Privacy Policy

Ultimo aggiornamento: 1 Aprile 2026

La presente Privacy Policy descrive le modalità di raccolta, utilizzo e protezione dei dati personali degli utenti dell'applicazione mobile “MA-ZONE Hub”, in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs 196/2003 (Codice Privacy italiano).

TITOLARE DEL TRATTAMENTO

Marco Di Micoli (titolare del brand “MA-ZONE Body As Home”)

Sede legale: Via Mameli 44, 21040 Morazzone (VA)

Sede operativa: Via Morazzone 19, 21045 Gazzada Schianno (VA)

P.IVA: 03844880124 | CF: DMCMRC89P25B300X

Email: info@ma-zone.it

SVILUPPATORE APPLICAZIONE

L'applicazione “MA-ZONE Hub” è stata sviluppata da Ivan Frenda su incarico del Titolare. Lo sviluppatore non ha accesso autonomo ai dati personali degli utenti, che sono gestiti esclusivamente dal Titolare tramite i sistemi indicati in questa policy.

1. RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)

In conformità all'Art. 37 GDPR, il Titolare non è tenuto alla nomina di un Responsabile della Protezione dei Dati (DPO), in quanto:

L'attività non è svolta da autorità pubblica
Il numero di dipendenti è inferiore a 250
Non si effettuano trattamenti su larga scala di dati sensibili o relativi a condanne penali

Per qualsiasi richiesta relativa alla protezione dei dati, è possibile contattare direttamente il Titolare all'indirizzo info@ma-zone.it.

2. DATI PERSONALI RACCOLTI

L'applicazione raccoglie e tratta le seguenti categorie di dati personali:

2.1 Dati Anagrafici e di Contatto

Nome e Cognome
Codice Fiscale
Data di Nascita
Indirizzo Email
Numero di Telefono
Indirizzo di Residenza (se necessario per fatturazione)

2.2 Dati Biometrici (Art. 9 GDPR)

L'applicazione supporta l'autenticazione tramite riconoscimento facciale (Face ID) o impronta digitale (Touch ID).

IMPORTANTE: I dati biometrici sono trattati esclusivamente in locale sul dispositivo dell'utente tramite le API di sicurezza di Apple (iOS) e Google (Android). Nessun dato biometrico viene mai trasmesso, archiviato o elaborato sui server del Titolare o di terze parti.

Base giuridica: Consenso esplicito dell'utente (Art. 9.2.a GDPR), ottenuto al momento dell'attivazione della funzionalità.

2.3 Dati relativi alle Prenotazioni

Data e ora delle prenotazioni
Tipologia di servizio prenotato (Fitness Boutique, Wellness Recovery, Personal Training)
Storico prenotazioni e cancellazioni

2.4 Dati relativi agli Abbonamenti

Tipologia abbonamento attivo
Data di inizio e scadenza
Ingressi/sedute disponibili (per servizi a consumo)
Storico acquisti

2.5 Dati di Pagamento

I pagamenti elettronici gestiti tramite Stripe riguardano esclusivamente gli abbonamenti Fitness Boutique con pagamento dilazionato (PIANO RATEALE RID) tramite Addebito Diretto SEPA. Per tutti gli altri acquisti (ingressi a consumo, pacchetti non dilazionati, ecc.) il pagamento avviene tramite contanti, bonifico bancario o POS della struttura e viene registrato amministrativamente dall'Admin a fini contabili.

SICUREZZA PAGAMENTI: Il Titolare non memorizza né ha accesso ai dati completi del conto bancario o ad altri dati sensibili del metodo di pagamento utilizzato su Stripe. L'infrastruttura Stripe gestisce l'addebito diretto SEPA in ambiente sicuro e crittografato.

Per le finalità di riconciliazione contabile vengono conservati solo:

Identificativi tecnici della transazione Stripe (es. ID pagamento, ID abbonamento, ID fattura Stripe);
Importo, valuta, data e stato del pagamento;
Collegamento tra la transazione e l'acquisto registrato nel gestionale.

