← Torna alla home

Privacy Policy

Versione 1.0 · Ultimo aggiornamento: 10 maggio 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite la piattaforma Velox (web app accessibile su velox.coach e applicazione iOS) è una persona fisica italiana, in corso di costituzione come libero professionista in regime forfettario (legge 190/2014).

Per qualsiasi richiesta relativa al trattamento dei tuoi dati — inclusa la richiesta dell'identità completa del titolare ai sensi dell'art. 13 GDPR — scrivere a privacy@velox.coach. Risponderemo entro 30 giorni come previsto dall'art. 12 GDPR.

2. Categorie di dati trattati

Trattiamo le seguenti categorie di dati personali:

  • Dati account: nome, cognome, indirizzo email, ruolo (coach o atleta), avatar opzionale. Gestiti da Clerk Inc. (sub-processor — vedi §6).
  • Dati di allenamento: sessioni inserite dal coach (volume, intensità, tipologia, RPE), assegnazioni, note, soreness map, programmazione stagionale, risultati gare.
  • Dati biometrici da wearable (raccolti tramite OAuth con il consenso esplicito dell'atleta — vedi §3): variabilità cardiaca (HRV), frequenza cardiaca a riposo, recovery / readiness score, durata e qualità del sonno, temperatura corporea, saturazione ossigeno (SpO₂).
  • Dati di sessione e log applicativi: token di autenticazione, indirizzo IP, user agent, eventi di sicurezza, log di errore. Conservati per un massimo di 12 mesi per finalità di sicurezza.
  • Dati di fatturazione (al momento dell'attivazione dell'abbonamento, futura): nome di fatturazione, indirizzo, P.IVA / codice fiscale, ultimi 4 numeri della carta. Gestiti da Stripe Inc.

3. Integrazioni con servizi terzi (WHOOP, Oura, Apple HealthKit)

Velox consente all'atleta di collegare facoltativamente i propri account presso fornitori terzi di dati biometrici. Ogni integrazione è attivata solo previo consenso esplicito tramite flusso OAuth 2.0 standard.

WHOOP

Quando l'atleta collega il proprio account WHOOP, Velox riceve dal WHOOP Developer API i seguenti dati: recovery score giornaliero, HRV (RMSSD), frequenza cardiaca a riposo, sleep performance e durata, strain score. La connessione utilizza gli scope minimi necessari (read:recovery, read:sleep, read:profile). Velox non scrive mai dati sull'account WHOOP dell'utente.

Oura

Quando l'atleta collega il proprio account Oura, Velox riceve dalla Oura Cloud API: readiness score giornaliero, HRV, frequenza cardiaca a riposo, sleep score e dettagli del sonno, temperatura corporea, attività. Scopes utilizzati: daily, personal, heartrate. Nessuna scrittura verso Oura.

Apple HealthKit (iOS)

Sull'app iOS, in fallback ai wearable sopra, possiamo leggere HRV e dati Sleep da Apple HealthKit previa autorizzazione esplicita dell'utente tramite il prompt di sistema iOS. I dati restano sul dispositivo Apple e vengono inviati ai server Velox solo se l'atleta ha concesso permesso.

Finalità

I dati provenienti da queste integrazioni sono utilizzati esclusivamente per:

  • Mostrare al coach lo stato di recupero dei propri atleti
  • Calcolare metriche aggregate (baseline HRV, ACWR, monotony)
  • Visualizzare al singolo atleta i propri trend

Non rivendiamo, non condividiamo con terzi per scopi commerciali, non utilizziamo per pubblicità i dati raccolti tramite queste integrazioni.

Revoca del consenso

L'utente può revocare il consenso in qualsiasi momento:

  • Dall'app Velox: Dispositivi → Disconnetti (sia web sia iOS, l'iOS reindirizza al flusso web).
  • Dalla dashboard WHOOP / Oura / Apple Health: revocare l'accesso a Velox. La revoca prende effetto immediatamente lato Velox.
  • Dopo la revoca, interrompiamo immediatamente la sincronizzazione. I dati storici già ricevuti restano disponibili nello storico dell'atleta fino a richiesta di cancellazione (vedi §8).

