FlexDropin

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003

Data di entrata in vigore: 24/02/2026

Termini  |  Privacy  |  Cookie

 

Introduzione

La presente Informativa sul Trattamento dei Dati Personali (di seguito "Informativa") descrive in modo trasparente e dettagliato le modalità con cui FlexDropin raccoglie, utilizza, conserva, condivide e protegge i dati personali degli utenti della piattaforma, nonché i diritti che la normativa applicabile riconosce agli interessati e le modalità per esercitarli.

FlexDropin è una piattaforma mobile dedicata alla prenotazione di sessioni drop-in in palestre e strutture sportive (CrossFit, Yoga, Functional Training e altre discipline). La piattaforma si rivolge a due categorie di soggetti: gli atleti (utenti che cercano e prenotano sessioni) e i gestori di palestre (titolari che registrano la propria struttura, pubblicano lezioni e ricevono pagamenti).

La presente Informativa si applica all'applicazione mobile FlexDropin, al sito web flexdropin.com e a tutti i servizi, prodotti, tecnologie e funzionalità correlati (collettivamente, i "Servizi"). Ti invitiamo a leggere anche i nostri Termini e Condizioni di Utilizzo, che disciplinano l'accesso e l'utilizzo dei Servizi.

NOTA IMPORTANTE SUI DATI SANITARI: L'app raccoglie e conserva certificati medici sportivi degli utenti atleti. Tali documenti costituiscono dati relativi alla salute ai sensi dell'Art. 9 GDPR e sono sottoposti a tutele rafforzate. Il relativo trattamento avviene esclusivamente previo consenso esplicito dell'interessato e con misure di sicurezza adeguate alla loro natura sensibile.

 

1. Titolare del Trattamento e Responsabile della Protezione dei Dati

1.1 Titolare del Trattamento

Il Titolare del Trattamento dei dati personali raccolti tramite i Servizi è:

Maria Petaccia

Sede legale: Via Dante Alighieri 40, 65012 Cepagatti (PE), Italia

Codice Fiscale: PTCMRA67L44C474J

Email: info@flexdropin.com

Sito web: https://flexdropin.com

(di seguito "FlexDropin", "noi", "nostro" o "ci")

1.2 Responsabile della Protezione dei Dati (DPO)

Il Titolare ha nominato un Responsabile della Protezione dei Dati (Data Protection Officer) ai sensi dell'Art. 37 GDPR, raggiungibile ai seguenti recapiti:

Email DPO: dpo@flexdropin.com

Il DPO è disponibile per qualsiasi questione relativa al trattamento dei dati personali e all'esercizio dei diritti riconosciuti dalla normativa applicabile. Tutte le comunicazioni relative alla privacy saranno trattate con la massima riservatezza.

 

2. Categorie di Interessati e Ambito di Applicazione

La presente Informativa si applica alle seguenti categorie di interessati:

2.1 Utenti Atleti

Persone fisiche che scaricano l'app, creano un account e utilizzano FlexDropin per cercare palestre, visualizzare il calendario delle lezioni, effettuare prenotazioni e gestire i pagamenti. Gli atleti possono caricare certificati medici sportivi e ricevere notifiche push relative alle proprie prenotazioni.

2.2 Gestori di Palestre

Persone fisiche o giuridiche rappresentate da un referente persona fisica che registra la propria struttura sulla piattaforma, crea lezioni, gestisce le prenotazioni ricevute e configura il proprio account Stripe Connect per la ricezione dei pagamenti. Un medesimo account può svolgere sia il ruolo di atleta sia quello di gestore.

2.3 Visitatori del Sito Web

Persone che accedono al sito web flexdropin.com senza necessariamente creare un account. Per tali soggetti il trattamento è limitato ai dati tecnici di navigazione e a quelli eventualmente forniti attraverso moduli di contatto.

 

3. Categorie di Dati Personali Raccolti

3.1 Dati Forniti Direttamente dall'Utente Atleta

3.1.1 Dati di Registrazione e Profilo

• Nome e cognome
• Indirizzo email
• Password (conservata in forma crittografata e non accessibile in chiaro)
• Foto profilo (opzionale, caricata dall'utente)
• Modalità di registrazione: email/password, Sign in with Apple, Google Sign-In

Quando l'utente si registra tramite Apple o Google, FlexDropin riceve esclusivamente le informazioni che il provider autorizza a condividere (tipicamente: nome, indirizzo email e, nel caso di Google, foto profilo). Non vengono mai ricevute né conservate le credenziali di accesso al servizio terzo.

3.1.2 Dati Sanitari — Certificato Medico Sportivo

CATEGORIA SPECIALE DI DATI (Art. 9 GDPR): Il certificato medico sportivo costituisce dato relativo alla salute. Il suo trattamento è subordinato al consenso esplicito e specifico dell'interessato, rilasciato mediante apposito flag nell'app, distinto dal consenso generale ai Termini di Utilizzo. Il consenso è revocabile in qualsiasi momento.

