Apex CoachApex CoachHome

Informativa GDPR

Privacy Policy

Informativa sul trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e delle Linee guida del Garante in materia di cookie del 10 giugno 2021.

Ultimo aggiornamento: 25 maggio 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è Apex Coach (di seguito, "Apex Coach", "noi" o "la Piattaforma"), con sede legale in Italia, contattabile all'indirizzo email support@apexcoach.it.

Apex Coach è una piattaforma SaaS destinata a personal trainer, nutrizionisti e ai loro clienti, che consente la gestione di schede di allenamento, piani alimentari, anamnesi, appuntamenti, chat, calendario e pagamenti tramite un'unica interfaccia web e mobile.

Apex Coach NON ha nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, non rientrando in alcuno dei casi obbligatori. Per qualsiasi questione relativa alla protezione dei dati personali è possibile rivolgersi al recapito email indicato sopra.

2. Ruoli: Titolare, Co-Titolare e Responsabile del trattamento

Apex Coach assume ruoli differenziati a seconda della tipologia di utente e dei dati trattati:

  • Account trainer / professionista: Apex Coach è autonomo Titolare del trattamento dei dati identificativi, di contatto, di accesso, di pagamento e tecnici del trainer.
  • Account cliente finale (assistito dal trainer): Apex Coach agisce come Responsabile del trattamento ex art. 28 GDPR per conto del trainer, il quale rimane Titolare autonomo dei dati personali e dei dati sanitari del proprio cliente. Apex Coach fornisce gli strumenti tecnologici (storage, cifratura, audit log) ma non utilizza i dati dei clienti per finalità proprie.
  • Comunicazioni di servizio e marketing dirette: Apex Coach agisce come autonomo Titolare nei confronti dell'iscritto alla newsletter o destinatario di email transazionali (verifica account, reset password, conferme pagamento).
  • Cliente di prova generato per gli account amministrativi ("Modalità Test Live"): nessun dato reale viene raccolto; il profilo è interamente sintetico e creato dall'admin-trainer per finalità di test funzionale.

Quando agisce in qualità di Responsabile per conto del trainer, Apex Coach si attiene esclusivamente alle istruzioni documentate del Titolare (i.e. le scelte effettuate dal trainer all'interno della Piattaforma) e applica le misure di sicurezza descritte nella sezione 8.

3. Tipologie di dati raccolti

Trattiamo le seguenti categorie di dati personali, con livello di sensibilità decrescente:

  • Dati identificativi e di contatto: nome, cognome, email, eventuale numero di telefono e foto profilo.
  • Credenziali di accesso: password, conservata esclusivamente in forma di hash bcrypt; mai in chiaro. Token di sessione JWT firmati lato server con segreto rotabile.
  • Dati tecnici e di log: indirizzo IP, user agent, timestamp di accesso, pagine visitate, eventi di sicurezza (es. tentativi di login falliti, rate-limit attivati). Conservati a fini di sicurezza e diagnostica.
  • Dati di pagamento: stato dell'abbonamento, ID Stripe, fatture. I dati delle carte di credito NON vengono mai trasmessi né conservati sui nostri server: sono processati direttamente da Stripe Payments Europe Ltd., che agisce in qualità di autonomo Titolare/Responsabile del trattamento.
  • Dati relativi all'attività fisica: schede di allenamento, esercizi, carichi, ripetizioni, tempi di recupero, log delle sessioni eseguite, personal record, fatica muscolare calcolata.
  • Dati relativi alla nutrizione: piani alimentari, diario del cibo, grammature, macronutrienti, target calorici personalizzati.
  • Dati di salute (categoria particolare ex art. 9 GDPR): peso corporeo, altezza, BMI, percentuale di grasso corporeo, massa muscolare, circonferenze, pliche cutanee Jackson-Pollock, anamnesi, patologie, allergie, farmaci assunti, livello di attività fisica, sonno, risposte a questionari di check-in. Tali dati sono raccolti dal trainer ovvero direttamente dal cliente nella propria area e sono utilizzati esclusivamente per la personalizzazione del programma di allenamento o nutrizionale.
  • Foto progressi: immagini caricate volontariamente dal cliente per documentare i propri progressi. Vedi la sezione 8.4 per la cifratura end-to-end.
  • Messaggi di chat: contenuti delle conversazioni 1:1 trainer/cliente e di gruppo, inclusi eventuali allegati. Conservati sui nostri server per consentire la consultazione storica delle conversazioni.
  • Appuntamenti e calendario: data, ora, categoria, note degli appuntamenti.
  • Consensi: timestamp dell'accettazione della Privacy Policy, eventuale consenso alla newsletter e ai cookie statistici/marketing, con conservazione della prova ai sensi dell'art. 7 GDPR.