4. Finalità del trattamento e base giuridica

  • Erogazione del servizio (dashboard, analytics, gestione atleti, chat coach-atleta) — base giuridica: esecuzione del contratto (art. 6.1.b GDPR).
  • Sincronizzazione wearable — base giuridica: consenso esplicito dell'atleta (art. 6.1.a GDPR), revocabile.
  • Fatturazione e adempimenti fiscali — base giuridica: obbligo legale (art. 6.1.c GDPR).
  • Sicurezza dell'applicazione, prevenzione abusi e risoluzione bug — base giuridica: legittimo interesse (art. 6.1.f GDPR).

Non utilizziamo i dati per profilazione automatizzata con effetti giuridici sull'utente, né per marketing diretto senza consenso separato.

5. Periodo di conservazione

  • Dati account e di allenamento: fino alla cancellazione dell'account da parte dell'utente. Dopo la cancellazione, i dati vengono rimossi dai sistemi attivi entro 30 giorni; possono persistere fino a un massimo di 90 giorni nei backup cifrati, dopodiché vengono eliminati definitivamente.
  • Dati biometrici da wearable: conservati per la durata della connessione OAuth attiva. In caso di revoca, lo storico resta disponibile fino a richiesta di cancellazione dell'account.
  • Log di sicurezza e audit: massimo 12 mesi.
  • Dati di fatturazione: 10 anni come da obbligo fiscale italiano (D.P.R. 633/72).

6. Sub-processor e fornitori

Utilizziamo i seguenti fornitori per erogare il servizio. Ognuno è vincolato da Data Processing Agreement conformi al GDPR.

FornitoreServizioRegion
Supabase Inc.Database e storageUE (Francoforte)
Clerk Inc.Autenticazione e gestione utentiUSA
Vercel Inc.Hosting, edge networkGlobale (edge UE prioritario)
Resend Inc.Email transazionaliUSA
WHOOP Inc.Sorgente OAuth dati biometriciUSA
Ouraring Ltd.Sorgente OAuth dati biometriciEU/USA
Stripe Inc. (futuro)PagamentiIrlanda (UE)

7. Trasferimenti di dati extra-UE

Alcuni fornitori sopra elencati (Clerk, Resend, WHOOP) hanno sede negli Stati Uniti. I trasferimenti avvengono nel rispetto del GDPR, sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914), integrate da misure tecniche supplementari (crittografia in transito TLS 1.3, crittografia a riposo). Clerk e Resend aderiscono al EU-U.S. Data Privacy Framework.

8. Diritti dell'utente (GDPR artt. 15-22)

In qualsiasi momento, sia coach sia atleta hanno diritto a:

  • Accesso ai propri dati personali
  • Rettifica di dati inesatti o incompleti
  • Cancellazione (“diritto all'oblio”) — gestibile in-app dalla sezione Profilo → Elimina account (sia web sia iOS)
  • Portabilità dei dati in formato strutturato (JSON/CSV su richiesta scritta)
  • Opposizione al trattamento e limitazione dello stesso
  • Revoca del consenso in qualsiasi momento per i trattamenti basati sul consenso (es. wearable)
  • Reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it)

Per esercitare uno qualsiasi di questi diritti, scrivere a privacy@velox.coach. Risponderemo entro 30 giorni come previsto dall'art. 12 GDPR.

9. Sicurezza dei dati

Applichiamo misure tecniche e organizzative adeguate al rischio: crittografia in transito (TLS 1.3) e a riposo, autenticazione multi-fattore disponibile (TOTP), Row-Level Security a livello database, accessi audit-logged, principio del minimo privilegio sui sub-processor. Eventuali data breach saranno notificati all'autorità competente entro 72 ore (art. 33 GDPR) e agli interessati se ad alto rischio (art. 34 GDPR).

10. Cookie e tracker

Velox utilizza esclusivamente cookie tecnici essenziali al funzionamento del servizio (sessione di autenticazione Clerk, preferenza locale del tema). Non utilizziamo cookie di profilazione, tracker di terze parti o pixel pubblicitari.

11. Modifiche all'informativa

Eventuali modifiche sostanziali saranno comunicate via email all'ultimo indirizzo registrato e tramite avviso visibile all'interno dell'app, almeno 15 giorni prima dell'entrata in vigore. La versione vigente è sempre consultabile su velox.coach/privacy.

Documento redatto in conformità al Regolamento (UE) 2016/679 e al D.Lgs. 196/2003 come novellato dal D.Lgs. 101/2018.