I dati raccolti in relazione al certificato medico comprendono:

• Il file del certificato medico (PDF o immagine), caricato e conservato su Supabase Storage con crittografia a riposo
• La data di scadenza del certificato
• Lo stato dell'autocertificazione firmata dall'utente

Tali dati sono accessibili esclusivamente all'utente atleta e, limitatamente alla verifica della validità, alla palestra presso cui l'utente intende effettuare la prenotazione, ove la palestra abbia attivato il requisito del certificato medico come condizione per la prenotazione.

3.1.3 Dati di Prenotazione e Pagamento

• Storico delle prenotazioni (palestra, lezione, data, orario, stato)
• Stato del pagamento (gratuito, in attesa, confermato, cancellato, rimborsato)
• Importo pagato

I dati della carta di pagamento o degli altri strumenti di pagamento (Apple Pay, ecc.) non vengono mai trasmessi a FlexDropin né conservati sui nostri sistemi. Il trattamento dei dati di pagamento è effettuato interamente da Stripe, Inc., certificata PCI-DSS livello 1, nell'ambito del modello Stripe Connect (Direct Charges). FlexDropin riceve esclusivamente la conferma dell'esito del pagamento tramite webhook.

3.1.4 Preferenze e Ricerche

• Ultime 5 ricerche effettuate (conservate in locale sul dispositivo tramite AsyncStorage)
• Filtri preferiti (categoria, distanza)
• Posizione geografica salvata nelle preferenze
• Modalità selezionata (atleta o gestore)

3.2 Dati Forniti dal Gestore di Palestra

• Nome e cognome del referente
• Nome della struttura sportiva
• Descrizione della palestra
• Indirizzo completo della sede (con coordinate geografiche derivate da geocodifica Mapbox)
• Categorie di attività offerte (es. CrossFit, Yoga, Pilates)
• Recapiti di contatto: telefono, email, sito web, profili social (Instagram, Facebook, TikTok)
• Logo e immagine di copertina della palestra (caricati su Supabase Storage)
• Partita IVA (opzionale, soggetta a validazione tramite API europea VIES)
• Dati relativi agli istruttori (nome, cognome, foto)
• Dati relativi all'account Stripe Connect (gestiti da Stripe; FlexDropin conserva l'identificativo dell'account Stripe e lo stato di abilitazione ai pagamenti)

3.3 Dati Raccolti Automaticamente dall'Utilizzo dei Servizi

3.3.1 Dati Tecnici e di Sessione

• Indirizzo IP
• Tipo e versione del sistema operativo (iOS, Android)
• Modello del dispositivo
• Versione dell'app
• Lingua del dispositivo
• Token di autenticazione Supabase (conservato in locale e invalidato al logout)
• Token push per notifiche (Expo Push Notifications), associato all'ID utente

3.3.2 Dati di Utilizzo

• Schermate visualizzate e funzionalità utilizzate
• Ricerche effettuate e filtri applicati
• Interazioni con il calendario lezioni
• Stato e cronologia delle prenotazioni
• Preferenze di notifica

3.3.3 Dati di Geolocalizzazione

La geolocalizzazione è una funzionalità opzionale. FlexDropin richiede il permesso di accesso alla posizione del dispositivo esclusivamente per le seguenti finalità:

• Mostrare le palestre nelle vicinanze dell'utente (tab "Cerca" → filtro "Vicino a me")
• Visualizzare le palestre su mappa nella tab "Esplora"

L'utente può negare o revocare il permesso di geolocalizzazione in qualsiasi momento dalle impostazioni del dispositivo, continuando a utilizzare tutte le altre funzionalità dell'app (ricerca per nome, ricerca per indirizzo inserito manualmente).

La posizione, quando acquisita, viene elaborata localmente e trasmessa alle API Mapbox esclusivamente per la ricerca geografica. Non viene conservata in forma identificativa sui server di FlexDropin.

 

4. Finalità del Trattamento e Basi Giuridiche

Ogni trattamento di dati personali effettuato da FlexDropin è fondato su una specifica base giuridica ai sensi dell'Art. 6 GDPR (e, ove applicabile, dell'Art. 9 GDPR per le categorie speciali di dati). Di seguito si illustrano le finalità, le basi giuridiche e la natura obbligatoria o facoltativa del conferimento dei dati.

 