2.6 Dati relativi all'Allenamento

Schede di allenamento assegnate dal Personal Trainer
Statistiche di utilizzo (accessi settimanali, frequenza allenamenti)
Note personali inserite dall'utente o dal trainer

NOTA – DATI SULLA SALUTE: Le note personali possono contenere informazioni relative allo stato di salute del Membro (es. infortuni, patologie, parametri fisici). Tali dati costituiscono dati particolari ai sensi dell'Art. 9 GDPR e sono trattati esclusivamente previo consenso esplicito dell'interessato (Art. 9.2.a GDPR), ottenuto in forma scritta al momento dell'iscrizione.

2.7 Dati Tecnici

Tipo di dispositivo e sistema operativo (inclusi codice IMEI e device ID)
Versione dell'applicazione
Log di accesso (timestamp, IP)
Crash report e dati diagnostici (solo se acconsentiti)

3. BASE GIURIDICA DEL TRATTAMENTO

Tipologia di Dati	Base Giuridica
Dati anagrafici, contatti, abbonamenti	Art. 6.1.b GDPR – Esecuzione del contratto di servizio
Dati biometrici (Face ID / Touch ID)	Art. 9.2.a GDPR – Consenso esplicito dell'utente
Dati di pagamento e fatturazione	Art. 6.1.c GDPR – Obbligo legale (normativa fiscale)
Dati tecnici e log di sistema	Art. 6.1.f GDPR – Legittimo interesse (sicurezza e diagnosi)
Dati relativi all'allenamento (incluse note sulla salute)	Art. 9.2.a GDPR – Consenso esplicito dell'interessato

4. FINALITÀ DEL TRATTAMENTO

4.1 Gestione Account e Accessi

Creazione e gestione dell'account utente
Autenticazione sicura tramite credenziali o biometria (se abilitata)
Verifica identità e controllo accessi alla struttura

4.2 Gestione Prenotazioni

Prenotazione sedute Wellness Recovery e slot Fitness Boutique
Controllo numero chiuso (capienza massima)
Gestione cancellazioni e penali per no-show
Notifiche promemoria

4.3 Gestione Pagamenti e Fatturazione

Elaborazione dei pagamenti elettronici tramite Stripe limitatamente agli abbonamenti Fitness Boutique con pagamento dilazionato in Addebito Diretto SEPA;
Registrazione dei pagamenti effettuati in contanti, bonifico bancario o POS della struttura per tutti gli altri prodotti e servizi;
Emissione di fatture elettroniche tramite l'integrazione con un servizio di fatturazione terzo (es. Fatture in Cloud di TeamSystem), nel rispetto della normativa fiscale;
Gestione di eventuali rimborsi e storni secondo la contrattualistica e la normativa vigente.

4.4 Erogazione Servizi di Allenamento

Assegnazione e visualizzazione schede workout
Monitoraggio progressi allenamento
Comunicazione con Personal Trainer

4.5 Customer Support

Gestione richieste di assistenza
Risoluzione problemi tecnici
Comunicazioni amministrative

4.6 Sicurezza e Diagnosi

Prevenzione frodi e accessi non autorizzati
Analisi crash e bug fixing
Miglioramento stabilità applicazione

4.7 Marketing e Profilazione (Opzionale)

Inivio di comunicazioni promozionali personalizzate
Segmentazione in base a interessi e preferenze di allenamento
Base giuridica: Consenso esplicito dell'interessato (Art. 6.1.a GDPR)

5. DESTINATARI DEI DATI

I Suoi dati personali potranno essere comunicati a soggetti che operano in qualità di Titolari autonomi o Responsabili del trattamento:

Partner e Collaboratori: Personale della palestra, istruttori esterni e consulenti amministrativi.
Assicurazioni e Autorità: Compagnie assicurative (per gestione sinistri) e Autorità di Pubblica Sicurezza/Giudiziaria per obblighi di legge.

5.1 Supabase Inc. (Database e Backend)

Fornitore: Supabase Inc. — Infrastruttura: AWS EU-WEST-1 (Irlanda)

Garanzie GDPR: Dati in server UE, crittografia AES-256, TLS 1.3, ISO 27001, SOC 2 Type II, DPA conforme GDPR.

5.2 Stripe Inc. (Gestione Pagamenti)

Fornitore: Stripe Inc. — PCI-DSS Level 1, SCC per trasferimenti verso USA, SCA conforme PSD2.

https://stripe.com/it/privacy

5.3 Netlify Inc. (Hosting Sito Web)

Hosting sito web istituzionale www.ma-zone.it. Nessun dato dell'app mobile transita attraverso Netlify.

