Informativa Privacy UNYG

Versione: 1.3
Ultimo aggiornamento: 3 giugno 2026
Ambito: Unione europea / SEE

Stato documento: bozza operativa con dati del titolare compilati. Resta da inserire il numero di P. IVA (la ditta individuale è in partita IVA; il numero verrà comunicato) e, se attivata, la PEC. Prima della pubblicazione ufficiale far validare il testo da un professionista legale.

1. Titolare del trattamento e contatti

Il titolare del trattamento per i trattamenti svolti direttamente tramite l'app, la web app, le API, il sito e le pagine collegate a UNYG e':

Ragione sociale / nome: Davide Dissette (ditta individuale / libero professionista), titolare del servizio e del marchio UNYG
Sede: Via Gruato 28, 35020 Casalserugo (PD), Italia
C.F.: DSSDVD07M05A059P — P. IVA: in corso di comunicazione
Email privacy: privacy@unyg.app
PEC: non disponibile; contatto: davide.dissette@unyg.app
DPO/RPD, se nominato: non nominato

Per richieste privacy puoi scrivere a privacy@unyg.app. Se la richiesta riguarda dati gestiti da un tenant, potremo inoltrarla al tenant competente o indicarti il contatto corretto.

2. Ruoli privacy nella piattaforma multi-tenant

UNYG e' una piattaforma multi-tenant per palestre, personal trainer, nutrizionisti, staff, professionisti e clienti finali. I ruoli privacy cambiano in base al contesto:

UNYG agisce come titolare autonomo per account piattaforma, sicurezza, autenticazione, gestione contrattuale, fatturazione propria, pagamenti propri, assistenza, miglioramento tecnico del servizio, comunicazioni proprie, prevenzione abusi, difesa dei diritti e obblighi legali.
Il tenant che ti invita o gestisce il tuo account, ad esempio palestra, personal trainer, nutrizionista, centro sportivo, azienda o organizzazione, agisce di norma come titolare autonomo per dati operativi relativi a clienti, routine, piani, misurazioni, nutrizione, documenti, chat, prenotazioni, pagamenti e contenuti inseriti nel proprio spazio.
Quando UNYG tratta dati per conto del tenant, UNYG agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR, secondo il relativo accordo di trattamento dati.
Se usi UNYG senza un tenant distinto, UNYG puo' agire come titolare anche per i dati operativi necessari a fornirti il servizio.

La semplice presa visione dell'informativa privacy non costituisce consenso al trattamento. I consensi devono essere raccolti separatamente quando richiesti, ad esempio per dati salute, HealthKit/Health Connect, AI con dati particolari, marketing o tracciamenti non essenziali.

3. A chi si applica questa informativa

Questa informativa si applica a:

clienti finali, utenti, atleti, corsisti, iscritti o persone invitate da un tenant;
personal trainer, nutrizionisti, istruttori, staff, manager e amministratori tenant;
utenti che usano chat, prenotazioni, routine, nutrizione, documenti, pagamenti, supporto, AI, speech-to-text o integrazioni;
visitatori di siti o pagine collegate a UNYG, inclusa la pagina download, ove presenti;
referenti commerciali o amministrativi dei tenant.

4. Categorie di dati personali trattati

UNYG tratta dati diversi a seconda del ruolo, del piano, dei moduli attivati dal tenant, delle impostazioni e dei permessi concessi sul dispositivo.

4.1 Dati account, identita' e accesso

nome, cognome, username, email, eventuale telefono;
data di nascita, immagine profilo, lingua, tema, preferenze e impostazioni;
ruolo, permessi, appartenenza a tenant, sedi, assegnazioni tra professionisti e clienti;
credenziali cifrate, token tecnici di sessione, stato account, stato primo accesso;
preferenze notifiche, presa visione documenti legali, log di accettazione/consenso se implementati;
richieste di conferma email, recupero password, cambio email, export dati e cancellazione account.

4.2 Dati profilo fisico, wellness, fitness e salute

Alcuni dati possono rientrare nelle categorie particolari di dati personali ai sensi dell'art. 9 GDPR, soprattutto se indicano stato di salute, condizioni fisiche, patologie, infortuni, parametri corporei o informazioni assimilabili.

