Informativa sulla Privacy
Informativa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
Ultimo aggiornamento: maggio 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
- Ragione sociale: New Magic SRL
- Sede legale: Via Statale 467, 24 — 42013 Casalgrande (RE)
- P.IVA / C.F.: 03049510351
- Email: info@newmagicfitness.it
(di seguito, il "Titolare").
Il Titolare non ha designato un Responsabile della Protezione dei Dati (DPO/RPD) in quanto il trattamento dei dati, pur comprendendo dati relativi alla salute, non avviene su larga scala ai sensi dell'Art. 37 del GDPR.
2. Tipologie di dati trattati
a) Dati di registrazione e identificazione
Al momento della registrazione raccogliamo: nome, cognome, indirizzo email, numero di telefono (facoltativo), password (conservata in forma crittografata con hash).
b) Dati relativi alla salute
Il certificato medico sportivo, caricato volontariamente dall'utente, costituisce un dato particolare ai sensi dell'Art. 9 del GDPR (dato relativo alla salute). Il trattamento di questo dato avviene esclusivamente previo consenso esplicito dell'interessato, per la sola finalità di verificare l'idoneità alla pratica sportiva.
c) Foto profilo
L'utente può caricare una foto profilo per personalizzare il proprio account. Il caricamento è facoltativo.
d) Dati di navigazione e tecnici
L'applicazione utilizza esclusivamente cookie tecnici di sessione, necessari per l'autenticazione e il funzionamento del servizio. Non vengono utilizzati cookie di profilazione, analytics o tracciamento di terze parti. Per maggiori dettagli, consulta la sezione "Cookie" di questa informativa.
I server dell'applicazione, inclusa l'infrastruttura di hosting Vercel, registrano automaticamente dati di log quali indirizzo IP, orario della richiesta, URL richiesto, codice di risposta HTTP e informazioni sul browser (user agent). Tali dati sono raccolti per finalità di sicurezza informatica, prevenzione degli accessi non autorizzati e diagnosi di problemi tecnici, e vengono conservati per un periodo non superiore a 30 giorni, salvo necessità di indagine su specifici incidenti di sicurezza.
e) Dati relativi alle notifiche push
Se l'utente abilita le notifiche push tramite il browser, viene registrato l'endpoint di sottoscrizione del dispositivo per l'invio delle notifiche. L'attivazione è facoltativa e revocabile in qualsiasi momento dalle impostazioni.
f) Dati dell'auto-anamnesi
L'applicazione consente all'utente di compilare una scheda di auto-anamnesi per consentire la personalizzazione del programma di allenamento. Tale scheda raccoglie:
- Dati anagrafici e biografici: data di nascita, età, professione;
- Obiettivi di allenamento;
- Attività sportiva: sport praticato, anni di pratica, livello, frequenza settimanale;
- Esperienza in palestra e livello con i pesi;
- Dati relativi alla salute (dati particolari ai sensi dell'Art. 9 GDPR): patologie attuali o pregresse, infortuni, presenza di dolore e sua localizzazione, interventi chirurgici, farmaci assunti, limitazioni di movimento;
- Disponibilità settimanale e fasce orarie preferite.
Il trattamento dei dati relativi alla salute contenuti nell'auto-anamnesi avviene esclusivamente previo consenso esplicito dell'interessato (Art. 9.2.a GDPR), espresso al momento della compilazione della scheda. La compilazione dell'auto-anamnesi è facoltativa. I dati sono accessibili esclusivamente al personal trainer o all'amministratore dello studio assegnato all'utente.
g) Visibilità tra partecipanti dei corsi
L'utente può scegliere di rendere visibile il proprio nome (nome e iniziale del cognome) e la propria foto profilo agli altri utenti iscritti allo stesso corso. Questa funzionalità è disattivata per impostazione predefinita (opt-in) e può essere attivata o disattivata in qualsiasi momento dalle impostazioni del profilo. Solo gli utenti che hanno attivato questa opzione saranno visibili, e solo agli altri partecipanti effettivamente iscritti allo stesso corso.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica |
|---|---|
| Creazione e gestione dell'account utente | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Prenotazione corsi e gestione schede allenamento | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Invio comunicazioni transazionali (reset password, approvazione account) | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Verifica certificato medico sportivo (idoneità sportiva) | Consenso esplicito (Art. 9.2.a GDPR) |
| Invio notifiche push (promemoria, comunicazioni) | Consenso (Art. 6.1.a GDPR) |
| Gestione abbonamenti e ingressi | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Raccolta e trattamento dell'auto-anamnesi per la personalizzazione del programma di allenamento | Consenso esplicito (Art. 9.2.a GDPR) |
| Condivisione di nome (nome e iniziale cognome) e foto profilo con gli altri partecipanti dello stesso corso | Consenso (Art. 6.1.a GDPR) — opt-in attivabile dalle impostazioni del profilo, revocabile in qualsiasi momento |
| Gestione dei log di accesso (IP, orari, user agent) per sicurezza informatica e prevenzione frodi | Legittimo interesse del Titolare (Art. 6.1.f GDPR) |
| Adempimenti di legge (conservazione documentale, obblighi fiscali) | Obbligo legale (Art. 6.1.c GDPR) |
4. Destinatari dei dati
I dati personali possono essere comunicati ai seguenti soggetti, nominati Responsabili del trattamento ex Art. 28 GDPR:
- MongoDB, Inc. (MongoDB Atlas) — hosting del database. I dati sono conservati su server situati nell'Unione Europea (regione EU). Il trasferimento di dati verso la casa madre statunitense è regolato dalle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'Art. 46 GDPR.
