Legal

Informativa sul trattamento dei dati personali

Ultimo aggiornamento: maggio 2026 · Normativa applicabile: GDPR (UE 2016/679) e nLPD svizzera (RS 235.1)

Nota sul quadro normativo. AOLab ha sede in Svizzera ed eroga servizi anche a utenti residenti nell'Unione Europea (in particolare in Italia). Per questo motivo il presente documento è redatto in conformità a:
  • Regolamento UE 2016/679 (GDPR) — applicabile in virtù dell'art. 3, par. 2, GDPR, in quanto AOLab offre servizi a interessati che si trovano nell'UE.
  • Nuova Legge federale svizzera sulla protezione dei dati (nLPD, RS 235.1), in vigore dal 1° settembre 2023, applicabile in quanto il titolare è stabilito in Svizzera.
In caso di conflitto tra le due normative, si applica la disposizione più protettiva per l'interessato.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è AOLab, studio professionale di personal training e fisioterapia con sede in Svizzera.

AOLab non è tenuto a designare un Responsabile della protezione dei dati (DPO/RPD) ai sensi dell'art. 37 GDPR, in quanto il trattamento non rientra nelle ipotesi di obbligatorietà previste dalla norma (trattamento non su larga scala, nessuna categoria speciale di dati trattata sistematicamente, nessun monitoraggio sistematico degli interessati su larga scala). Analogamente, la nLPD svizzera non impone la designazione di un consulente per la protezione dei dati per attività della dimensione di AOLab.

Per qualsiasi questione relativa alla protezione dei dati è possibile contattare direttamente il titolare all'indirizzo email sopra indicato.

2. Quadro normativo di riferimento

Il trattamento dei dati personali è disciplinato dalle seguenti fonti:

  • GDPR — Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Direttamente applicabile agli interessati residenti nell'UE.
  • nLPD — Nuova Legge federale sulla protezione dei dati (RS 235.1), in vigore dal 1° settembre 2023, che abroga e sostituisce la precedente LPD del 1992. Si applica a tutti i trattamenti di dati di persone fisiche effettuati da AOLab in quanto titolare stabilito in Svizzera.
  • OPDa — Ordinanza sulla protezione dei dati (RS 235.11), in vigore dal 1° settembre 2023, che specifica i requisiti tecnici e organizzativi della nLPD.
  • D.Lgs. 196/2003 (Codice della Privacy italiano) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR — applicabile agli interessati residenti in Italia.

3. Categorie di dati trattati, finalità e basi giuridiche

AOLab tratta esclusivamente dati personali comuni (non dati di categoria speciale ai sensi dell'art. 9 GDPR / art. 5 nLPD). Di seguito le singole attività di trattamento.

3.1 Statistiche di navigazione aggregate (analytics)

Il sito raccoglie un contatore aggregato delle visite alle pagine pubbliche mediante un meccanismo interno (tabella page_views su database Supabase). Il contatore viene incrementato di un'unità per sessione di navigazione; non viene salvato alcun identificatore personale, indirizzo IP, cookie o fingerprint del dispositivo. I dati sono, pertanto, anonimi e non rientrano nell'ambito di applicazione del GDPR né della nLPD.

Finalità: monitoraggio dell'andamento del sito a fini statistici interni.
Base giuridica: non applicabile (dati anonimi aggregati).
Conservazione: il contatore viene azzerato manualmente dal gestore; non è prevista una scadenza automatica.

3.2 Modulo di contatto

Quando utilizzi il modulo di contatto presente sul sito raccogliamo: nome e cognome, indirizzo email, testo del messaggio.

Finalità: rispondere alla richiesta dell'interessato, fornire informazioni sui servizi, avviare un eventuale rapporto precontrattuale.
Base giuridica GDPR: art. 6, par. 1, lett. b) — esecuzione di misure precontrattuali su richiesta dell'interessato.
Base giuridica nLPD: art. 31, par. 1, lett. a) — necessità per l'esecuzione di un contratto o per misure precontrattuali.
Conservazione: i messaggi sono conservati per il tempo strettamente necessario a evadere la richiesta e, al massimo, per 24 mesi dalla ricezione. Decorso tale termine i dati vengono cancellati.

3.3 Acquisti nello store — prodotti digitali

Quando acquisti un prodotto digitale tramite PayPal raccogliamo i seguenti dati, ricevuti direttamente dalla piattaforma PayPal al completamento del pagamento: nome e cognome dell'account PayPal, indirizzo email dell'account PayPal, importo pagato (in CHF), ID ordine PayPal, data e ora dell'acquisto.

Raccogliamo inoltre il numero di download effettuati per ciascun ordine (massimo 3 download per acquisto), al fine di tutelare i diritti dell'acquirente e prevenire usi impropri.