Finalità	Dati trattati	Base giuridica	Conferimento
Creazione e gestione dell'account	Email, nome, password, metodo di login	Contratto (Art. 6.1.b)	Obbligatorio
Autenticazione e sicurezza	Token di sessione, IP, dispositivo	Interesse legittimo (Art. 6.1.f)	Obbligatorio
Erogazione del servizio di prenotazione	Dati profilo, calendario, stato prenotazione	Contratto (Art. 6.1.b)	Obbligatorio
Gestione pagamenti e rimborsi	ID transazione, importo, stato pagamento	Contratto (Art. 6.1.b)	Obbligatorio per lezioni a pagamento
Conservazione e verifica certificato medico	File certificato, data scadenza	Consenso esplicito (Art. 9.2.a)	Facoltativo (obbligatorio se la palestra lo richiede)
Geolocalizzazione per ricerca palestre	Coordinate GPS, query geocodifica	Consenso (Art. 6.1.a)	Facoltativo
Notifiche push (promemoria lezioni, prenotazioni)	Token push, ID utente	Consenso (Art. 6.1.a)	Facoltativo
Registrazione e gestione palestra	Dati palestra, istruttori, P.IVA	Contratto (Art. 6.1.b)	Obbligatorio per gestori
Onboarding Stripe Connect per gestori	Dati account Stripe, stato verifica	Contratto (Art. 6.1.b)	Obbligatorio per ricevere pagamenti
Analytics aggregate per miglioramento servizi	Dati uso aggregati e anonimizzati	Interesse legittimo (Art. 6.1.f)	Non applicabile (dati anonimi)
Prevenzione frodi e sicurezza della piattaforma	IP, dispositivo, log tecnici	Interesse legittimo (Art. 6.1.f)	Obbligatorio
Adempimenti fiscali e contabili	Dati transazioni, P.IVA, commissioni	Obbligo legale (Art. 6.1.c)	Obbligatorio
Invio comunicazioni relative all'account	Email, notifiche push	Contratto (Art. 6.1.b)	Obbligatorio
Comunicazioni di marketing (newsletter, promozioni)	Email	Consenso (Art. 6.1.a)	Facoltativo

 

LEGITTIMO INTERESSE: Prima di fare affidamento sull'interesse legittimo come base giuridica, FlexDropin effettua un bilanciamento (balancing test) tra il proprio interesse e i diritti e le libertà fondamentali degli interessati, assicurandosi che il trattamento non pregiudichi in modo ingiustificato la sfera dell'interessato. L'interessato ha il diritto di opporsi a tali trattamenti ai sensi dell'Art. 21 GDPR.

 

5. Trattamento di Categorie Particolari di Dati (Art. 9 GDPR)

I certificati medici sportivi caricati dagli utenti atleti costituiscono dati relativi alla salute ai sensi dell'Art. 9(1) GDPR. In quanto tali, sono soggetti al divieto generale di trattamento, salvo che ricorra una delle eccezioni previste dall'Art. 9(2) GDPR.

FlexDropin tratta tali dati esclusivamente sulla base del consenso esplicito dell'interessato ai sensi dell'Art. 9(2)(a) GDPR, raccolto mediante:

• Un'apposita schermata di consenso informato nell'app, distinta dall'accettazione dei Termini di Utilizzo
• Un flag di conferma specifico per il trattamento dei dati sanitari
• Un'autocertificazione firmata dall'utente relativa alla veridicità del documento

Le garanzie adottate per la protezione di tali dati includono:

• Crittografia a riposo dei file su Supabase Storage
• Crittografia in transito mediante TLS/SSL
• Accesso limitato: il file è accessibile esclusivamente all'utente stesso; le palestre visualizzano unicamente lo stato di validità (valido/scaduto/assente), non il contenuto del documento
• Nessuna condivisione con terze parti a fini commerciali o pubblicitari
• Diritto di cancellazione esercitabile in qualsiasi momento dal profilo utente

Il consenso al trattamento dei dati sanitari è interamente facoltativo. La sua mancanza non impedisce l'utilizzo dell'app, ma può impedire la prenotazione presso quelle palestre che richiedono la verifica del certificato medico come condizione per l'accesso.

 

6. Comunicazione e Condivisione dei Dati con Terze Parti

FlexDropin non vende, non cede a titolo oneroso e non noleggia i dati personali degli utenti a terze parti per finalità commerciali o pubblicitarie proprie di tali terze parti.

I dati personali possono essere condivisi nelle seguenti circostanze:

6.1 Responsabili del Trattamento (Art. 28 GDPR)

FlexDropin si avvale dei seguenti fornitori di servizi, nominati Responsabili del Trattamento ai sensi dell'Art. 28 GDPR, vincolati da appositi accordi contrattuali (Data Processing Agreement) che ne limitano l'uso dei dati alle sole finalità indicate:

 

Fornitore	Paese	Servizio fornito	Dati condivisi	Privacy Policy
Supabase Inc.	USA (SCC)	Database, autenticazione, storage, Edge Functions, real-time	Tutti i dati utente e palestra	supabase.com/privacy
Mapbox, Inc.	USA (SCC)	Mappe interattive, geocodifica indirizzi, ricerca geografica	Query geografiche, coordinate GPS (se autorizzate)	mapbox.com/legal/privacy
Stripe, Inc.	USA (SCC)	Pagamenti, rimborsi, Stripe Connect onboarding gestori	ID transazione, importo, stato pagamento, dati account palestra	stripe.com/privacy
Expo (Snack Tech)	USA (SCC)	Notifiche push iOS e Android	Token push, ID utente	expo.dev/privacy
Apple Inc.	USA (SCC)	Sign in with Apple, notifiche push iOS (APNs)	Nome, email (da Apple ID)	apple.com/legal/privacy
Google LLC	USA (SCC)	Google Sign-In, notifiche push Android (FCM)	Nome, email, foto profilo (da account Google)	policies.google.com/privacy
Vercel Inc.	USA (SCC)	Hosting sito web, gestione redirect autenticazione e Stripe	Dati tecnici di navigazione, redirect post-pagamento	vercel.com/legal/privacy-policy

 

6.2 Condivisione tra Utenti della Piattaforma

Nell'ambito del normale funzionamento del servizio, alcune informazioni sono visibili ad altri utenti della piattaforma:

• Agli atleti che visualizzano la scheda di una palestra: nome della palestra, descrizione, indirizzo, categorie, contatti, logo, cover, calendario lezioni e istruttori
• Ai gestori di palestra: nome e cognome dell'atleta prenotante, data e lezione prenotata, importo pagato, stato della prenotazione, e — limitatamente alla verifica della validità — lo stato del certificato medico (valido/scaduto/assente, non il documento stesso)

I gestori di palestra non hanno mai accesso al contenuto del certificato medico dell'atleta, ma esclusivamente al suo stato di validità (valido, scaduto o non presente).