5.4 TeamSystem S.p.A. (Fatture in Cloud)

Sede: Italia (Pesaro) — Società italiana soggetta direttamente al GDPR. DPA conforme GDPR.

https://www.teamsystem.com/privacy-policy

6. TRASFERIMENTI INTERNAZIONALI

I dati personali degli utenti sono archiviati esclusivamente in server localizzati nell'Unione Europea (Irlanda – AWS EU-WEST-1). Stripe utilizza le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea. Nessun altro trasferimento extra-UE è previsto.

7. CONSERVAZIONE DEI DATI

Tipologia di Dati	Periodo di Conservazione
Dati account attivo	Per tutta la durata del rapporto contrattuale
Dati account eliminato (soft delete)	30 giorni dalla richiesta, poi anonimizzazione irreversibile
Dati di fatturazione	10 anni (obbligo fiscale DPR 633/1972)
Dati statistici anonimi	Indefinita (non riconducibili all'utente)
Dati per finalità di marketing	12 mesi dal conferimento del consenso
Log di sistema e audit	12 mesi (sicurezza e diagnosi)

8. DIRITTI DELL'INTERESSATO (GDPR ARTT. 15-22)

8.1 Diritto di Accesso (Art. 15 GDPR)

Hai il diritto di ottenere conferma dell'esistenza dei tuoi dati personali e di riceverne una copia in formato leggibile.

8.2 Diritto di Rettifica (Art. 16 GDPR)

Puoi richiedere la correzione di dati inesatti tramite l'app (sezione Profilo) o contattando info@ma-zone.it.

8.3 Diritto alla Cancellazione (Art. 17 GDPR)

Puoi richiedere la cancellazione dei tuoi dati tramite la funzione “Richiedi Cancellazione Account” disponibile nell'app. Anonimizzazione entro 30 giorni. Dati di fatturazione conservati per obbligo legale (10 anni).

8.4 Diritto alla Limitazione del Trattamento (Art. 18 GDPR)

Puoi richiedere il “congelamento” temporaneo del trattamento dei tuoi dati.

8.5 Diritto alla Portabilità dei Dati (Art. 20 GDPR)

Puoi richiedere di ricevere i tuoi dati in formato strutturato (es. JSON, CSV).

8.6 Diritto di Opposizione (Art. 21 GDPR)

Puoi opporti al trattamento dei dati basato su legittimo interesse.

8.7 Diritto di Reclamo al Garante Privacy

Garante per la Protezione dei Dati Personali

Piazza Venezia 11, 00187 Roma — Tel: +39 06 696771

Email: garante@gpdp.it — PEC: protocollo@pec.gpdp.it

Sito: www.garanteprivacy.it

8.8 Come Esercitare i Tuoi Diritti

Invia richiesta via email a info@ma-zone.it con oggetto “Esercizio diritti GDPR – [Nome Cognome]”. Risposta entro 30 giorni.

9. SICUREZZA DEI DATI

Crittografia: AES-256 at-rest, TLS 1.3 in transito
Autenticazione Multi-Fattore: Supporto 2FA opzionale
Biometria Locale: Face ID / Touch ID processati solo on-device
Backup Crittografati: Backup giornalieri cifrati su server UE
DPA con Fornitori: Accordi di protezione dati con Supabase, Stripe, Netlify

In caso di data breach: notifica al Garante entro 72 ore; comunicazione agli interessati senza ingiustificato ritardo.

10. COOKIE E TECNOLOGIE SIMILI

L'applicazione mobile non utilizza cookie. Utilizza Supabase Auth Token (JWT) per sessione utente e Local Storage per preferenze locali. Nessun dato viene condiviso con reti pubblicitarie o social network.

11. MINORENNI

L'applicazione è destinata a utenti maggiorenni (≥ 18 anni). Per rimozione dati di minori: info@ma-zone.it.

12. MODIFICHE ALLA PRIVACY POLICY

Il Titolare si riserva il diritto di modificare la presente Privacy Policy. Gli utenti saranno informati tramite notifica push, email o banner nell'app.

13. CONTATTI

Marco Di Micoli – Titolare del Trattamento

Email: info@ma-zone.it

Indirizzo: Via Morazzone 19, 21045 Gazzada Schianno (VA)

La presente Privacy Policy è redatta in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs 196/2003.