Possono includere:

altezza, peso, misure corporee, BMI, massa magra, massa grassa, acqua corporea, BMR e altri indicatori;
obiettivi di allenamento, esperienza, preferenze, livello di attivita', disponibilita' e attrezzatura;
condizioni mediche, infortuni, interventi, allergie, intolleranze, farmaci, controindicazioni;
frequenza cardiaca a riposo, pressione, sonno, stress, abitudini di vita, note del professionista e note dell'utente;
dati del ciclo mestruale importati da Apple Health o Health Connect, se autorizzati.

UNYG non deve essere usata come dispositivo medico, per diagnosi, terapia, emergenze mediche o decisioni sanitarie senza adeguato professionista qualificato.

4.3 Dati nutrizione

alimenti, pasti, ingredienti, quantita', calorie, macro e micronutrienti;
acqua giornaliera, piani nutrizionali, assegnazioni, feedback e messaggi collegati;
barcode alimentari e risultati ottenuti da banche dati esterne, come Open Food Facts, se attive;
note libere, pasti liberi, divergenza rispetto al piano e foto del pasto;
eventuale posizione associata al pasto solo se la funzione e' abilitata, necessaria e autorizzata.

4.4 Dati allenamento, routine, progressi e prenotazioni

esercizi, routine, sessioni, statistiche, massimali, carichi, ripetizioni, progressi, timer e PDF generati;
check periodici, misurazioni, foto/video collegati ai check e impostazioni di visibilita' media;
sensori del dispositivo, ad esempio accelerometro o giroscopio, se usati per contare ripetizioni o supportare esercizi;
appuntamenti, sedi, slot, corsi, iscrizioni, partecipazioni, cancellazioni e promemoria;
storico abbonamenti, pacchetti sessioni, presenze, accessi ai corsi e regole di prenotazione.

4.5 Chat, media, documenti e contenuti caricati

messaggi testuali, immagini, video, audio, note vocali, file, allegati e metadati;
ricevute di lettura/consegna, eventi realtime, presenza temporanea in chat e cronologia tecnica necessaria;
documenti caricati da utente o staff, incluse certificazioni, documenti identificativi, documenti di iscrizione, documenti fiscali o altri documenti richiesti dal tenant;
documenti, referti, PDF, immagini o file caricati per essere elaborati da funzioni AI (es. import routine, estrazione dati, analisi contenuto), se attive;
loghi, immagini, video tutorial, contenuti generati o caricati da professionisti e tenant.

Chi carica contenuti deve avere diritti, autorizzazioni e basi giuridiche per farlo, in particolare quando i contenuti includono dati di terzi, minori, immagini, voce, salute o documenti identificativi. Se una funzione AI elabora il contenuto caricato, l'utente deve essere consapevole che il file potrebbe essere trasmesso a provider tecnici esterni.

4.6 Pagamenti, abbonamenti e dati fiscali

piani, abbonamenti, pacchetti, importi, valuta, stato pagamento, date, metodo di pagamento, fatture, ricevute e solleciti;
dati di fatturazione, codice fiscale, partita IVA, indirizzo, PEC, codice SDI, paese, aliquote IVA e dati necessari alla contabilita';
identificativi Stripe o di altri provider di pagamento, se attivi;
dati fiscali o di fatturazione elettronica elaborati tramite provider dedicati, se attivi.

I dati completi della carta non sono conservati sui server UNYG quando il pagamento e' gestito da provider esterni come Stripe.

4.7 Dati tecnici, sicurezza e dispositivo

indirizzo IP, user agent, identificativi tecnici di sessione, cookie tecnici, CSRF token, log applicativi e di sicurezza;
token push, endpoint notifiche web, device name, sistema operativo, stato notifiche;
crash report, diagnostica, eventi tecnici, performance, cache locale, secure storage e preferenze salvate sul dispositivo;
informazioni necessarie a prevenire abuso, accessi non autorizzati, frodi, perdita dati, scraping, attacchi e violazioni di sicurezza;
dati relativi al download di app o release, ad esempio asset richiesto, data/ora, IP, user agent e log tecnici del proxy download.

