INFORMATIVA PRIVACY

Versione 1.0 - Giugno 2025

1. IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dei dati personali è Runtheons S.R.L.:

- Sede legale: Via Desenzano, 1, 25087 Salò (BS), Italia
- Codice Fiscale e Partita IVA: 04517900983
- Email: hello@runtheons.com
- Email Privacy: privacy@runtheons.com
- Sito web: runtheons.com

Per qualsiasi questione relativa al trattamento dei dati personali, è possibile contattare il Titolare all'indirizzo privacy@runtheons.com.

2. CATEGORIE DI DATI PERSONALI TRATTATI

Runtheons raccoglie e tratta le seguenti categorie di dati personali:

2.1 Dati Anagrafici e di Identificazione
- Nome, cognome, data di nascita, sesso
- Indirizzo email (identificativo principale dell'account)
- Password (conservata in forma cifrata)
- Foto del profilo (facoltativa)

2.2 Dati di Profilo Sportivo
- Sport praticato e specialità
- Livello atletico (amatoriale, semi-professionista, professionista)
- Anni di esperienza sportiva
- Obiettivi sportivi e performance target

2.3 Dati Sanitari e Biometrici (Categorie Particolari)
- Parametri fisici: altezza, peso, composizione corporea
- Dati biometrici: frequenza cardiaca, variabilità cardiaca, pressione sanguigna, saturazione ossigeno
- Informazioni cliniche: infortuni pregressi, patologie, limitazioni fisiche, dolori
- Referti medici: documenti sanitari caricati dall'utente
- Dati da dispositivi wearable: metriche di performance, sonno, stress, recupero
- Allergie e intolleranze alimentari
- Video e immagini: per analisi biomeccanica

2.4 Dati Nutrizionali e Stile di Vita
- Preferenze e abitudini alimentari
- Orari dei pasti e regime dietetico
- Informazioni su sonno, stress, stile di vita
- Consumo di integratori o farmaci (se dichiarato)

2.5 Dati Psicologici e di Benessere Mentale
- Auto-valutazioni su motivazione, concentrazione, stress
- Note e riflessioni personali nel diario
- Parametri di benessere mentale e emotivo

2.6 Dati di Geolocalizzazione
- Posizione geografica attuale (se autorizzata)
- Percorsi di allenamento (tracce GPS)
- Indirizzi di casa, lavoro e luoghi frequentati (se forniti)
- Dati di altitudine e velocità durante attività outdoor

2.7 Dati di Comunicazione
- Contenuto delle conversazioni con Alfred (chat AI)
- Comandi vocali e testuali
- Messaggi di supporto e assistenza
- Cronologia delle interazioni

2.8 Dati di Utilizzo e Tecnici
- Log di accesso e utilizzo della piattaforma
- Indirizzo IP, tipo di dispositivo, sistema operativo
- Identificatori univoci del dispositivo
- Tempo di utilizzo e funzionalità accedute
- Dati di sessione e preferenze utente

2.9 Dati di Pagamento e Fatturazione
- Piano di abbonamento scelto e stato pagamenti
- Dati per fatturazione (nome, indirizzo se richiesto)
- Storico transazioni e ID cliente Stripe
- Informazioni per programmi referral

2.10 Contenuti Caricati dall'Utente
- Video per analisi biomeccanica
- Documenti, file Excel, PDF caricati
- Foto e immagini caricate
- Note e annotazioni nel diario personale

3. FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA

3.1 Fornitura del Servizio di Coaching Personalizzato
Base giuridica: Esecuzione del contratto (art. 6(1)(b) GDPR) + Consenso esplicito per dati sanitari (art. 9(2)(a) GDPR)

Finalità:
- Creazione e aggiornamento del Digital Twin personalizzato
- Generazione di piani di allenamento, nutrizionali e mentali su misura
- Monitoraggio in tempo reale delle condizioni fisiche e performance
- Adattamento dinamico dei programmi in base ai progressi
- Analisi biomeccanica dei video caricati
- Assistenza tramite chat AI (Alfred)
- Integrazione con dispositivi wearable e applicazioni fitness
- Previsione del rischio di infortuni e consigli preventivi