6.3 Condivisione per Obblighi Legali

FlexDropin può comunicare i dati personali a autorità pubbliche, forze dell'ordine o organi giudiziari quando ciò sia richiesto da un obbligo di legge, da un ordine dell'autorità giudiziaria o amministrativa, ovvero quando tale comunicazione sia necessaria per:

• Far valere, esercitare o difendere un diritto in sede giudiziaria
• Prevenire danni gravi a persone o cose
• Adempiere a obblighi fiscali e contabili

In tali casi, FlexDropin si limita a condividere i dati strettamente necessari allo scopo, nel rispetto del principio di minimizzazione (Art. 5.1.c GDPR).

6.4 Trasferimento dell'Attività

In caso di fusione, acquisizione, cessione d'azienda o procedure concorsuali che coinvolgano FlexDropin, i dati personali potranno essere trasferiti al cessionario o all'acquirente, nel rispetto della normativa applicabile e previa informativa agli interessati, che potranno esercitare i propri diritti nei confronti del nuovo Titolare.

 

7. Trasferimenti Internazionali di Dati

Tutti i fornitori elencati nella Sezione 6.1 hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo (SEE) verso tali paesi è effettuato nel rispetto delle garanzie previste dal Capo V del GDPR, mediante i seguenti strumenti:

• Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021
• Accordo sul quadro di protezione dei dati UE-USA (EU-US Data Privacy Framework), ove il fornitore sia certificato
• Decisioni di adeguatezza della Commissione Europea, ove applicabili

FlexDropin ha stipulato Data Processing Agreement (DPA) conformi all'Art. 28 GDPR con ciascuno dei propri fornitori, verificando che questi ultimi adottino misure tecniche e organizzative adeguate a proteggere i dati trasferiti.

L'utente ha diritto di richiedere copia delle garanzie adottate per i trasferimenti internazionali scrivendo a dpo@flexdropin.com.

 

8. Periodi di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (Art. 5.1.e GDPR), e comunque non oltre i termini di seguito indicati:

 

Categoria di dati	Periodo di conservazione	Motivazione
Dati di account (email, nome, password hash)	Fino alla cancellazione dell'account o 3 anni di inattività	Esecuzione del contratto
Certificato medico (file e metadati)	Fino alla scadenza del certificato + 30 giorni, o alla cancellazione del consenso da parte dell'utente, se precedente	Consenso — revocabile in qualsiasi momento
Storico prenotazioni e pagamenti	10 anni dalla data della transazione	Obblighi fiscali e contabili (D.P.R. 600/1973)
Dati palestra (profilo, lezioni, istruttori)	Fino alla cancellazione della palestra o dell'account gestore	Esecuzione del contratto
Dati account Stripe Connect (gestore)	10 anni dalla chiusura dell'account Stripe	Obblighi fiscali e regolamentari Stripe/PSD2
Log tecnici e di sistema	12 mesi dall'ultima interazione	Interesse legittimo (sicurezza e diagnostica)
Token push notifiche	Fino alla disabilitazione delle notifiche o alla cancellazione dell'account	Consenso
Dati di geolocalizzazione	Non conservati in forma identificativa; elaborati in tempo reale	Minimizzazione (Art. 5.1.c GDPR)
Ricerche recenti (AsyncStorage)	Conservate localmente sul dispositivo; cancellate con la disinstallazione dell'app o dalla sezione profilo	Contratto / interesse dell'utente
Dati per tutela legale (contenzioso)	Fino a 10 anni o fino alla conclusione del procedimento	Obbligo legale / interesse legittimo

 

Alla scadenza dei termini indicati, i dati saranno definitivamente cancellati ovvero anonimizzati in modo irreversibile, così da non consentire più l'identificazione dell'interessato. La mera anonimizzazione non costituisce conservazione ai fini del GDPR.

 

9. Diritti degli Interessati

La normativa applicabile riconosce agli interessati un insieme articolato di diritti nei confronti del Titolare del Trattamento. Tali diritti sono esercitabili senza formalità e senza costi, salvo i casi di richieste manifestamente infondate o eccessive.

9.1 Diritto di Accesso (Art. 15 GDPR)

L'interessato ha il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati personali trattati, alle finalità del trattamento, alle categorie di dati interessati, ai destinatari o categorie di destinatari, al periodo di conservazione previsto e all'esistenza di eventuali trasferimenti internazionali.

