Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento è Giovanni Marascio, operante con il marchio Wellio. Per qualsiasi richiesta relativa alla privacy scrivere a contact@wellio.cloud.

2. Dati raccolti e base giuridica

Trattiamo due categorie di dati con basi giuridiche distinte:

2a. Dati comuni (art. 6 GDPR — esecuzione del contratto)

• Nome, cognome e indirizzo email (account)
• Dati tecnici di accesso: indirizzo IP, tipo di dispositivo, versione app
• Piano di allenamento e schede workout
• Preferenze dell'app e impostazioni

2b. Dati sanitari — categoria speciale (art. 9 GDPR — consenso esplicito)

Questi dati richiedono il tuo consenso esplicito, che fornisci in fase di registrazione e puoi revocare in qualsiasi momento:

• Peso corporeo, misure e progressi fisici
• Foto progress — cifrate con crittografia zero-access AES-256-GCM: solo il tuo dispositivo possiede la chiave, noi non possiamo mai vedere le tue foto in chiaro
• Piani alimentari e dati nutrizionali
• Schede cliniche e note dei professionisti che ti seguono
• Dati importati da Apple Salute (frequenza cardiaca, passi, sonno, ecc.) — solo se autorizzi esplicitamente l'accesso in-app

3. Finalità del trattamento

• Erogare il servizio Wellio e personalizzare i contenuti
• Permettere ai professionisti (personal trainer, nutrizionisti) che hai scelto di seguire i tuoi progressi
• Migliorare l'app tramite dati aggregati e anonimi
• Inviarti comunicazioni di servizio (aggiornamenti critici, notifiche da professionisti)
• Adempiere a obblighi di legge

Non vendiamo, cediamo né commercializziamo i tuoi dati personali a terzi per scopi pubblicitari.

4. Responsabili del trattamento (sub-processor)

Utilizziamo i seguenti fornitori infrastrutturali, con cui abbiamo stipulato appositi accordi di trattamento dei dati (DPA) ai sensi dell'art. 28 GDPR:

• Hetzner Online GmbH (Germania, UE) — hosting del server applicativo e del database
• Cloudflare, Inc. — archiviazione delle foto cifrate su Cloudflare R2 (blob cifrati zero-access; Cloudflare non può decifrarli)

Nessun dato personale è trasferito in paesi extra-UE senza adeguate garanzie (Clausole Contrattuali Standard o decisione di adeguatezza della Commissione europea).

5. Conservazione dei dati

I dati vengono conservati per tutta la durata del tuo account. Alla cancellazione dell'account i dati vengono eliminati entro 30 giorni, salvo obblighi di conservazione previsti dalla legge (es. fatturazione). I log tecnici di sistema sono conservati per un massimo di 90 giorni.

6. Sicurezza

Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR:

• Foto progress: crittografia zero-access AES-256-GCM sul dispositivo. La chiave non lascia mai il tuo iPhone; nemmeno noi possiamo accedere alle foto.
• Dati clinici: crittografia AES-256-GCM a riposo sul server (cifratura applicativa, envelope encryption).
• Tutte le comunicazioni avvengono tramite HTTPS/TLS.
• Accesso al database limitato al solo personale autorizzato.

7. I tuoi diritti (artt. 15–22 GDPR)

Hai diritto di:

• Accesso: ottenere copia dei tuoi dati personali
• Rettifica: correggere dati inesatti
• Cancellazione: richiedere la rimozione dei tuoi dati ("diritto all'oblio")
• Portabilità: esportare i tuoi dati in formato strutturato (disponibile da Profilo → Esporta dati nell'app)
• Opposizione: opporti al trattamento basato su legittimo interesse
• Limitazione: chiedere la sospensione temporanea del trattamento
• Revoca del consenso: revocare in qualsiasi momento il consenso al trattamento dei dati sanitari, senza pregiudicare la liceità del trattamento effettuato prima della revoca

Per esercitare questi diritti scrivi a contact@wellio.cloud. Risponderemo entro 30 giorni.

8. Reclamo al Garante

Hai il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.gpdp.it) se ritieni che il trattamento dei tuoi dati violi il Regolamento UE 2016/679.

9. Contatti

Per qualsiasi domanda su questa informativa o per esercitare i tuoi diritti: contact@wellio.cloud.