3.2 Gestione dell'Account e del Servizio
Base giuridica: Esecuzione del contratto (art. 6(1)(b) GDPR)

Finalità:
- Registrazione e autenticazione utente
- Gestione dell'abbonamento e dei pagamenti
- Comunicazioni di servizio e notifiche operative
- Supporto tecnico e assistenza clienti
- Sincronizzazione con calendari e servizi esterni

3.3 Miglioramento del Servizio e Ricerca
Base giuridica: Consenso (art. 6(1)(a) GDPR) + Consenso esplicito per dati sanitari (art. 9(2)(a) GDPR)

Finalità:
- Miglioramento degli algoritmi di intelligenza artificiale
- Sviluppo di nuove funzionalità e servizi
- Ricerca interna per ottimizzare i modelli predittivi
- Analisi aggregate e statistiche anonime
- Addestramento e affinamento dei modelli AI

3.4 Sicurezza e Prevenzione Frodi
Base giuridica: Legittimo interesse (art. 6(1)(f) GDPR)

Finalità:
- Protezione dell'account e prevenzione accessi non autorizzati
- Rilevazione e prevenzione di frodi nei pagamenti
- Monitoraggio della sicurezza della piattaforma
- Backup e ripristino dei dati

3.5 Adempimenti Legali
Base giuridica: Obbligo legale (art. 6(1)(c) GDPR)

Finalità:
- Adempimento di obblighi fiscali e contabili
- Conservazione di registri per finalità legali
- Risposta a richieste legittime delle autorità

4. DESTINATARI DEI DATI E TRASFERIMENTI INTERNAZIONALI

I dati personali possono essere comunicati ai seguenti destinatari:

4.1 Fornitori di Servizi Tecnologici (Responsabili del Trattamento)

Terra API (Try Terra)
- Finalità: Integrazione con dispositivi wearable e app fitness
- Dati condivisi: Dati biometrici e di performance da dispositivi connessi
- Ubicazione: Regno Unito/Stati Uniti
- Garanzie: Clausole contrattuali standard (SCC)

OpenAI
- Finalità: Servizi di intelligenza artificiale per chat e analisi
- Dati condivisi: Messaggi chat, richieste di analisi (pseudonimizzati quando possibile)
- Ubicazione: Stati Uniti
- Garanzie: Clausole contrattuali standard, certificazioni di sicurezza

Anthropic (Claude)
- Finalità: Servizi di intelligenza artificiale avanzata
- Dati condivisi: Contenuti delle conversazioni per elaborazione AI
- Ubicazione: Stati Uniti
- Garanzie: Clausole contrattuali standard

Google LLC
- Finalità: Google Calendar (sincronizzazione), Google Maps (geolocalizzazione), Google Cloud (infrastruttura)
- Dati condivisi: Eventi calendario, coordinate geografiche, dati di backup
- Ubicazione: Stati Uniti (server possibilmente in UE)
- Garanzie: Clausole contrattuali standard, certificazioni Google

Stripe Inc.
- Finalità: Elaborazione pagamenti e gestione abbonamenti
- Dati condivisi: Dati di fatturazione, informazioni transazioni
- Ubicazione: Stati Uniti
- Garanzie: Certificazione PCI DSS, clausole contrattuali standard

Amazon Web Services (AWS)
- Finalità: Hosting, storage e infrastruttura cloud
- Dati condivisi: Tutti i dati della piattaforma per storage e elaborazione
- Ubicazione: Preferibilmente regioni UE (da confermare)
- Garanzie: Clausole contrattuali standard AWS

Eleven Labs
- Finalità: Sintesi vocale (text-to-speech)
- Dati condivisi: Testo dei report e analisi per conversione audio
- Ubicazione: Stati Uniti
- Garanzie: Clausole contrattuali standard