- Resend, Inc. — servizio di invio email transazionali (reset password, notifiche di approvazione). Resend è una società statunitense; il trasferimento dei dati negli USA avviene sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'Art. 46 GDPR.
- Vercel, Inc. (Vercel Blob Storage) — archiviazione sicura dei file caricati (foto profilo, certificati medici). Vercel è una società statunitense certificata nell'ambito dell'EU-US Data Privacy Framework (DPF), adottato dalla Commissione Europea con decisione di adeguatezza del 10 luglio 2023 (Art. 45 GDPR).
I dati non vengono trasferiti a soggetti terzi per finalità di marketing o profilazione. Tutti i trasferimenti verso Paesi extra-UE avvengono nel rispetto delle garanzie previste dal GDPR, segnatamente mediante decisioni di adeguatezza (Art. 45 GDPR), Clausole Contrattuali Standard (SCC — Art. 46 GDPR) o adesione al Data Privacy Framework EU-USA (DPF), come specificato per ciascun fornitore sopra indicato.
5. Periodo di conservazione
- Dati dell'account: conservati per tutta la durata del rapporto contrattuale e successivamente per il periodo previsto dagli obblighi di legge (massimo 10 anni dalla cessazione del rapporto).
- Certificati medici: conservati fino alla scadenza del certificato o fino alla cancellazione dell'account, salvo diversi obblighi di legge.
- Foto profilo: conservata fino alla sostituzione o alla cancellazione dell'account.
- Dati di notifica push: conservati fino alla revoca del consenso o alla cancellazione dell'account.
- Auto-anamnesi: conservata fino alla revoca del consenso, alla cancellazione da parte dell'amministratore o alla cancellazione dell'account. L'utente può richiedere la cancellazione in qualsiasi momento contattando il Titolare.
6. Cookie e tecnologie similari
Questa applicazione utilizza esclusivamente cookie tecnici, necessari per il corretto funzionamento del servizio. Non vengono utilizzati cookie di profilazione, analitici di terze parti o di tracciamento.
| Cookie | Tipo | Finalità | Durata |
|---|---|---|---|
authjs.session-token | Tecnico / di sessione | Autenticazione dell'utente e mantenimento della sessione di accesso | Sessione del browser (o fino a 30 giorni) |
authjs.csrf-token | Tecnico / di sicurezza | Protezione da attacchi CSRF (Cross-Site Request Forgery) | Sessione del browser |
authjs.callback-url | Tecnico | Gestione del redirect dopo l'autenticazione | Sessione del browser |
Ai sensi delle Linee Guida del Garante per la protezione dei dati personali del 10 giugno 2021 (doc. web n. 9677876), i cookie tecnici non richiedono il consenso dell'utente, ma è necessario fornire un'adeguata informativa, qui resa disponibile.
L'applicazione utilizza inoltre localStorage del browser per memorizzare la preferenza di tema (chiaro/scuro). Questo dato resta memorizzato esclusivamente nel dispositivo dell'utente e non viene trasmesso a nessun server.
7. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:
- Accesso — ottenere conferma dell'esistenza dei propri dati e riceverne copia;
- Rettifica — ottenere la correzione di dati inesatti o incompleti;
- Cancellazione ("diritto all'oblio") — ottenere la cancellazione dei dati, nei casi previsti dalla legge;
- Limitazione del trattamento — ottenere la limitazione del trattamento nei casi previsti;
- Portabilità — ricevere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
- Opposizione — opporsi al trattamento per motivi legittimi;
- Revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
Per esercitare i propri diritti, l'interessato può contattare il Titolare all'indirizzo email indicato nella sezione 1 della presente informativa.
L'interessato ha inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
8. Conferimento dei dati
Il conferimento dei dati di registrazione (nome, cognome, email, password) è necessario per l'accesso al servizio. Il mancato conferimento rende impossibile la creazione dell'account e l'utilizzo dell'applicazione.
Il conferimento del numero di telefono e della foto profilo è facoltativo.
Il conferimento del certificato medico è facoltativo, ma potrebbe essere richiesto dalla palestra per consentire la partecipazione alle attività sportive, in conformità alla normativa vigente in materia di idoneità alla pratica sportiva non agonistica (D.M. 24 aprile 2013).
La compilazione dell'auto-anamnesi è facoltativa. Il conferimento dei dati relativi alla salute ivi contenuti richiede il consenso esplicito dell'interessato ai sensi dell'Art. 9.2.a GDPR, che potrà essere revocato in qualsiasi momento contattando il Titolare.
9. Trattamento dei dati dei minori
L'applicazione è destinata a utenti che abbiano compiuto almeno 14 (quattordici) anni di età, in conformità all'Art. 8 del GDPR e all'Art. 2-quinquies del D.Lgs. 196/2003.
Per gli utenti di età compresa tra 14 e 17 anni, il consenso al trattamento dei dati personali può essere prestato direttamente dall'interessato. Per gli utenti di età inferiore ai 14 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Il Titolare non raccoglie consapevolmente dati personali di soggetti di età inferiore ai 14 anni senza il preventivo consenso del genitore o tutore legale. Qualora venisse accertata la raccolta accidentale di tali dati, il Titolare provvederà alla loro cancellazione tempestiva.
10. Modifiche all'informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli utenti tramite l'applicazione. La versione aggiornata sarà sempre disponibile a questa pagina.