanitaria.
6. DIRITTI DELL'INTERESSATO
Ai sensi degli articoli da 15 a 22 GDPR, l'interessato ha i seguenti diritti:
(a) Diritto di accesso (articolo 15): ottenere conferma dell'esistenza di un trattamento e copia dei propri dati;
(b) Diritto di rettifica (articolo 16): correzione dei dati inesatti o incompleti;
(c) Diritto di cancellazione / diritto all'oblio (articolo 17): cancellazione dei dati nei limiti consentiti dalla legge;
(d) Diritto di limitazione del trattamento (articolo 18): limitare il trattamento in determinate circostanze;
(e) Diritto alla portabilità dei dati (articolo 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare;
(f) Diritto di opposizione (articolo 21) al trattamento basato su legittimo interesse, ivi inclusa l'opposizione al marketing diretto;
(g) Diritto di non essere sottoposto a processo decisionale automatizzato (articolo 22): cfr. Sezione 5;
(h) Diritto di revocare il consenso (articolo 7(3)) in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca.
Modalità di esercizio. È possibile utilizzare le funzioni di gestione account in-app ove disponibili (Impostazioni > Account > Gestisci / Elimina Account), ovvero contattarci all'indirizzo support@uptivo.fit. Potremmo richiedere informazioni aggiuntive per verificare l'identità del richiedente prima di dar seguito alla richiesta. Risponderemo senza ingiustificato ritardo e in ogni caso entro trenta (30) giorni dal ricevimento della richiesta, ai sensi dell'articolo 12 GDPR; tale termine può essere prorogato di ulteriori due mesi per richieste complesse o numerose, dandone comunicazione all'interessato.
Cancellazione dell'account. A seguito di richiesta di cancellazione, un processo automatizzato rimuove credenziali, immagini profilo, connessioni ad account esterni e tutti i dati di telemetria (frequenza cardiaca, geolocalizzazione, potenza, cadenza e hits) entro trenta (30) giorni. I backup contenenti i dati vengono successivamente sovrascritti secondo i normali periodi di rotazione. I dati che siamo tenuti a conservare per finalità di fatturazione, contabilità o altri obblighi di legge sono mantenuti per i periodi indicati nella Sezione 7 e sono successivamente cancellati.
Diritto di reclamo. L'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) ovvero all'autorità di controllo dello Stato membro di residenza abituale, del luogo di lavoro o del luogo della presunta violazione.
7. PERIODI DI CONSERVAZIONE
Conserviamo i dati personali solo per il tempo necessario al perseguimento delle finalità sopra descritte:
Dati di account utente attivo: durata dell'iscrizione;
Registrazioni utente pendenti o non confermate: quindici (15) giorni;
Inviti e link di registrazione non accettati: quindici (15) giorni;
Richieste di registrazione di dispositivi o applicazioni: sette (7) giorni;
Notifiche applicative in-app: sessanta (60) giorni;
Log diagnostici e di errore: due (2) mesi;
Log di eventi di sicurezza (accessi, autenticazione, rilevamento di anomalie): sei (6) mesi;
Documentazione fiscale e contabile: dieci (10) anni dall'emissione, ai sensi dell'articolo 2220 del Codice Civile;
Dati relativi a una richiesta di cancellazione: telemetria e dati account cancellati entro trenta (30) giorni; sovrascrittura dei backup secondo la rotazione standard.
Decorso il periodo di conservazione, i dati sono cancellati o anonimizzati, salvo conservazione richiesta da norme imperative di legge.
8. TRASFERIMENTI INTERNAZIONALI
Trattiamo i dati personali all'interno dello Spazio Economico Europeo (SEE), con archiviazione primaria su server localizzati in Paesi Bassi, Irlanda e Germania.