9.2 Diritto di Rettifica (Art. 16 GDPR)

L'interessato ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano e l'integrazione di quelli incompleti, tenuto conto delle finalità del trattamento. La maggior parte delle informazioni del profilo è modificabile direttamente dall'utente nelle impostazioni dell'app.

9.3 Diritto alla Cancellazione ("Diritto all'Oblio", Art. 17 GDPR)

L'interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, nei seguenti casi:

• I dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti
• L'interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico
• L'interessato si oppone al trattamento e non sussiste un motivo legittimo prevalente
• I dati sono stati trattati illecitamente

Il diritto alla cancellazione non si applica quando il trattamento è necessario per l'adempimento di un obbligo legale, per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, o per le ulteriori finalità di cui all'Art. 17(3) GDPR. In tali casi, FlexDropin comunicherà all'interessato i motivi del diniego.

Per cancellare l'account è possibile accedere a: Profilo → Impostazioni Account → Elimina account. Dopo la cancellazione, i dati saranno rimossi entro 30 giorni, fatti salvi i periodi di conservazione obbligatori indicati nella Sezione 8.

9.4 Diritto di Limitazione del Trattamento (Art. 18 GDPR)

L'interessato ha il diritto di ottenere la limitazione del trattamento quando:

• Contesta l'esattezza dei dati personali (per il periodo necessario alla verifica)
• Il trattamento è illecito e l'interessato si oppone alla cancellazione
• I dati sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, sebbene il Titolare non ne abbia più bisogno
• L'interessato si è opposto al trattamento in attesa della verifica della prevalenza dei motivi legittimi del Titolare

9.5 Diritto alla Portabilità dei Dati (Art. 20 GDPR)

L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti al Titolare, e di trasmetterli a un altro titolare del trattamento senza impedimenti, quando il trattamento si basa sul consenso o su un contratto e avviene con mezzi automatizzati.

9.6 Diritto di Opposizione (Art. 21 GDPR)

L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano effettuato sulla base dell'interesse legittimo del Titolare (Art. 6.1.f GDPR). In tal caso, il Titolare si astiene dal trattare ulteriormente i dati personali salvo che dimostri l'esistenza di motivi legittimi cogenti che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato.

L'interessato ha altresì il diritto di opporsi in qualsiasi momento al trattamento dei dati personali per finalità di marketing diretto, inclusa la profilazione nella misura in cui sia connessa a tale marketing diretto. In tal caso, il Titolare deve cessare immediatamente il trattamento per tali finalità.

9.7 Diritto di Revoca del Consenso (Art. 7(3) GDPR)

Nella misura in cui il trattamento si basa sul consenso dell'interessato, questi ha il diritto di revocare il proprio consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento basato sul consenso effettuato prima della revoca. La revoca del consenso al trattamento dei dati sanitari (certificato medico) è esercitabile direttamente dal profilo utente.

9.8 Diritto di Non Essere Sottoposto a Decisioni Automatizzate (Art. 22 GDPR)

FlexDropin non adotta decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici significativi o che incidano analogamente in modo significativo sulla persona.

9.9 Diritto di Proporre Reclamo all'Autorità di Controllo (Art. 77 GDPR)

Fermo restando il diritto di adire le sedi giudiziarie ordinarie, l'interessato ha il diritto di proporre reclamo all'autorità di controllo competente, in particolare nello Stato membro in cui risiede abitualmente, in cui lavora ovvero nel luogo ove si è verificata la presunta violazione.

L'autorità di controllo italiana è:

Garante per la Protezione dei Dati Personali

• Sito web: www.garanteprivacy.it
• Email: garante@gpdp.it
• Indirizzo: Piazza Venezia n. 11, 00187 Roma
• Telefono: +39 06.696771

9.10 Come Esercitare i Propri Diritti

I diritti sopra elencati possono essere esercitati mediante comunicazione scritta inviata a:

• Email: info@flexdropin.com
• Email DPO: dpo@flexdropin.com

La richiesta deve indicare: nome e cognome, indirizzo email registrato sull'account, descrizione del diritto che si intende esercitare. FlexDropin si riserva di verificare l'identità del richiedente prima di evadere la richiesta.

Il Titolare risponde alle richieste senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento. Tale termine può essere prorogato di ulteriori due mesi, se necessario, tenuto conto della complessità e del numero delle richieste; in tal caso il Titolare informa l'interessato della proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.

Il servizio è gratuito. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare può addebitare un contributo spese ragionevole o rifiutare di soddisfare la richiesta.