4.8 Dati da integrazioni e servizi opzionali

A seconda della configurazione, UNYG puo' integrare servizi esterni per:

notifiche push tramite Firebase Cloud Messaging, Web Push/VAPID o servizi equivalenti;
invio email tramite SMTP (Aruba) o provider equivalenti;
pagamenti tramite Stripe, Stripe Connect o provider equivalenti;
fatturazione elettronica, ricevute, corrispettivi o servizi fiscali tramite provider dedicati;
trascrizione audio o comandi vocali tramite provider speech-to-text, ad esempio Deepgram, se attivo;
assistenti AI, generazione ricette, tutorial, import routine/documenti o supporto operativo tramite provider come Google Gemini, DeepSeek o equivalenti, se attivi;
sincronizzazione Google Calendar tramite OAuth, se autorizzata;
lookup alimenti tramite Open Food Facts, se attivo;
meteo tramite OpenWeather o servizi analoghi, se attivo;
storage, conversione e distribuzione media tramite cloud provider, ad esempio S3, Lambda, SQS, MediaConvert, CDN o servizi analoghi;
download release tramite GitHub Releases o proxy collegati, se attivi.

5. Fonti dei dati

I dati possono essere raccolti:

direttamente da te, quando crei o aggiorni account, profilo, preferenze, pagamenti, contenuti, routine, pasti, chat o richieste;
dal tenant o dai suoi professionisti, quando ti invitano, creano assegnazioni, piani, routine, documenti, prenotazioni o note;
dal dispositivo o dal browser, per dati tecnici, sicurezza, cookie, cache, sensori e permessi autorizzati;
da integrazioni autorizzate, come Apple Health, Health Connect, Google Calendar, Stripe, Open Food Facts o provider AI/speech;
da provider tecnici, per log di sicurezza, consegna email, notifiche, pagamenti, download o diagnostica.

Se riceviamo dati da un tenant o da altra fonte prima di comunicare direttamente con te, il tenant resta responsabile di fornirti la propria informativa quando agisce come titolare. Nei casi in cui UNYG agisce come titolare e la legge lo richiede, forniremo informazioni adeguate entro i termini applicabili.

6. Finalita' e basi giuridiche

Finalita'	Dati principali	Base giuridica ordinaria
Creazione e gestione account	dati identificativi, credenziali, ruoli, tenant	contratto o misure precontrattuali; legittimo interesse alla gestione sicura del servizio
Fornitura funzionalita' app	routine, nutrizione, chat, booking, documenti, media	contratto; per dati gestiti dal tenant, istruzioni del tenant titolare
Dati salute/wellness e dati particolari	misure, infortuni, condizioni mediche, ciclo, nutrizione, check	consenso esplicito, ove richiesto; altra base art. 9 solo se applicabile al tenant/professionista e documentata separatamente
HealthKit/Health Connect	dati salute autorizzati dall'utente	consenso esplicito e permesso del sistema operativo
Notifiche push e promemoria	token dispositivo, preferenze, contenuto notifica	consenso/richiesta utente; contratto o legittimo interesse per comunicazioni tecniche strettamente necessarie
Email operative	email, eventi account, booking, export, sicurezza	contratto; obblighi legali; legittimo interesse
Pagamenti e fatturazione	importi, dati fiscali, transazioni	contratto; obblighi fiscali e contabili
Sicurezza e prevenzione abusi	IP, sessioni, log, eventi	legittimo interesse; obblighi legali; tutela dei diritti
Assistenza clienti	dati account, richieste, allegati, log rilevanti	contratto; legittimo interesse alla risoluzione dei problemi
Marketing non necessario	email, preferenze, metriche consenso	consenso, revocabile in ogni momento
Analytics non essenziali, attribution, advertising, SDK marketing	identificativi tecnici, eventi, dispositivo	consenso quando richiesto da GDPR/ePrivacy; legittimo interesse solo per statistiche tecniche compatibili e minimizzate
Miglioramento prodotto e diagnostica	dati aggregati, log, metriche tecniche	legittimo interesse, ove compatibile; consenso se richiesto per strumenti non essenziali
AI e speech-to-text	prompt, testo, audio, trascrizioni, file, documenti, immagini, dati inseriti	contratto; consenso esplicito quando sono trattati dati particolari, documenti identificativi o dati personali di terzi; istruzioni del tenant se applicabile
Export dati e cancellazione account	dati account e contenuti esportabili/cancellabili	obblighi legali GDPR; contratto; legittimo interesse a verifiche e sicurezza
Difesa, accertamento o esercizio di diritti	dati necessari alla controversia	legittimo interesse; obblighi legali

