UPFitness Cloud

Documenti legali

Informativa Privacy — Piattaforma SaaS

Trattamento dei dati personali effettuato tramite la piattaforma UPFitness Cloud, ai sensi del Regolamento UE 2016/679 (GDPR)

Ultimo aggiornamento: 29 giugno 2026

1. Premessa

La presente informativa disciplina il trattamento dei dati personali effettuato tramite la piattaforma software UPFitness Cloud, erogata in modalità SaaS (Software as a Service) da NYCTEA SRL.

UPFitness Cloud è una piattaforma gestionale cloud destinata a centri fitness, palestre e strutture sportive (di seguito: "Cliente" o "Tenant"). La piattaforma consente la gestione di anagrafiche clienti, abbonamenti, prenotazioni corsi, comunicazioni, schede allenamento, contabilità e accessi.

Nell'utilizzo della piattaforma si configura una distinzione fondamentale tra i trattamenti effettuati da NYCTEA SRL in qualità di Titolare autonomo e quelli effettuati in qualità di Responsabile del trattamento per conto del Cliente.

2. Ruoli nel trattamento

2.1 Trattamenti effettuati per conto del Cliente (art. 28 GDPR)

Per tutti i dati relativi agli iscritti, ai clienti e al personale del Centro Sportivo trattati attraverso la piattaforma (anagrafiche, abbonamenti, prenotazioni, accessi, comunicazioni, schede allenamento, firma elettronica, dati contabili):

  • Il Titolare del trattamento è il Cliente (il Centro Sportivo / Tenant).
  • NYCTEA SRL agisce in qualità di Responsabile del trattamentoai sensi dell'art. 28 GDPR, trattando i dati esclusivamente su istruzione del Cliente e per le finalità da questi determinate.

Il Cliente, in quanto Titolare del trattamento, è responsabile della corretta raccolta del consenso dai propri iscritti e della conformità al GDPR nelle operazioni di trattamento da lui determinate.

2.2 Trattamenti effettuati da NYCTEA SRL in qualità di Titolare autonomo

NYCTEA SRL agisce in qualità di Titolare autonomo per:

  • Gestione degli account dei Clienti (Tenant) e dei relativi contratti di abbonamento SaaS
  • Fatturazione e adempimenti fiscali verso i Clienti
  • Sicurezza della piattaforma (log di accesso, monitoraggio tecnico, prevenzione abusi)
  • Gestione dell'infrastruttura cloud e dei backup
  • Comunicazioni di servizio verso il Cliente (aggiornamenti, manutenzione, scadenze piano)
  • Elaborazione statistica anonimizzata per il miglioramento del servizio

3. Titolare del trattamento (per i trattamenti autonomi)

NYCTEA SRL
Via Risorgimento, 137 – 31020 San Zenone degli Ezzelini (TV)
P.IVA e C.F.: 03514640246 – REA TV-438916
Email: info@nyctea.it
PEC: nyctea@pcert.it

Data Protection Officer (DPO):
Dott. Daniele Maggiolo
Email: dpo@nyctea.it

4. Categorie di dati trattati

4.1 Dati del Cliente (Tenant) — trattati da NYCTEA SRL come Titolare autonomo

  • Ragione sociale / nome e cognome del titolare
  • Indirizzo email e numero di telefono
  • Partita IVA e codice fiscale
  • Dati di fatturazione e metodo di pagamento (gestito da Stripe)
  • Dati di accesso alla piattaforma (credenziali hash, log di autenticazione)

4.2 Dati degli iscritti del Centro Sportivo — trattati da NYCTEA SRL come Responsabile

  • Nome, cognome, data di nascita, codice fiscale
  • Recapiti di contatto (email, telefono, indirizzo)
  • Foto del profilo (se caricata dal Centro Sportivo)
  • Storico abbonamenti, pagamenti e movimenti contabili
  • Prenotazioni corsi e log di accesso alla struttura
  • Contenuto delle comunicazioni scambiate via WhatsApp, Telegram, email e push
  • Schede di allenamento e dati sulle sessioni sportive
  • Firme elettroniche e documenti sottoscritti
  • Numero tessera federale (EPS/CONI) se inserito
  • Dati di salute (solo se il Centro Sportivo raccoglie certificati medici tramite la piattaforma)

Nota:I dati di salute (art. 9 GDPR) sono trattati esclusivamente su specifica configurazione del Centro Sportivo, il quale è responsabile dell'acquisizione del consenso esplicito degli interessati.