 

10. Misure di Sicurezza

FlexDropin adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio del trattamento, ai sensi dell'Art. 32 GDPR, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

10.1 Misure Tecniche

• Crittografia in transito: tutte le comunicazioni tra l'app e i server avvengono esclusivamente tramite protocollo TLS 1.2 o superiore (HTTPS)
• Crittografia a riposo: i file conservati su Supabase Storage (inclusi i certificati medici) sono crittografati a riposo
• Gestione sicura delle credenziali: le password sono conservate esclusivamente in forma di hash mediante algoritmi sicuri (bcrypt); FlexDropin non conserva né ha accesso alle password in chiaro
• Autenticazione sicura: supporto per autenticazione biometrica (Face ID, Touch ID) sui dispositivi compatibili; token di sessione con scadenza automatica
• Row Level Security (RLS): il database Supabase implementa politiche di sicurezza a livello di riga, garantendo che ogni utente possa accedere esclusivamente ai propri dati
• Isolamento dei dati sanitari: i certificati medici sono conservati in un bucket Supabase Storage separato, con policy di accesso restrittive
• Pagamenti PCI-DSS: i dati di pagamento non transitano mai sui server FlexDropin; il trattamento è delegato integralmente a Stripe (certificazione PCI-DSS livello 1)

10.2 Misure Organizzative

• Principio del minimo privilegio: l'accesso ai dati personali è limitato al personale che ne abbia stretta necessità per lo svolgimento delle proprie funzioni
• Data Processing Agreement: accordi formali con tutti i fornitori nominati Responsabili del Trattamento
• Politiche di sicurezza interne: procedure scritte per la gestione dei dati personali, la risposta agli incidenti e la gestione delle violazioni
• Audit periodici: revisione periodica delle misure di sicurezza adottate

10.3 Gestione delle Violazioni dei Dati (Data Breach)

In caso di violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque elaborati, FlexDropin:

• Notifica la violazione all'Autorità Garante entro 72 ore dal momento in cui ne ha avuto conoscenza, se la violazione è suscettibile di presentare un rischio per i diritti e le libertà delle persone fisiche (Art. 33 GDPR)
• Comunica la violazione agli interessati senza ingiustificato ritardo quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (Art. 34 GDPR)
• Adotta immediatamente le misure necessarie per contenere e rimediare alla violazione

Sebbene FlexDropin adotti misure di sicurezza adeguate, nessun sistema informatico è immune da rischi. Si raccomanda agli utenti di utilizzare password robuste e di non condividere le proprie credenziali.

 

11. Privacy dei Minori

11.1 Età Minima

I Servizi di FlexDropin non sono destinati a persone di età inferiore a 18 anni. L'utilizzo della piattaforma implica la conclusione di contratti (prenotazioni a pagamento, accettazione dei Termini di Utilizzo) che, ai sensi del diritto italiano e di numerosi ordinamenti, richiedono la piena capacità giuridica.

FlexDropin non raccoglie consapevolmente dati personali di soggetti di età inferiore a 18 anni. Qualora vengano rilevati utenti minorenni, il relativo account sarà immediatamente sospeso e i dati cancellati, fatta salva la conservazione dei dati necessari per adempiere a eventuali obblighi legali.

11.2 Conformità COPPA (mercato USA)

Relativamente al mercato statunitense, FlexDropin è conforme al Children's Online Privacy Protection Act (COPPA). La piattaforma non raccoglie, non utilizza e non condivide consapevolmente dati personali di soggetti di età inferiore a 13 anni. Qualora un genitore o tutore ritenga che un minore di 13 anni abbia creato un account, è invitato a contattare immediatamente info@flexdropin.com per richiedere la cancellazione dei dati.

11.3 Segnalazione

Genitori, tutori o chiunque venga a conoscenza di un account appartenente a un minorenne possono segnalarlo all'indirizzo info@flexdropin.com. FlexDropin si impegna a gestire tali segnalazioni con priorità assoluta.

 

12. Cookie e Tecnologie di Tracciamento

FlexDropin utilizza cookie e tecnologie di tracciamento analoghe nell'applicazione mobile e sul sito web. Per una descrizione dettagliata delle tecnologie utilizzate, delle finalità, delle basi giuridiche e delle modalità di gestione delle preferenze, si rimanda alla Cookie Policy disponibile all'indirizzo:

https://flexdropin.com/cookie

In sintesi, le tecnologie di tracciamento utilizzate da FlexDropin appartengono esclusivamente alla categoria dei cookie tecnici (necessari) e analitici aggregati anonimi. FlexDropin non utilizza cookie pubblicitari né effettua profilazione a fini di marketing.

 

13. Informazioni Aggiuntive per Residenti nello Spazio Economico Europeo, nel Regno Unito e in Svizzera

13.1 Titolare del Trattamento per gli Utenti nel SEE

Il Titolare del Trattamento per gli utenti residenti nel SEE, nel Regno Unito e in Svizzera è il soggetto indicato nella Sezione 1.1 della presente Informativa.

13.2 Basi Giuridiche del Trattamento

Le basi giuridiche applicabili a ciascuna finalità di trattamento sono indicate nella tabella di cui alla Sezione 4. Si precisa che:

• Il consenso rilasciato ai sensi dell'Art. 6.1.a GDPR è sempre specifico, informato, libero e revocabile. La revoca non ha effetto retroattivo.
• Il legittimo interesse invocato ai sensi dell'Art. 6.1.f GDPR è sempre bilanciato con i diritti e le libertà fondamentali degli interessati mediante apposita valutazione documentata.
• Il trattamento basato sull'esecuzione di un contratto (Art. 6.1.b GDPR) riguarda esclusivamente i dati strettamente necessari all'erogazione del servizio richiesto.