7. Dati obbligatori e facoltativi

I dati necessari per account, autenticazione, sicurezza, gestione tenant e fornitura del servizio sono obbligatori. Se non li fornisci, potresti non poter usare l'app o alcune funzionalita'.

Dati salute/wellness, HealthKit/Health Connect, dati ciclo mestruale, microfono, camera, foto, sensori, notifiche, calendario, posizione, AI, speech-to-text, analytics e marketing sono di norma facoltativi o dipendono dai permessi del dispositivo o da consensi separati. Il rifiuto o la revoca puo' limitare la funzionalita' collegata, senza impedire l'uso delle parti non dipendenti da quel dato, quando tecnicamente possibile.

8.1 Categorie di dati sensibili trattati

Ai sensi dell'art. 9 del GDPR, UNYG tratta le seguenti categorie di dati particolari (dati sensibili), che possono rivelare lo stato di salute, dati biometrici o informazioni assimilabili:

Dati relativi alla salute e condizioni fisiche: condizioni mediche, infortuni, interventi chirurgici, allergie, intolleranze, farmaci, controindicazioni, patologie, parametri corporei (massa grassa, massa magra, BMI, BMR, acqua corporea), frequenza cardiaca, pressione sanguigna, dati relativi al sonno, allo stress e al ciclo mestruale.
Foto e video dei check fisici: immagini e video acquisiti durante i check periodici per documentare l'evoluzione fisica, la composizione corporea, la postura o condizioni rilevanti per l'allenamento o il percorso fitness. Tali media costituiscono dati sensibili in quanto possono rivelare dettagli sullo stato di salute e sulla condizione fisica della persona.
Referti medici e documenti sanitari: referti, certificati medici, PDF contenenti diagnosi, prescrizioni, esiti di esami, documentazione sanitaria o dati clinici, caricati dall'utente o dal professionista per finalita' di valutazione, import dati tramite AI o documentazione del percorso.
Allergie e intolleranze alimentari: dati relativi ad allergie o intolleranze trattati nell'ambito della funzionalita' nutrizione.
Dati biometrici e del ciclo mestruale: dati importati da Apple Health o Health Connect, dati del ciclo mestruale e altri parametri biometrici che possono rientrare nelle categorie particolari.

8.2 Base giuridica: consenso esplicito

Il trattamento dei dati sensibili sopra elencati e' soggetto al consenso esplicito dell'interessato ai sensi dell'art. 9, par. 2, lett. a) del GDPR, salvo che ricorra una diversa base giuridica applicabile al tenant o al professionista (es. obblighi di legge, assistenza sanitaria, medicina del lavoro, sicurezza sul lavoro) documentata separatamente.

Il consenso esplicito deve essere:

separato dall'accettazione dei Termini e dalla presa visione dell'informativa privacy;
specifico per categoria: l'utente puo' scegliere quali categorie di dati sensibili autorizzare (es. dati salute generali, foto/video check fisici, referti medici, dati ciclo mestruale, AI con dati sanitari);
libero, informato, inequivocabile e documentabile;
revocabile in ogni momento tramite le impostazioni dell'app o richiesta a privacy@unyg.app, con la stessa facilita' con cui e' stato prestato;
tracciato con registrazione di versione dell'informativa/consenso, timestamp, utente, tenant e, ove proporzionato, IP/user agent.