4.2 Altri Servizi di Terze Parti

Perplexity AI
- Finalità: Ricerche web avanzate
- Dati condivisi: Query di ricerca dell'utente
- Ubicazione: Stati Uniti

FireCrawl/Brave Search
- Finalità: Accesso a contenuti web per ricerche
- Dati condivisi: Richieste di ricerca e URL
- Ubicazione: Stati Uniti

4.3 Trasferimenti Extra-UE
I trasferimenti di dati verso paesi terzi sono protetti mediante:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
- Certificazioni di sicurezza e misure tecniche aggiuntive
- Principi di minimizzazione: trasferimento solo dei dati strettamente necessari

5. PERIODO DI CONSERVAZIONE DEI DATI

5.1 Dati dell'Account Attivo
- Durata: Per tutta la durata dell'abbonamento attivo
- Finalità: Erogazione continua del servizio e miglioramento delle performance

5.2 Dati Sanitari e Biometrici
- Durata: Fino alla cancellazione dell'account o revoca del consenso
- Eccezione: Dati aggregati e anonimizzati possono essere conservati indefinitamente per ricerca

5.3 Dati di Pagamento e Fatturazione
- Durata: 10 anni dalla fine del rapporto contrattuale
- Finalità: Adempimento di obblighi fiscali e legali

5.4 Chat e Comunicazioni
- Durata: 3 anni dalla fine dell'abbonamento
- Finalità: Supporto e miglioramento del servizio AI

5.5 Log Tecnici e di Sicurezza
- Durata: 12 mesi
- Finalità: Sicurezza della piattaforma e troubleshooting

5.6 Video e Contenuti Caricati
- Durata: Fino alla cancellazione manuale da parte dell'utente o chiusura account
- Controllo utente: L'utente può eliminare i propri contenuti in qualsiasi momento

6. DIRITTI DELL'INTERESSATO

In conformità al GDPR, l'utente ha i seguenti diritti:

6.1 Diritto di Accesso (art. 15 GDPR)
Ottenere conferma del trattamento e copia dei dati personali trattati

6.2 Diritto di Rettifica (art. 16 GDPR)
Correggere dati inesatti o completare dati incompleti

6.3 Diritto alla Cancellazione (art. 17 GDPR)
Ottenere la cancellazione dei dati quando:
- Non sono più necessari per le finalità originarie
- È stato revocato il consenso
- I dati sono stati trattati illecitamente

6.4 Diritto di Limitazione (art. 18 GDPR)
Limitare il trattamento in caso di contestazione dell'accuratezza o del trattamento

6.5 Diritto alla Portabilità (art. 20 GDPR)
Ricevere i propri dati in formato strutturato e trasmetterli ad altro titolare

6.6 Diritto di Opposizione (art. 21 GDPR)
Opporsi al trattamento basato su legittimo interesse

6.7 Diritto di Revoca del Consenso (art. 7 GDPR)
Revocare il consenso in qualsiasi momento per i trattamenti basati su consenso

6.8 Modalità di Esercizio
I diritti possono essere esercitati inviando richiesta a:
- Email: privacy@runtheons.com
- Risposta: Entro 30 giorni dalla richiesta

7. MISURE DI SICUREZZA

Runtheons implementa misure tecniche e organizzative appropriate per proteggere i dati personali:

7.1 Sicurezza Tecnica
- Crittografia: Comunicazioni protette con HTTPS/TLS
- Autenticazione: Password crittografate con algoritmi sicuri
- Controlli di accesso: Accesso limitato al personale autorizzato
- Firewall e protezioni: Sistemi di sicurezza perimetrale
- Backup crittografati: Copie di sicurezza protette

7.2 Sicurezza Organizzativa
- Formazione del personale su privacy e sicurezza
- Procedure di gestione degli incidenti di sicurezza
- Controlli regolari e audit di sicurezza
- Accordi di riservatezza con tutto il personale