13.3 Diritto di Opposizione Rafforzato

Gli utenti residenti nel SEE hanno il diritto di opporsi in qualsiasi momento al trattamento dei propri dati per finalità di marketing diretto, inclusa la profilazione connessa a tale marketing, senza necessità di fornire alcuna motivazione. FlexDropin cessa immediatamente tale trattamento a seguito dell'opposizione.

13.4 Autorità di Controllo Competenti

Gli utenti residenti in altri paesi del SEE possono proporre reclamo all'autorità di controllo del proprio Stato membro di residenza. L'elenco completo delle autorità di controllo europee è disponibile sul sito web del Comitato Europeo per la Protezione dei Dati (EDPB): edpb.europa.eu.

 

14. Informazioni Aggiuntive per Residenti in California e altri Stati USA

La presente sezione si applica ai residenti nello Stato della California (USA) ai sensi del California Consumer Privacy Act (CCPA) e del California Privacy Rights Act (CPRA), e, nella misura applicabile, ai residenti in altri stati che abbiano adottato leggi sulla privacy simili (Colorado, Connecticut, Virginia, Texas, ecc.).

14.1 Categorie di Informazioni Personali Raccolte

Negli ultimi 12 mesi, FlexDropin ha raccolto le seguenti categorie di informazioni personali:

• Identificativi: nome, cognome, indirizzo email, ID utente, ID dispositivo
• Informazioni commerciali: storico prenotazioni, importi pagati
• Attività su reti Internet o elettroniche: interazioni con l'app, ricerche effettuate
• Dati di geolocalizzazione: coordinate GPS (quando autorizzato), indirizzi inseriti
• Informazioni audio, visive o simili: foto profilo, logo e cover palestra
• Dati sanitari: certificati medici sportivi (con consenso esplicito)
• Dati professionali: dati palestra, istruttori, informazioni commerciali del gestore

14.2 Finalità di Utilizzo

Le informazioni personali sono utilizzate per le finalità indicate nella Sezione 4 della presente Informativa.

14.3 FlexDropin non Vende né Condivide Dati Personali

FlexDropin non "vende" né "condivide" dati personali a terze parti per finalità di pubblicità cross-context, così come definito dal CCPA/CPRA. I dati condivisi con fornitori di servizi (Sezione 6.1) avvengono nell'ambito di rapporti di Responsabile del Trattamento e non costituiscono "vendita" ai sensi della normativa californiana.

14.4 Diritti dei Residenti in California

I residenti in California hanno i seguenti diritti aggiuntivi:

• Diritto di sapere: ottenere informazioni sulle categorie e le fonti di informazioni personali raccolte, sulle finalità di utilizzo e sulle categorie di terze parti con cui tali informazioni sono condivise
• Diritto di accesso: ricevere copia delle informazioni personali raccolte negli ultimi 12 mesi
• Diritto di cancellazione: richiedere la cancellazione delle proprie informazioni personali, salvo le eccezioni previste dalla legge
• Diritto di correzione: richiedere la rettifica di informazioni personali inesatte
• Diritto di opt-out dalla vendita/condivisione: non applicabile (FlexDropin non vende né condivide dati per pubblicità cross-context)
• Diritto di limitare l'uso di informazioni personali sensibili: applicabile ai dati sanitari (certificato medico), gestibile dalle impostazioni dell'app
• Diritto di non discriminazione: FlexDropin non discrimina gli utenti per l'esercizio dei propri diritti
• Diritto di appello: l'utente può impugnare la risposta di FlexDropin scrivendo a info@flexdropin.com

14.5 Come Esercitare i Diritti California

Per esercitare i diritti previsti dal CCPA/CPRA è possibile:

• Inviare una richiesta scritta a: info@flexdropin.com
• Specificare nell'oggetto: "Richiesta Privacy California"

FlexDropin risponde entro 45 giorni, prorogabili di ulteriori 45 giorni in caso di necessità, con preventiva comunicazione all'utente.

14.6 Agenti Autorizzati

I residenti in California possono designare un agente autorizzato per esercitare i propri diritti per conto. A tal fine, è necessario fornire prova scritta dell'autorizzazione conferita all'agente e, se richiesto, verificare l'identità del soggetto richiedente.

 

15. Modifiche alla Presente Informativa

FlexDropin si riserva il diritto di modificare la presente Informativa in qualsiasi momento, al fine di adeguarla a eventuali cambiamenti normativi, tecnologici o operativi.

In caso di modifiche sostanziali — ovvero modifiche che incidano significativamente sui diritti degli interessati o sulle modalità di trattamento — FlexDropin provvederà a:

• Aggiornare la "Data di entrata in vigore" in calce al presente documento
• Inviare una notifica push agli utenti che abbiano attivato le notifiche dell'app
• Inviare comunicazione via email all'indirizzo registrato sull'account
• Richiedere, ove necessario ai sensi della normativa applicabile, un nuovo consenso esplicito

Le modifiche non sostanziali (es. correzioni formali, aggiornamenti di link) saranno rese disponibili esclusivamente mediante aggiornamento della presente Informativa, con aggiornamento della data. Si raccomanda agli utenti di consultare periodicamente la presente Informativa.