8.3 Consenso specifico per foto/video check fisici e referti medici

Le foto e i video dei check fisici e i referti medici e documenti sanitari costituiscono dati particolari che richiedono un consenso esplicito specifico e separato, per le seguenti ragioni:

tali dati possono rivelare informazioni dettagliate sullo stato di salute, patologie, evoluzione fisica, condizioni corporee e dati clinici;
le foto e i video dei check fisici costituiscono dati assimilabili a dati biometrici o sanitari, in quanto documentano visivamente la condizione fisica della persona;
i referti medici contengono informazioni sanitarie coperte da segreto professionale e disciplinate da normative specifiche.

Pertanto, prima di acquisire, caricare o rendere accessibili foto/video dei check fisici o referti medici:

UNYG richiede un consenso esplicito separato per ciascuna di queste categorie di dati sensibili;
il consenso e' raccolto tramite checkbox dedicata e non pre-selezionata, con informativa specifica sul trattamento (finalita', durata, destinatari, inclusi eventuali provider AI);
l'utente puo' revocare il consenso in qualsiasi momento dalle impostazioni privacy dell'app;
in caso di revoca, i dati sensibili non saranno piu' trattati per le finalita' che richiedevano tale consenso e le funzionalita' collegate (es. check fisici con foto, analisi AI di referti) potrebbero essere disattivate o limitate;
il rifiuto del consenso per foto/video check fisici o referti medici non impedisce l'uso delle altre funzionalita' dell'app non dipendenti da tali dati.

8.4 Controllo di accesso ai media dei check fisici

UNYG mette a disposizione dell'utente un controllo granulare sulla visibilita' delle foto e dei video dei propri check fisici:

l'utente puo' scegliere se consentire o meno ai professionisti (personal trainer, nutrizionisti, staff) di visualizzare i media dei propri check fisici;
questa impostazione e' indipendente dal consenso al trattamento dei dati salute ed e' gestibile separatamente dalle impostazioni privacy dell'app;
quando l'impostazione e' attiva, i media dei check fisici non sono accessibili dal tenant e dai suoi professionisti, salvo diversa base giuridica documentata.

8.5 Conseguenze della revoca del consenso

La revoca del consenso esplicito non pregiudica la liceita' dei trattamenti basati sul consenso prima della revoca. Dopo la revoca, UNYG e il tenant cesseranno di trattare i dati sensibili per le finalita' che richiedevano tale consenso, fermo restando quanto necessario per obblighi di legge o per la tutela dei diritti in sede giudiziaria.

9. Permessi del dispositivo

L'app puo' richiedere i seguenti permessi:

Fotocamera: scanner barcode, foto o video da caricare in chat, check, pasti o documenti.
Galleria/foto/video/file: selezione di media e documenti.
Microfono: note vocali, audio chat, registrazioni o input vocale.
Riconoscimento vocale: trascrizione di pasti o comandi, se abilitata.
Sensori di movimento: supporto al conteggio ripetizioni o funzioni esercizio.
Notifiche: promemoria, chat, booking, abbonamenti, comunicazioni operative e sicurezza.
HealthKit/Health Connect: importazione di dati salute specifici, ad esempio ciclo mestruale, solo se autorizzata dall'utente.
Calendario Google: sincronizzazione appuntamenti, corsi o disponibilita' solo dopo autorizzazione OAuth.
Posizione: solo se una specifica funzione la richiede e l'utente la abilita.

I permessi possono essere revocati dalle impostazioni del sistema operativo. La revoca puo' impedire l'uso della funzione collegata. Il permesso del sistema operativo non sostituisce eventuali consensi privacy richiesti per finalita' ulteriori.

L'app, la web app e i siti collegati possono usare cookie, local storage, secure storage, cache, SDK e tecnologie simili. I dettagli operativi sono descritti nella Cookie e tecnologie simili policy UNYG: https://unyg.app/cookie-policy.