5. Finalità del trattamento e basi giuridiche

5.1 Erogazione del servizio SaaS al Cliente

Gestione dell'account, accesso alla piattaforma, assistenza tecnica, aggiornamenti del servizio.

Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).

5.2 Fatturazione e adempimenti fiscali

Emissione di documenti fiscali, gestione dei pagamenti ricorrenti, adempimenti contabili e tributari.

Base giuridica: obbligo legale (art. 6, par. 1, lett. c) GDPR) — D.P.R. 600/1973 e normativa IVA.

5.3 Comunicazioni di servizio e notifiche sul piano

Invio di email relative a scadenze del piano, aggiornamenti della piattaforma, avvisi di sicurezza, comunicazioni operative necessarie al corretto funzionamento del servizio.

Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).

5.4 Sicurezza e prevenzione abusi

Monitoraggio tecnico dell'infrastruttura, rilevamento di anomalie, prevenzione di accessi non autorizzati, conservazione di log di sistema.

Base giuridica: legittimo interesse (art. 6, par. 1, lett. f) GDPR).

5.5 Trattamenti per conto del Cliente (Responsabile)

Tutti i trattamenti effettuati da NYCTEA SRL nell'ambito della gestione del Centro Sportivo sono eseguiti esclusivamente su istruzione documentata del Cliente, in qualità di Responsabile del trattamento ex art. 28 GDPR. Le finalità specifiche sono determinate dal Cliente.

6. Infrastruttura e misure di sicurezza

La piattaforma UPFitness Cloud è interamente ospitata su Microsoft Azure, con datacenter localizzati nell'Unione Europea (area West Europe / North Europe).

Le misure di sicurezza adottate includono:

  • Cifratura in transito: tutte le comunicazioni avvengono tramite HTTPS/TLS
  • Cifratura a riposo: database e blob storage cifrati da Microsoft Azure
  • Isolamento multi-tenant: ogni Cliente dispone di un database dedicato e isolato
  • Autenticazione: JWT con token di accesso (3 min) e refresh token (90 giorni); hash password BCrypt
  • Controllo accessi basato su ruoli: permessi granulari per ogni operatore del Centro Sportivo
  • Backup automatici: backup giornalieri del database con retention configurata
  • Autenticazione a più fattori (MFA): obbligatoria per gli account amministrativi NYCTEA SRL con accesso all'infrastruttura
  • Audit trail: log di tutte le operazioni critiche (firma elettronica, cancellazione dati)
  • Monitoraggio: Azure Application Insights per rilevamento anomalie in tempo reale

7. Conservazione dei dati

7.1 Dati del Cliente (account Tenant)

  • Per la durata del contratto di abbonamento SaaS.
  • Dopo la cancellazione: i dati operativi sono eliminati entro 90 giorni; i dati fiscali sono conservati per 10 anni ai sensi del D.P.R. 600/1973.

7.2 Dati degli iscritti del Centro Sportivo

NYCTEA SRL, in qualità di Responsabile, conserva i dati per la durata del contratto con il Cliente. Il Cliente determina le politiche di conservazione per i propri iscritti in conformità al GDPR.

In caso di cancellazione dell'account da parte del Cliente: NYCTEA SRL mette a disposizione i dati per l'esportazione in formato aperto per un periodo di 30 giornidalla cessazione. Trascorso tale termine, i dati vengono eliminati fisicamente (database Azure eliminato, blob storage eliminato). Su richiesta, NYCTEA SRL fornisce conferma scritta dell'avvenuta cancellazione. In caso di richiesta di eliminazione immediata ai sensi dell'art. 17 GDPR, i dati vengono eliminati entro 24 ore.

7.3 Log di sistema e sicurezza

Conservati per un massimo di 12 mesi, salvo necessità derivanti da contenziosi o obblighi normativi.

7.4 Documenti fiscali

I documenti di fatturazione emessi verso i Clienti sono conservati per 10 annianche dopo la cancellazione dell'account, in adempimento agli obblighi fiscali di legge.