Qualora i dati personali siano trasferiti al di fuori del SEE in connessione con i Servizi (in particolare tramite i fornitori statunitensi indicati nella Sezione 9), ci basiamo: (a) sull'EU-US Data Privacy Framework (Decisione di Esecuzione (UE) 2023/1795 della Commissione) ove il destinatario sia partecipante certificato; ovvero (b) sulle Clausole Contrattuali Standard adottate con Decisione di Esecuzione (UE) 2021/914, integrate, ove necessario, da ulteriori misure tecniche e organizzative valutate caso per caso mediante un Transfer Impact Assessment, disponibile su richiesta.
9. FORNITORI TERZI (RESPONSABILI DEL TRATTAMENTO)
UPTIVO si avvale dei seguenti fornitori terzi per l'erogazione dei Servizi. Con ciascuno di essi UPTIVO ha sottoscritto un accordo sul trattamento dei dati ai sensi dell'articolo 28 GDPR. L'elenco viene aggiornato periodicamente; la versione più recente è disponibile su richiesta.
Responsabile | Servizio | Localizzazione / Trasferimento | Categorie di Dati Trasferiti |
|---|---|---|---|
Supabase Inc. | Database, storage, autenticazione | UE (Irlanda) | Account, profilo, profilo fitness, telemetria, dati sanitari |
Microsoft Corporation (Azure) | Hosting cloud, infrastruttura, Application Insights | UE (Paesi Bassi, Irlanda, Germania) | Tutti i dati di trattamento, log diagnostici |
Microsoft Corporation (M365) | E-mail aziendale e collaborazione | UE | Comunicazioni, dati di contatto |
OpenAI, L.L.C. | Elaborazione AI / LLM (Nate AI) | Stati Uniti — DPF UE-USA | Profilo, HRV, dati di sonno e prompt derivati |
Google LLC (Gemini) | Elaborazione AI / LLM (Nate AI) | Stati Uniti — DPF UE-USA | Profilo, HRV, dati di sonno e prompt derivati |
Stripe Payments Europe, Ltd. | Elaborazione pagamenti per abbonamenti | UE (Irlanda) | Identificativi, contatto, identificativi di pagamento (no dati sanitari) |
PayPal (Europe) S.à r.l. et Cie, S.C.A. | Elaborazione pagamenti per servizi club | UE (Lussemburgo) | Identificativi, contatto, identificativi di pagamento (no dati sanitari) |
Garmin International, Inc. | Integrazione wearable (Garmin Connect) | Stati Uniti — DPF UE-USA | Identificativi OAuth, telemetria fitness e sanitaria |
WHOOP, Inc. | Integrazione wearable (Whoop) | Stati Uniti — CCS UE | Identificativi OAuth, telemetria fitness e sanitaria |
Withings SAS | Integrazione wearable e dispositivi connessi per la salute | UE (Francia) | Identificativi OAuth, misurazioni corporee e dati sanitari |
10. COOKIE E TECNOLOGIE SIMILI (SITO WEB)
Il sito UPTIVO utilizza cookie e tecnologie simili. Si distinguono: (a) cookie strettamente necessari (consenso non richiesto), utilizzati per il funzionamento del sito (gestione di sessione, sicurezza, bilanciamento del carico); (b) cookie analitici (consenso richiesto), utilizzati per comprendere su base aggregata e anonima come gli utenti interagiscono con il sito; (c) cookie di marketing (consenso richiesto), utilizzati per veicolare comunicazioni UPTIVO sui canali, ove applicabile.
Alla prima visita del sito viene mostrato un cookie banner dal quale è possibile concedere o rifiutare il consenso per ciascuna categoria. Le preferenze possono essere modificate in qualsiasi momento tramite il centro preferenze cookie accessibile dal footer del sito.
L'applicazione mobile UPTIVO non utilizza cookie; utilizza il local storage specifico della piattaforma necessario al funzionamento dell'applicazione.