In sintesi:

cookie tecnici, sessioni, CSRF token, storage locale, cache e secure storage sono usati per login, sicurezza, preferenze e funzionamento;
SDK tecnici possono essere usati per notifiche push, compatibilita', deep link, diagnostica o sicurezza;
analytics, attribution, advertising o marketing sono attivati solo se configurati e, quando richiesto, previo consenso;
strumenti non strettamente necessari di lettura/scrittura sul dispositivo richiedono consenso quando previsto dalla normativa ePrivacy/GDPR.

11. Funzionalita' AI, speech-to-text e automazioni

Alcune funzionalita' possono usare modelli AI o servizi di trascrizione per generare suggerimenti, ricette, tutorial, testo, analisi, import documenti/routine o supporto operativo.

Gli output AI sono strumenti di supporto e devono essere verificati da un professionista o dall'utente prima dell'uso.
L'app non deve essere usata per diagnosi, terapia, emergenze mediche o decisioni automatizzate con effetti giuridici o analogamente significativi senza adeguato intervento umano.
Prompt, audio, trascrizioni, immagini, documenti, referti, PDF o altri dati inseriti possono essere inviati a provider tecnici esterni (ad esempio Google Gemini, DeepSeek o equivalenti) se la funzione e' attiva.
I dati non devono essere usati per addestrare modelli di terzi salvo diversa informativa, consenso ove necessario e accordi contrattuali adeguati. UNYG richiede contrattualmente ai provider AI di non usare i dati degli utenti per l'addestramento dei propri modelli, ove tecnicamente e contrattualmente possibile.
Se nei prompt o nei documenti caricati sono inclusi dati salute, documenti identificativi, dati di minori o altri dati particolari, il trattamento richiede una base giuridica adeguata, normalmente consenso esplicito dell'interessato o altra base documentata dal tenant.
Quando applicabile, le funzionalita' AI sono gestite tenendo conto del Regolamento (UE) 2024/1689 (AI Act), inclusi obblighi di trasparenza, governance e alfabetizzazione AI.

11.1 Documenti, referti e dati personali caricati su AI

Quando usi funzioni che elaborano documenti o file tramite AI (ad esempio import routine da PDF, estrazione dati da referti, analisi di immagini o foto pasto):

il file viene salvato nello storage di UNYG e poi trasmesso al provider AI sotto forma di dati binari o testo estratto;
il provider AI puo' conservare l'input per il tempo necessario all'elaborazione e, in alcuni casi, per finalita' di sicurezza o compliance propria, secondo le sue condizioni;
l'utente e il tenant sono invitati a non caricare documenti contenenti dati personali non necessari alla funzione, a rimuovere informazioni superflue prima dell'upload e a preferire l'inserimento manuale quando i dati sono particolarmente sensibili;
l'output AI potrebbe in casi rari rigurgitare o riprodurre frammenti di dati personali presenti nei documenti o nell'input; l'utente e il tenant sono responsabili della verifica dell'output prima di salvarlo, condividerlo o usarlo con utenti finali;
i diritti di accesso, rettifica, cancellazione e limitazione si applicano anche agli input e agli output del sistema AI, nei limiti tecnici e contrattuali con il provider.

11.2 Provider AI e trasferimenti

I provider AI attualmente integrati includono Google Gemini (Google / USA) e DeepSeek (Cina). L'invio di dati a questi provider puo' comportare trasferimenti fuori dallo Spazio Economico Europeo. UNYG adotta garanzie contrattuali (clausole contrattuali standard, misure supplementari ove necessarie) e valuta la localizzazione dei dati quando offerta dal provider. Il tenant puo' richiedere informazioni aggiornate sui meccanismi di trasferimento in essere.

12. Destinatari e responsabili del trattamento

I dati possono essere accessibili, nei limiti dei rispettivi ruoli, a:

tenant, amministratori, manager, staff, personal trainer, nutrizionisti e collaboratori autorizzati;
personale autorizzato di UNYG;
fornitori hosting, cloud, database, storage, CDN, backup, conversione media e sicurezza;
provider notifiche push, email, SMS o comunicazioni;
provider pagamento, Stripe Connect, fatturazione, contabilita' e fiscalita';
provider AI, speech-to-text, calendario, barcode, meteo, download release e integrazioni esterne;
consulenti legali, fiscali, contabili, assicurativi e tecnici;
autorita' pubbliche o soggetti legittimati, nei casi previsti dalla legge.