8. Sub-responsabili del trattamento

NYCTEA SRL si avvale di fornitori tecnologici qualificati, designati quali sub-responsabili del trattamento ai sensi dell'art. 28, par. 4 GDPR:

FornitoreSedeFinalità
Microsoft AzureUE (Irlanda / Paesi Bassi)Hosting, database, blob storage, Application Insights
SendGrid (Twilio Inc.)USA (DPF + SCC)Invio email transazionali e di sistema
Stripe Inc.USA / IE (DPF + SCC)Gestione pagamenti, fatturazione, addebiti ricorrenti
Google Firebase (FCM)USA (DPF + SCC)Invio notifiche push iOS e Android
Meta Platforms (WhatsApp Business API)USA / IE (DPF + SCC)Invio e ricezione messaggi WhatsApp
Telegram (Telegram Messenger Inc.)UAE / UEInvio messaggi via Telegram Bot API

Il Cliente viene informato preventivamente di qualsiasi variazione ai sub-responsabili che possa influire sul livello di protezione dei dati, con un preavviso di almeno 30 giorni.

9. Trasferimenti di dati verso Paesi terzi

I dati sono trattati prevalentemente all'interno dello Spazio Economico Europeo. I trasferimenti verso Paesi terzi (USA) avvengono esclusivamente verso fornitori certificati secondo il EU-U.S. Data Privacy Framework (DPF)e con l'adozione di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione del 4 giugno 2021.

Per ulteriori dettagli sulle garanzie adottate da ciascun fornitore, è possibile consultare le rispettive informative privacy:

10. DPA, Data Breach e diritto di audit

In qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, NYCTEA SRL mette a disposizione dei propri Clienti un Data Processing Agreement (DPA) che regola:

  • L'oggetto, la durata, la natura e le finalità del trattamento
  • Le categorie di dati personali trattati
  • Gli obblighi e i diritti del Titolare (Cliente)
  • Le misure di sicurezza adottate da NYCTEA SRL
  • Le condizioni per l'utilizzo di sub-responsabili
  • Le procedure per la gestione delle violazioni dei dati (data breach)
  • Le modalità di assistenza nelle richieste degli interessati

Il DPA disciplina in particolare:

  • Violazione dei dati (Data Breach): in caso di violazione dei dati personali, NYCTEA SRL notifica il Cliente senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza dell'evento, fornendo tutte le informazioni utili alla valutazione dell'impatto e all'eventuale notifica al Garante.
  • Assistenza al Cliente: NYCTEA SRL assiste il Cliente nell'evadere le richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità) nei tempi previsti dal GDPR.
  • Diritto di audit: il Cliente può richiedere verifiche documentali sul rispetto del DPA, previo congruo preavviso e senza compromettere la sicurezza degli altri Clienti.
  • Esportazione e cancellazione dati alla cessazione: entro 30 giorni dalla scadenza del contratto, con conferma scritta dell'avvenuta cancellazione.

Il DPA è parte integrante delle Condizioni Generali di Servizio di UPFitness Cloud. Una copia è disponibile su richiesta scrivendo a dpo@nyctea.it.

11. Decisioni automatizzate e profilazione

La piattaforma non effettua processi decisionali automatizzati che producano effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR.

Le funzionalità di automazione (tag automatici, lifecycle CRM, campagne su segmento) sono strumenti di supporto operativo del Centro Sportivo e non producono decisioni automatizzate rilevanti ai sensi del GDPR.

12. Diritti dell'interessato

12.1 Iscritti del Centro Sportivo

Gli iscritti del Centro Sportivo che desiderano esercitare i diritti previsti dagli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) devono rivolgersi direttamente al Centro Sportivo, in qualità di Titolare del trattamento.

NYCTEA SRL, in qualità di Responsabile, fornirà al Cliente tutta l'assistenza necessaria per evadere le richieste degli interessati nei tempi previsti dal GDPR (30 giorni).

12.2 Clienti (Tenant) — trattamenti di NYCTEA SRL come Titolare autonomo

Per i trattamenti effettuati da NYCTEA SRL in qualità di Titolare autonomo (account, fatturazione, sicurezza), i Clienti possono esercitare i propri diritti scrivendo al DPO all'indirizzo dpo@nyctea.it.

È sempre possibile proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

13. Modifiche alla presente informativa

La presente informativa può essere aggiornata in seguito a modifiche normative, tecnologiche o al perimetro dei servizi offerti. In caso di modifiche sostanziali, i Clienti saranno notificati via email con un preavviso di almeno 30 giorni.

L'ultima versione aggiornata sarà sempre disponibile su questa pagina.