4. Finalità e basi giuridiche del trattamento

Ogni operazione di trattamento è ancorata a una specifica base giuridica:

  • Esecuzione del contratto (art. 6.1.b GDPR) — creazione e gestione dell'account, funzionamento dell'area trainer e dell'area cliente, chat, calendario, schede, piani alimentari, fatturazione, gestione abbonamenti. Senza questi dati non è possibile erogare il servizio.
  • Consenso esplicito (art. 6.1.a e art. 9.2.a GDPR) — trattamento dei dati di salute e delle foto progressi; iscrizione alla newsletter; cookie di statistica e marketing. Il consenso è sempre revocabile (vedi sezione 12).
  • Obblighi legali e fiscali (art. 6.1.c GDPR) — emissione e conservazione delle fatture, conservazione dei log per le indagini delle Autorità, gestione di richieste degli interessati.
  • Legittimo interesse (art. 6.1.f GDPR) — sicurezza della Piattaforma, prevenzione di abusi e frodi (anti-abuse shield, rate limiting), analisi tecniche aggregate sull'utilizzo (Vercel Analytics), miglioramento del servizio. Il bilanciamento di interessi è documentato internamente e può essere richiesto all'indirizzo support@apexcoach.it.

NON effettuiamo alcun processo decisionale unicamente automatizzato che produca effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR. Gli algoritmi di calcolo di tonnellaggio, fatica muscolare, MEV/MAV/MRV, BMR/TDEE e percentuali di 1RM hanno funzione strumentale di supporto al trainer, che resta l'unico decisore.

5. Responsabili esterni del trattamento (sub-processor)

Per erogare il servizio ci avvaliamo dei seguenti fornitori che agiscono in qualità di Responsabili del trattamento (art. 28 GDPR), tutti vincolati da accordi contrattuali conformi al GDPR (Data Processing Agreement):

  • Vercel Inc. (USA, regione di esecuzione UE — Francoforte) — hosting applicativo, CDN, edge functions. Trasferimento extra-UE coperto da Standard Contractual Clauses (SCC) e DPF (Data Privacy Framework). Vedi vercel.com/legal/dpa.
  • Neon Inc. (USA, regione DB UE — eu-central-1 Frankfurt) — database PostgreSQL gestito che ospita tutti i dati strutturati della Piattaforma. Backup automatici giornalieri con retention 7 giorni (point-in-time recovery). SCC + DPF. Vedi neon.tech/dpa.
  • Cloudinary Ltd. (Israele, decisione di adeguatezza UE) — storage delle immagini (foto profilo, immagini esercizi, allegati chat, foto progressi cifrate end-to-end). Asset sensibili caricati in modalità "authenticated" e firmati con scadenza 24h. Vedi cloudinary.com/legal.
  • Stripe Payments Europe Ltd. (Irlanda, UE) — elaborazione dei pagamenti per gli abbonamenti. PCI-DSS Level 1. Vedi stripe.com/it/privacy.
  • Resend Inc. (USA) — invio delle email transazionali (verifica account, reset password, notifiche di pagamento) e marketing (newsletter). SCC. Vedi resend.com/legal/dpa.
  • Google Ireland Ltd. (Irlanda, UE) — Google Analytics 4 per analisi aggregata dell'uso del sito (solo previo consenso esplicito dell'utente). Configurato con Consent Mode v2, anonimizzazione IP e ads_data_redaction abilitati. Vedi support.google.com/analytics/answer/6004245.
  • Shellrent SRL (Italia) — gestione casella email support@apexcoach.it. Server in Italia.
  • Eventuali consulenti contabili, fiscali e legali nei limiti strettamente necessari.

L'elenco aggiornato dei sub-processor è disponibile su richiesta a support@apexcoach.it. In caso di modifiche sostanziali pubblicheremo un aggiornamento nella presente informativa e, se previsto da accordo specifico, informeremo i clienti professionali con preavviso.

I dati NON sono diffusi né comunicati ad altri soggetti per finalità di marketing di terze parti.