L'elenco aggiornato dei responsabili/sub-responsabili e dei principali destinatari e' disponibile in https://unyg.app/sub-responsabili o su richiesta. Alcuni provider, ad esempio servizi di pagamento regolamentati o store, possono agire come titolari autonomi per proprie finalita' obbligatorie o di compliance.

13. Trasferimenti fuori dallo Spazio Economico Europeo

Alcuni fornitori possono trattare dati fuori dallo Spazio Economico Europeo. In tali casi saranno adottate garanzie adeguate, come decisioni di adeguatezza della Commissione europea, clausole contrattuali standard, misure supplementari tecniche/organizzative o altre garanzie previste dal GDPR.

Prima della pubblicazione, UNYG deve verificare paese, ruolo privacy e meccanismo di trasferimento di ogni provider effettivamente attivo.

14. Conservazione dei dati

I dati sono conservati per il tempo necessario alle finalita' indicate, salvo obblighi di legge o necessita' di tutela dei diritti.

Categoria	Periodo indicativo
Account e profilo	per tutta la durata dell'account e poi per il tempo necessario a gestire cancellazione, obblighi legali e contestazioni
Dati tenant, routine, nutrizione, check, chat, documenti	secondo istruzioni del tenant titolare o fino a cancellazione/cessazione account, salvo conservazioni obbligatorie
Dati salute/wellness	finche' necessari alla funzione o al rapporto con il tenant; cancellazione o anonimizzazione su richiesta ove applicabile
Media e allegati	finche' collegati a chat, check, documenti, routine o contenuti del tenant; cancellazione quando non piu' necessari
Pagamenti, contabilita', fatture, ricevute	per i termini fiscali e civilistici applicabili, indicativamente fino a 10 anni ove richiesto
Log sicurezza, IP, sessioni, eventi tecnici	di norma da 6 a 24 mesi, salvo incidenti, abusi, frodi o necessita' di tutela dei diritti
Chat realtime/presenza temporanea	per il tempo tecnico necessario alla consegna e sincronizzazione, salvo messaggi persistenti
Token push e dispositivi	finche' l'utente mantiene attive le notifiche o finche' il token e' valido
Export GDPR	archivio disponibile tramite link temporaneo, di norma 72 ore, salvo configurazione diversa
Cancellazione account	finestra di recupero di norma 7 giorni prima dell'esecuzione, salvo configurazione diversa o obblighi legali
Consensi, log di presa visione e preferenze	per la durata del rapporto e per il periodo necessario a dimostrare conformita'
Supporto	di norma fino a 24 mesi dalla chiusura del ticket, salvo necessita' ulteriori
Marketing	fino a revoca del consenso o inattivita' prolungata secondo policy interna
Input/output AI (prompt, file, risposte)	secondo le policy di retention del provider AI e le istruzioni del tenant; di norma fino alla durata della sessione o del job, salvo conservazioni tecniche o obblighi legali del provider
Backup	secondo cicli tecnici ordinari, con protezione e senza uso attivo, salvo ripristino necessario

I periodi effettivi devono essere confermati nel registro dei trattamenti e nelle policy interne.

15. Diritti dell'interessato

Nei limiti e alle condizioni previste dal GDPR puoi esercitare i diritti di:

accesso ai dati;
rettifica;
cancellazione;
limitazione del trattamento;
portabilita';
opposizione;
revoca del consenso;
non essere sottoposto a decisioni basate unicamente su trattamento automatizzato con effetti giuridici o analoghi, ove applicabile.

Puoi inviare una richiesta a privacy@unyg.app. Potremo chiedere informazioni necessarie a verificare la tua identita'.

Rispondiamo di norma entro un mese dal ricevimento della richiesta. Se la richiesta e' complessa, il termine puo' essere esteso nei limiti previsti dal GDPR, informandoti entro un mese. Se una richiesta e' manifestamente infondata o eccessiva, potremo rifiutarla o applicare un contributo ragionevole nei limiti consentiti dal GDPR.