Il proseguimento dell'utilizzo dei Servizi successivamente all'entrata in vigore delle modifiche costituisce accettazione della versione aggiornata dell'Informativa, nei limiti consentiti dalla normativa applicabile.

 

16. Servizi e Siti Web di Terze Parti

I Servizi di FlexDropin possono contenere link a siti web, applicazioni o servizi di terze parti (es. profili social della palestra, sito web della palestra). La presente Informativa non si applica a tali siti e servizi di terze parti, sui quali FlexDropin non esercita alcun controllo.

Si raccomanda agli utenti di prendere visione delle informative sulla privacy dei siti e servizi di terze parti prima di fornire loro qualsiasi dato personale. FlexDropin non è responsabile delle pratiche in materia di privacy di tali soggetti.

 

17. Contatti

Per qualsiasi domanda, richiesta o segnalazione relativa alla presente Informativa o al trattamento dei dati personali, gli interessati possono contattare FlexDropin ai seguenti recapiti:

Contatti Generali

Email: info@flexdropin.com

Sito web: https://flexdropin.com

Indirizzo postale: Maria Petaccia, Via Dante Alighieri 40, 65012 Cepagatti (PE), Italia

Responsabile della Protezione dei Dati (DPO)

Email DPO: dpo@flexdropin.com

Il DPO è il punto di riferimento privilegiato per le richieste di esercizio dei diritti GDPR e per qualsiasi questione relativa alla protezione dei dati personali.

Tempi di Risposta

• Domande generali: entro 5 giorni lavorativi
• Richieste di esercizio dei diritti GDPR: entro 30 giorni (prorogabili fino a 90 giorni in casi complessi, con comunicazione preventiva)
• Richieste CCPA/California: entro 45 giorni (prorogabili di ulteriori 45 giorni)
• Segnalazioni urgenti di sicurezza o data breach: entro 24-48 ore

 

18. Glossario

Dato personale: Qualsiasi informazione riguardante una persona fisica identificata o identificabile (Art. 4(1) GDPR).

Categoria particolare di dati (dati sensibili): Dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale (Art. 9 GDPR).

Titolare del Trattamento: La persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali (Art. 4(7) GDPR).

Responsabile del Trattamento: La persona fisica o giuridica che tratta dati personali per conto del Titolare (Art. 4(8) GDPR).

Interessato: La persona fisica cui si riferiscono i dati personali.

Trattamento: Qualsiasi operazione o insieme di operazioni compiute su dati personali, con o senza l'ausilio di processi automatizzati (Art. 4(2) GDPR).

Consenso: Manifestazione di volontà libera, specifica, informata e inequivocabile con cui l'interessato accetta il trattamento dei propri dati (Art. 4(11) GDPR).

DPO (Data Protection Officer): Responsabile della Protezione dei Dati, figura prevista dagli Artt. 37-39 GDPR con funzioni di consulenza, supervisione e punto di contatto con l'autorità di controllo.

SCC (Standard Contractual Clauses): Clausole Contrattuali Standard approvate dalla Commissione Europea per il trasferimento di dati personali verso paesi terzi privi di decisione di adeguatezza.

GDPR: Regolamento Generale sulla Protezione dei Dati — Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.

CCPA/CPRA: California Consumer Privacy Act / California Privacy Rights Act — leggi statali californiane sulla protezione dei dati personali dei consumatori.

COPPA: Children's Online Privacy Protection Act — legge federale statunitense sulla protezione dei dati dei minori di 13 anni.

Stripe Connect: Prodotto Stripe che consente a piattaforme di facilitare pagamenti tra più parti. In FlexDropin: tra atleti (paganti) e palestre (beneficiarie), con ritenuta automatica della commissione di piattaforma.

Row Level Security (RLS): Meccanismo di sicurezza del database PostgreSQL/Supabase che limita l'accesso ai dati a livello di singola riga, garantendo che ogni utente visualizzi esclusivamente i propri dati.

Data Breach: Violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali (Art. 4(12) GDPR).

Anonimizzazione: Processo irreversibile di modifica dei dati personali tale da impedirne la reidentificazione dell'interessato. I dati anonimizzati non sono soggetti al GDPR.

 

Riferimenti Normativi

La presente Informativa è stata redatta in conformità con:

• Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR)
• D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dal D.Lgs. 10 agosto 2018, n. 101
• Provvedimento del Garante Privacy n. 243 del 10 giugno 2021 — Linee guida cookie e altri strumenti di tracciamento
• Decisione di esecuzione (UE) 2021/914 della Commissione Europea del 4 giugno 2021 (Clausole Contrattuali Standard)
• California Consumer Privacy Act (CCPA) — Cal. Civ. Code § 1798.100 et seq.
• California Privacy Rights Act (CPRA) — Proposition 24 (2020)
• Children's Online Privacy Protection Act (COPPA) — 15 U.S.C. §§ 6501–6506
• Direttiva 2002/58/CE (ePrivacy Directive)

 

Data di ultima modifica: 24/02/2026  —   Versione: 1.0

© 2026 FlexDropin. Tutti i diritti riservati.