7.3 Pseudonimizzazione e Minimizzazione
- Pseudonimizzazione dei dati quando possibile
- Minimizzazione: raccolta solo dei dati strettamente necessari
- Anonimizzazione per analisi statistiche aggregate

8. VIOLAZIONI DEI DATI (DATA BREACH)

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati:
- Notifica all'Autorità: Entro 72 ore al Garante Privacy
- Comunicazione agli utenti: Senza ritardo, se alto rischio
- Misure correttive: Immediate azioni per limitare i danni

9. PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE

9.1 Profilazione per il Servizio
Runtheons utilizza decisioni automatizzate per:
- Generazione piani personalizzati: Basati su algoritmi AI e dati utente
- Previsione rischio infortuni: Attraverso modelli predittivi
- Adattamento in tempo reale: Dei programmi di allenamento

9.2 Logica e Conseguenze
- Finalità: Migliorare performance e prevenire infortuni
- Logica: Algoritmi di machine learning su dati biometrici e performance
- Diritti: L'utente può richiedere intervento umano e contestare le decisioni

9.3 Controllo Utente
L'utente mantiene sempre il controllo finale sulle decisioni relative alla propria salute e allenamento.

10. COOKIE E TECNOLOGIE SIMILI

10.1 Cookie Essenziali
- Cookie di sessione: Per mantenere l'accesso alla piattaforma
- Cookie di preferenze: Per ricordare impostazioni utente
- Durata: Sessione o secondo necessità tecnica
- Base giuridica: Interesse legittimo per il funzionamento del servizio

10.2 Cookie Analitici
- Finalità: Analisi dell'utilizzo della piattaforma
- Dati raccolti: Statistiche di navigazione aggregate
- Base giuridica: Consenso
- Gestione: Banner per consenso cookie

10.3 Cookie di Terze Parti
- Stripe: Per elaborazione pagamenti e prevenzione frodi
- Google: Se utilizzati servizi Google integrati
- Controllo: Possibilità di gestire preferenze cookie

10.4 Gestione Cookie
L'utente può gestire le preferenze cookie attraverso:
- Banner di consenso sulla piattaforma
- Impostazioni del browser
- Strumenti di gestione privacy forniti

11. MINORI

Il servizio Runtheons è destinato esclusivamente a maggiorenni (18+ anni). Non raccogliamo consapevolmente dati di minori di 18 anni. Se venissimo a conoscenza di dati di minori, procederemo alla loro immediata cancellazione.

12. MODIFICHE ALL'INFORMATIVA

12.1 Aggiornamenti
Questa informativa può essere aggiornata per riflettere:
- Modifiche alle funzionalità del servizio
- Evoluzione normativa
- Nuove integrazioni tecnologiche

12.2 Comunicazione
Gli aggiornamenti saranno comunicati tramite:
- Email agli utenti registrati
- Notifica sulla piattaforma
- Pubblicazione sul sito web

12.3 Accettazione
L'uso continuato del servizio dopo le modifiche costituisce accettazione della nuova informativa.

13. DIRITTO DI RECLAMO

L'utente ha il diritto di presentare reclamo all'autorità di controllo competente:

Garante per la Protezione dei Dati Personali
- Sito web: www.gpdp.it
- Email: garante@gpdp.it
- Telefono: 06.69677.1

14. CONTATTI E RICHIESTE

Per qualsiasi questione relativa al trattamento dei dati personali:

Runtheons S.R.L.
- Email Privacy: privacy@runtheons.com
- Email generale: hello@runtheons.com
- Sito web: runtheons.com
- Indirizzo: Via Desenzano, 1, 25087 Salò (BS), Italia

Data di entrata in vigore: 30/06/2025
Ultima modifica: 30/06/2025

Utilizzando la piattaforma Runtheons, l'utente dichiara di aver letto e compreso la presente Informativa Privacy e di prestare il proprio consenso esplicito al trattamento dei dati sanitari per le finalità specificate.