L'app puo' includere funzioni di esportazione dati e cancellazione account. La cancellazione puo' essere soggetta a finestra di recupero, obblighi fiscali/legali, sicurezza, contestazioni, backup tecnici o istruzioni del tenant titolare.

Se il trattamento e' effettuato dal tenant come titolare, potremo indirizzare o inoltrare la richiesta al tenant competente.

Hai inoltre diritto di proporre reclamo all'autorita' di controllo competente. In Italia, il Garante per la protezione dei dati personali e' raggiungibile tramite https://www.garanteprivacy.it.

16. Minori

L'app non e' destinata a minori senza supervisione. Se l'utente ha meno dell'eta' richiesta dalla normativa applicabile per prestare validamente il consenso digitale o sanitario, il trattamento richiede il coinvolgimento di chi esercita la responsabilita' genitoriale o del soggetto legittimato.

Per l'Italia, il consenso del minore in relazione ai servizi della societa' dell'informazione e' valido dal compimento dei 14 anni nei limiti previsti dalla normativa applicabile; sotto tale soglia e' richiesto il consenso di chi esercita la responsabilita' genitoriale. Per servizi fitness, nutrizione, salute, immagini, pagamenti o contratti con tenant possono essere richieste ulteriori autorizzazioni.

Il tenant deve verificare eta', autorizzazioni e basi giuridiche quando invita o gestisce minori nel proprio spazio.

17. Sicurezza

Adottiamo misure tecniche e organizzative proporzionate al rischio, tra cui controllo accessi, autenticazione, segregazione tenant, permessi granulari, protezione canali, backup, logging, limitazione accessi interni, monitoraggio, gestione vulnerabilita', procedure di risposta agli incidenti e protezione dei media.

Per i profili applicabili al servizio software, la sicurezza e la resilienza sono gestite anche in coerenza con la normativa UE rilevante in materia di cybersicurezza (ad esempio Direttiva NIS2 e Regolamento CRA), fermo restando che l'applicabilita' concreta dipende da ruolo, settore e recepimento nazionale.

Nessun sistema e' sicuro in modo assoluto. Gli utenti devono proteggere credenziali e dispositivi, usare password robuste, non condividere account e segnalare accessi sospetti.

18. Modifiche all'informativa

Potremo aggiornare questa informativa per modifiche normative, tecniche, organizzative o funzionali. In caso di modifiche rilevanti, forniremo comunicazione adeguata tramite app, email, sito o altri canali ragionevoli. Se una modifica richiede un nuovo consenso, lo richiederemo prima di procedere con il trattamento interessato.

19. Quadro normativo UE rilevante

Oltre al GDPR, il trattamento dati e la gestione del servizio software possono coinvolgere, se applicabili:

Direttiva ePrivacy 2002/58/CE (art. 5, par. 3) e norme nazionali su cookie/tecnologie simili;
Regolamento (UE) 2022/2065 (Digital Services Act), per eventuali funzionalita' di hosting/condivisione contenuti;
Regolamento (UE) 2024/1689 (AI Act), con applicazione progressiva: prime regole dal 2 febbraio 2025, ulteriori obblighi dal 2 agosto 2025, maggior parte degli obblighi dal 2 agosto 2026 e ulteriori regole per alcuni sistemi high-risk dal 2 agosto 2027 (salve successive modifiche normative);
Regolamento (UE) 2023/2854 (Data Act), applicabile dal 12 settembre 2025 per i profili pertinenti di accesso/uso dati e switching cloud;
Direttiva (UE) 2022/2555 (NIS2), recepita a livello nazionale, per i soggetti che rientrano nel suo ambito;
Regolamento (UE) 2024/2847 (Cyber Resilience Act), in vigore dal 10 dicembre 2024 e pienamente applicabile dall'11 dicembre 2027, con obblighi anticipati per alcune parti.

20. Contatti

Per richieste privacy: privacy@unyg.app
Per richieste legali: legale@unyg.app
Per sicurezza o vulnerability disclosure: security@unyg.app
Per contatti DSA o segnalazione contenuti illegali: dsa@unyg.app