Privacy Policy

Ultimo aggiornamento: giugno 2026

1. Titolare del trattamento

Il titolare del trattamento è Giovanni Marascio, operante con il marchio Wellio. Per qualsiasi richiesta relativa alla privacy scrivere a info@wellio.cloud.

2. Dati raccolti e base giuridica

Trattiamo due categorie di dati con basi giuridiche distinte:

2a. Dati comuni (art. 6 GDPR — esecuzione del contratto)

  • Nome, cognome e indirizzo email (account)
  • Dati tecnici di accesso: indirizzo IP, tipo di dispositivo, versione app
  • Piano di allenamento e schede workout
  • Preferenze dell'app e impostazioni

2b. Dati sanitari — categoria speciale (art. 9 GDPR — consenso esplicito)

Questi dati richiedono il tuo consenso esplicito, che fornisci in fase di registrazione e puoi revocare in qualsiasi momento:

  • Peso corporeo, misure e progressi fisici
  • Foto progress — cifrate con crittografia zero-access AES-256-GCM: solo il tuo dispositivo possiede la chiave, noi non possiamo mai vedere le tue foto in chiaro
  • Piani alimentari e dati nutrizionali
  • Schede cliniche e note dei professionisti che ti seguono
  • Dati importati da Apple Salute (frequenza cardiaca, passi, sonno, ecc.) — solo se autorizzi esplicitamente l'accesso in-app

3. Finalità del trattamento

  • Erogare il servizio Wellio e personalizzare i contenuti
  • Permettere ai professionisti (personal trainer, nutrizionisti) che hai scelto di seguire i tuoi progressi
  • Migliorare l'app tramite dati aggregati e anonimi
  • Inviarti comunicazioni di servizio (aggiornamenti critici, notifiche da professionisti)
  • Adempiere a obblighi di legge

Non vendiamo, cediamo né commercializziamo i tuoi dati personali a terzi per scopi pubblicitari.

4. Responsabili del trattamento (sub-processor)

Utilizziamo i seguenti fornitori infrastrutturali, con cui abbiamo stipulato appositi accordi di trattamento dei dati (DPA) ai sensi dell'art. 28 GDPR:

  • Hetzner Online GmbH (Germania, UE) — hosting del server applicativo e del database. Categorie: tutti i dati di account e applicativi trattati lato server.
  • Cloudflare, Inc. — archiviazione delle foto cifrate su Cloudflare R2 (blob cifrati zero-access; Cloudflare non può decifrarli). Categorie: foto progresso in forma cifrata, metadati tecnici.
  • Stripe, Inc. — elaborazione dei pagamenti e gestione degli abbonamenti. Finalità: incasso dei corrispettivi, fatturazione, prevenzione delle frodi. Categorie: dati di pagamento e di transazione (i dati completi della carta sono trattati direttamente da Stripe, non da Wellio), identificativo cliente, importo.
  • Apple Inc. (APNs)— servizio Apple Push Notification per l'invio delle notifiche push. Finalità: recapitare notifiche e promemoria sul dispositivo. Categorie: token del dispositivo e contenuto della notifica.
  • Hostinger (SMTP) — invio delle email transazionali (verifica account, reimpostazione password, comunicazioni di servizio). Finalità: recapito delle email. Categorie: indirizzo email e contenuto del messaggio.
  • Google (Gemini 2.5) — modello di intelligenza artificiale che alimenta il coach AI. Finalità: generare risposte e suggerimenti personalizzati. Categorie: testo dei messaggi inviati al coach e contesto necessario del piano (allenamento e alimentazione), le foto dei pasti che invii alla funzione di riconoscimento nutrizionale (Foto pasto AI check), i documenti di dieta e scheda che carichi (immagini, PDF, Word, Excel), i quali possono contenere dati sanitari, e le registrazioni vocali della chat audio con il coach. Non vengono inviate al modello le foto progresso ne dati identificativi non necessari.
  • Mapbox, Inc.— servizio di mappe che alimenta la mappa dei professionisti nell'app. Finalità: visualizzazione della mappa e ricerca dei professionisti nella tua zona. Categorie: indirizzo IP e area geografica visualizzata.

Per i fornitori con sede negli Stati Uniti (Cloudflare, Stripe, Apple, Google, Mapbox) il trasferimento dei dati avviene sulla base di adeguate garanzie ai sensi del GDPR (Clausole Contrattuali Standard e, ove applicabile, EU-US Data Privacy Framework). Nessun dato personale è trasferito in paesi extra-UE senza tali garanzie.

5. Conservazione dei dati

I dati vengono conservati per tutta la durata del tuo account. Alla cancellazione dell'account i dati vengono eliminati entro 30 giorni, salvo obblighi di conservazione previsti dalla legge (es. fatturazione). Alcune tracce tecniche hanno tempi di conservazione specifici:

  • Log applicativi di sistema: massimo 90 giorni.
  • Eventi di audit(registro degli accessi e delle operazioni sensibili, incluso l'indirizzo IP): 12 mesi.
  • Interazioni con il coach AI (contenuto delle conversazioni): 24 mesi.

6. Sicurezza

Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR:

  • Foto progress: crittografia zero-access AES-256-GCM sul dispositivo. La chiave non lascia mai il tuo iPhone; nemmeno noi possiamo accedere alle foto.
  • Dati clinici: crittografia AES-256-GCM a riposo sul server (cifratura applicativa, envelope encryption).
  • Tutte le comunicazioni avvengono tramite HTTPS/TLS.
  • Accesso al database limitato al solo personale autorizzato.

7. I tuoi diritti (artt. 15–22 GDPR)

Hai diritto di:

  • Accesso: ottenere copia dei tuoi dati personali
  • Rettifica: correggere dati inesatti
  • Cancellazione: richiedere la rimozione dei tuoi dati ("diritto all'oblio")
  • Portabilità: esportare i tuoi dati in formato strutturato (disponibile da Profilo → Esporta dati nell'app)
  • Opposizione: opporti al trattamento basato su legittimo interesse
  • Limitazione: chiedere la sospensione temporanea del trattamento
  • Revoca del consenso: revocare in qualsiasi momento il consenso al trattamento dei dati sanitari, senza pregiudicare la liceità del trattamento effettuato prima della revoca

Per esercitare questi diritti scrivi a info@wellio.cloud. Risponderemo entro 30 giorni.

8. Reclamo al Garante

Hai il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.gpdp.it) se ritieni che il trattamento dei tuoi dati violi il Regolamento UE 2016/679.

9. Contatti

Per qualsiasi domanda su questa informativa o per esercitare i tuoi diritti: info@wellio.cloud.