11. UTENTI FINALI CHE ACCEDONO AI SERVIZI TRAMITE UN CLIENTE
Qualora l'utente acceda ai Servizi in qualità di utente finale di un Cliente UPTIVO (ad esempio, come membro di una palestra che utilizza UPTIVO ai sensi di un Contratto di Servizi), il Cliente assume la qualità di Titolare del trattamento dei dati personali e UPTIVO assume la qualità di Responsabile del trattamento ai sensi dell'articolo 28 GDPR. Il trattamento è disciplinato da un accordo sul trattamento dei dati (DPA) sottoscritto tra il Cliente e UPTIVO.
In tale scenario: (i) il personale autorizzato del Cliente (ad esempio trainer, manager del club) può visualizzare e modificare il profilo dell'utente (e-mail, età, zone cardiache) e monitorarne i progressi di allenamento; (ii) il Cliente è responsabile dell'accuratezza e della liceità d'uso dei dati che modifica; (iii) l'utente può interrompere in qualsiasi momento la condivisione rimuovendo l'associazione al club dall'applicazione; (iv) per le richieste relative ai propri dati l'utente può rivolgersi direttamente al Cliente ovvero contattare UPTIVO al recapito privacy della Sezione 1, e UPTIVO assisterà il Cliente nella risposta.
Con riferimento alla funzionalità Nate AI, il consenso al trattamento dei dati sanitari ai sensi dell'articolo 9(2)(a) GDPR è raccolto direttamente da UPTIVO presso l'utente finale, che agisce come interessato autonomo per tale specifica finalità.
12. MINORI
I Servizi non sono indirizzati a minori di età inferiore a quattordici (14) anni. Ai sensi dell'articolo 8 GDPR e del D.Lgs. 196/2003 e successive modifiche, i minori di quattordici (14) anni non possono utilizzare i Servizi senza il consenso e la supervisione del genitore o di chi esercita la responsabilità genitoriale. Qualora veniamo a conoscenza di aver raccolto dati personali di un minore di quattordici (14) anni in assenza di consenso parentale verificato, procederemo alla cancellazione di tali dati senza ingiustificato ritardo. Qualora i Servizi siano utilizzati da utenti residenti in giurisdizioni che fissano una diversa età minima per il consenso digitale ai sensi della legge applicabile, tale età si applica in luogo della soglia sopra indicata.
13. SICUREZZA
UPTIVO adotta misure tecniche e organizzative adeguate al rischio del trattamento, ai sensi dell'articolo 32 GDPR, ivi incluse: cifratura dei dati personali in transito (TLS 1.2 o superiore) e a riposo (AES-256 o equivalente); controllo degli accessi basato sui ruoli e autenticazione a più fattori per gli accessi amministrativi e privilegiati; segregazione di rete e controlli firewall; aggiornamenti periodici di sistemi e applicazioni; backup automatici periodici con replica off-site; procedure documentate di disaster recovery e business continuity; logging e monitoraggio degli eventi di sicurezza rilevanti; vincoli di riservatezza per il personale con accesso ai dati personali; monitoraggio periodico delle vulnerabilità e revisione di sicurezza delle modifiche ai sistemi di produzione.
In caso di Violazione dei Dati Personali, UPTIVO notificherà l'autorità di controllo competente ai sensi dell'articolo 33 GDPR ove richiesto. Qualora la violazione presenti un rischio elevato per i diritti e le libertà dell'interessato, provvederemo a darne comunicazione all'interessato stesso senza ingiustificato ritardo, ai sensi dell'articolo 34 GDPR.
14. MODIFICHE ALLA PRESENTE INFORMATIVA
La presente Informativa può essere aggiornata di volta in volta. La versione corrente è identificata dal numero di versione e dalla data di efficacia indicati nel piede di pagina di ciascuna pagina. Per modifiche sostanziali, ne daremo comunicazione tramite i Servizi o per e-mail almeno trenta (30) giorni prima della loro efficacia.
15. CONTATTI
Richieste in materia di privacy: support@uptivo.fit
Posta elettronica certificata (PEC): euvic@legalmail.it
Indirizzo postale: UPTIVO S.r.l., Via L. Vitali 1, 20122 Milano (MI), Italia
Garante per la protezione dei dati personali: www.garanteprivacy.it