7. Trasferimenti extra-UE

L'infrastruttura applicativa (Vercel) e il database (Neon) sono configurati per operare in regione UE (Francoforte). Eventuali trasferimenti di dati personali al di fuori dello Spazio Economico Europeo verso fornitori statunitensi (Vercel, Neon, Resend, Cloudinary, Anthropic) avvengono sulla base:

  • delle Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 (art. 46 GDPR);
  • ove applicabile, della certificazione del fornitore al EU-US Data Privacy Framework, riconosciuto adeguato dalla Commissione UE con Decisione del 10 luglio 2023;
  • di garanzie tecniche aggiuntive: cifratura in transito (TLS 1.2+), cifratura at-rest dei backup, pseudonimizzazione laddove possibile e cifratura end-to-end delle foto progressi (vedi sezione 8.4).

8. Misure tecniche e organizzative di sicurezza

Ai sensi dell'art. 32 GDPR adottiamo misure di sicurezza adeguate al rischio, organizzate su quattro livelli:

  • 8.1 — Sicurezza di rete e perimetro: HTTPS forzato su tutti gli endpoint, redirect automatico HTTP→HTTPS, header HSTS, Content Security Policy con nonce per ogni richiesta + 'strict-dynamic', anti-abuse shield con rate limiting per IP e filtro user-agent malevoli, separazione di runtime tra middleware Edge e API Node.
  • 8.2 — Sicurezza degli accessi: hashing password con bcrypt (cost factor 12), session token JWT firmati e di durata limitata (8 ore di default), autenticazione a due fattori (2FA) obbligatoria per gli account amministratori e opzionale per i trainer, recovery via email con token monouso scadenti, rotazione automatica dei token in caso di sospetto compromesso.
  • 8.3 — Sicurezza dei dati at-rest: database PostgreSQL Neon con cifratura at-rest gestita dal provider, backup automatici giornalieri con cifratura e retention 7 giorni (point-in-time recovery), audit log immutabile delle azioni amministrative (AdminAuditLog), separazione logica tra ambienti di produzione e di sviluppo.
  • 8.4 — Cifratura end-to-end delle foto progressi: per le foto progressi caricate dopo l'attivazione della funzione "E2E" la Piattaforma implementa una vera cifratura end-to-end. Le immagini vengono cifrate sul dispositivo del cliente con AES-GCM 256-bit; la chiave simmetrica è a sua volta cifrata con RSA-OAEP 4096-bit per ciascun destinatario autorizzato (cliente proprietario + trainer assegnato). La chiave privata di ciascun utente è cifrata con passphrase tramite PBKDF2-SHA256 (600.000 iterazioni) e mai trasmessa al server in chiaro: di conseguenza Apex Coach, anche come amministratore di sistema, non è tecnicamente in grado di decifrare le foto E2E. È disponibile una recovery phrase BIP39 a 24 parole come backup della passphrase.
  • 8.5 — Asset sensibili su CDN: le foto profilo e gli allegati chat sono caricati su Cloudinary in modalità "authenticated": il file non è raggiungibile pubblicamente senza un URL firmato a tempo (TTL 24 ore) generato server-side per ciascuna richiesta autorizzata.
  • 8.6 — Sicurezza organizzativa: accesso al database e ai sistemi limitato per principio del minimo privilegio, ruoli ADMIN/MODERATOR con permessi granulari, audit trail di ogni azione amministrativa, formazione del personale interno, procedure documentate di disaster recovery e test di restore periodici.

In caso di violazione dei dati personali (data breach) che presenti un rischio per i diritti e le libertà degli interessati, notificheremo il fatto al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta (art. 33 GDPR) e, ove necessario, ne daremo comunicazione agli interessati senza ingiustificato ritardo (art. 34 GDPR).

9. Periodo di conservazione

I dati sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti e, in ogni caso, secondo i seguenti criteri:

  • Dati dell'account (identificativi, di contatto, contenuti generati): per tutta la durata del rapporto contrattuale e fino a 24 mesi dalla sua cessazione, salvo richiesta anticipata di cancellazione da parte dell'interessato.
  • Dati di salute / anamnesi / foto progressi: cancellati su richiesta dell'interessato o entro 24 mesi dalla disattivazione dell'account, fatti salvi obblighi di legge.
  • Dati contabili e fiscali (fatture, ricevute): 10 anni dalla data di emissione, ai sensi dell'art. 2220 c.c. e della normativa fiscale italiana.
  • Log di sicurezza e di sistema: fino a 12 mesi, salvo necessità investigative.
  • Snapshot system-health e activity log trainer: retention massima 7 giorni con auto-pruning.
  • Dati trattati in base al consenso (newsletter, cookie statistici/marketing): fino alla revoca del consenso.
  • Cookie tecnici di sessione: durata della sessione (max 8 ore) o fino alla chiusura del browser.
  • Cookie di preferenza consenso (apex_cookie_consent_v1): 12 mesi dall'ultima scelta dell'utente.

Alla cessazione del rapporto i dati vengono cancellati o resi anonimi nei tempi indicati. I backup ciclici possono contenere copie residue per la durata massima della loro retention (7 giorni).

10. Diritti dell'interessato

In qualità di interessato puoi esercitare in qualsiasi momento i diritti previsti dagli artt. 15–22 GDPR:

  • Diritto di accesso (art. 15) — ottenere conferma dell'esistenza di dati che ti riguardano e una copia degli stessi.
  • Diritto di rettifica (art. 16) — correggere dati inesatti o integrare dati incompleti, anche direttamente dalla tua area personale.
  • Diritto alla cancellazione ("diritto all'oblio", art. 17) — ottenere la cancellazione dei tuoi dati, salvi i casi in cui la conservazione sia richiesta dalla legge.
  • Diritto alla limitazione del trattamento (art. 18).
  • Diritto alla portabilità (art. 20) — ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON).
  • Diritto di opposizione (art. 21) — al trattamento basato sul legittimo interesse e, in ogni caso e senza necessità di motivazione, al marketing diretto.
  • Diritto di revoca del consenso (art. 7) — in qualsiasi momento e senza alcuna formalità; la revoca non pregiudica la liceità del trattamento già effettuato.
  • Diritto di reclamo (art. 77) — al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) o all'autorità del tuo Stato di residenza.

Per esercitare i tuoi diritti è sufficiente inviare una richiesta a support@apexcoach.it indicando chiaramente la natura della richiesta. Risponderemo nel termine di 30 giorni (prorogabile fino a 60 giorni in caso di richieste complesse, dandone preventiva comunicazione). Non sono previsti costi per l'esercizio dei diritti, salvo richieste manifestamente infondate o ripetitive.

Se sei un cliente assistito da un trainer (sezione 2.b), puoi rivolgere la richiesta direttamente al tuo trainer (in qualità di Titolare autonomo) oppure ad Apex Coach (in qualità di Responsabile): ti supporteremo nel trasferire la richiesta al Titolare e nell'eseguire le sue istruzioni.

12. Newsletter e comunicazioni promozionali

Se in fase di registrazione hai prestato il consenso facoltativo (checkbox non pre-selezionata, separata da quella della privacy), potremo inviarti via email informazioni su nuove funzionalità, aggiornamenti del prodotto, consigli sull'uso della piattaforma e occasionali offerte commerciali.

Puoi revocare il consenso in qualsiasi momento, senza alcuna formalità, cliccando sul link "annulla iscrizione" presente in fondo a ogni email (gestito tramite token HMAC firmato) oppure scrivendo a support@apexcoach.it. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca.

13. Conferimento dei dati e conseguenze del rifiuto

Il conferimento dei dati contrassegnati come obbligatori (email, password, nome, accettazione della presente Privacy Policy) è necessario per l'attivazione dell'account e l'erogazione del servizio: in loro mancanza non è possibile utilizzare Apex Coach.

Il conferimento dei dati facoltativi (consenso newsletter, foto progressi, dati di anamnesi dettagliati, foto profilo, dati di pagamento per l'upgrade a piani a pagamento) è libero. Il loro mancato conferimento non pregiudica l'accesso al servizio ma può limitarne alcune funzionalità (es. è impossibile usare il calcolo della composizione corporea senza inserire i dati antropometrici).

14. Minori

Il servizio è riservato a soggetti maggiorenni. Non raccogliamo consapevolmente dati di minori di 16 anni. Se un trainer intende seguire un assistito minore, lo farà sotto la propria responsabilità e previa raccolta del consenso scritto del genitore o tutore, di cui il trainer assume la titolarità della prova ai sensi dell'art. 8 GDPR.

Se vieni a conoscenza del fatto che un minore di 16 anni ci ha fornito dati personali senza autorizzazione del proprio genitore o tutore, ti preghiamo di contattarci a support@apexcoach.it per la pronta rimozione.

15. Modifiche alla presente informativa

Possiamo aggiornare questa Privacy Policy in qualsiasi momento, pubblicandone la nuova versione in questa pagina. In caso di modifiche sostanziali che richiedano un nuovo consenso, ti chiederemo esplicitamente una nuova accettazione al primo accesso successivo all'aggiornamento e/o ti invieremo una notifica via email. La data dell'ultima revisione è indicata in alto.

Contatti per la protezione dei dati

Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali, per esercitare i diritti GDPR o per segnalare una violazione, scrivi a support@apexcoach.it. Risponderemo nel termine massimo di 30 giorni.

Torna alla registrazione