Dati mai trattati da AOLab: numero di carta di credito, IBAN, dati del conto bancario o qualsiasi altro dato di pagamento sensibile. Il pagamento è gestito interamente da PayPal (Europe) S.à r.l. et Cie, S.C.A., conforme agli standard PCI DSS Livello 1. AOLab riceve esclusivamente la notifica di avvenuto pagamento e i dati identificativi sopra elencati.

Finalità: gestione dell'ordine, consegna del file digitale, assistenza post-vendita, adempimento di obblighi contabili e fiscali.
Base giuridica GDPR: art. 6, par. 1, lett. b) (esecuzione del contratto) e art. 6, par. 1, lett. c) (obbligo legale — conservazione della documentazione commerciale ai sensi dell'art. 2220 c.c. italiano e art. 958 del Codice delle obbligazioni svizzero).
Base giuridica nLPD: art. 31, par. 1, lett. a) (esecuzione del contratto) e lett. b) (obbligo legale).
Conservazione: i dati degli ordini sono conservati per 10 anni dalla data dell'acquisto, in conformità agli obblighi di conservazione fiscale e commerciale previsti sia dalla normativa svizzera (art. 958f CO) sia da quella italiana (art. 2220 c.c.). Decorso il termine decennale, i dati personali identificativi (nome ed email) vengono anonimizzati; il record contabile dell'ordine (importo, data, ID PayPal) è conservato a fini contabili per il periodo ulteriormente richiesto dalla legge.

3.4 Area amministrativa riservata

I profili degli amministratori del sito (nome, email, ruolo, data dell'ultimo accesso) sono trattati esclusivamente per finalità di gestione del servizio interno e non vengono comunicati a terzi.

Finalità: gestione dell'accesso al pannello di amministrazione.
Base giuridica: legittimo interesse del titolare al corretto funzionamento e alla sicurezza del servizio (art. 6, par. 1, lett. f) GDPR; art. 31, par. 1, lett. d) nLPD).
Conservazione: per tutta la durata del rapporto professionale e per i 12 mesi successivi alla sua conclusione.

4. Modalità del trattamento e misure di sicurezza

Il trattamento avviene con strumenti informatici e telematici. AOLab adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita, distruzione o divulgazione, tra cui:

  • Autenticazione sicura: l'accesso all'area amministrativa è protetto da autenticazione gestita da Supabase Auth con token JWT a scadenza automatica.
  • Cifratura in transito: tutte le comunicazioni tra browser e server avvengono tramite protocollo HTTPS/TLS.
  • File digitali in bucket privato: i file acquistabili sono archiviati in uno spazio di storage privato (non accessibile pubblicamente). Il download è possibile esclusivamente tramite URL firmati temporanei (signed URL, validità 1 ora) generati da un'Edge Function sicura lato server, previa verifica dell'avvenuto pagamento tramite API PayPal.
  • Row-Level Security (RLS): le policy di accesso al database sono configurate per garantire che ciascun utente acceda esclusivamente ai propri dati.
  • Separazione dei privilegi: le chiavi di servizio con accesso privilegiato al database non sono mai esposte nel codice frontend.

Ai sensi dell'art. 24 e dell'art. 32 GDPR, nonché degli artt. 8 e 9 nLPD, il titolare si impegna a mantenere aggiornate le misure di sicurezza in relazione ai rischi del trattamento.

5. Comunicazione a terzi e trasferimenti internazionali

I dati personali non vengono venduti, affittati né ceduti a terzi per finalità commerciali o di marketing. Sono comunicati esclusivamente ai seguenti soggetti, nella misura strettamente necessaria all'esecuzione delle rispettive funzioni:

5.1 PayPal (Europe) S.à r.l. et Cie, S.C.A.

Sede: 22-24 Boulevard Royal, L-2449 Lussemburgo.
Ruolo: responsabile del trattamento per la gestione dei pagamenti (art. 28 GDPR).
Trasferimento: i dati di pagamento sono trattati all'interno dell'UE/SEE. PayPal è soggetto al GDPR come titolare autonomo per le proprie attività di trattamento. La Svizzera è riconosciuta dalla Commissione UE come paese con livello di protezione adeguato; l'eventuale trasferimento verso la Svizzera è pertanto lecito.
Privacy PayPal: paypal.com/it/legalhub/privacy-full

5.2 Supabase Inc.

Sede legale: 970 Toa Payoh North, Singapore 318992. Server dell'istanza del progetto in uso: Unione Europea (regione eu-central-1 — Francoforte, Germania).
Ruolo: responsabile del trattamento per l'infrastruttura di database e storage (art. 28 GDPR).
Il trattamento avviene all'interno dell'UE; non si configura un trasferimento verso paesi terzi per i dati archiviati nell'istanza del progetto.
DPA Supabase: supabase.com/privacy

5.3 EmailJS Inc.

Servizio utilizzato per l'invio del messaggio dal modulo di contatto al destinatario.
I dati trasmessi (nome, email, testo del messaggio) sono utilizzati esclusivamente per consegnare il messaggio e non vengono conservati da EmailJS oltre il tempo tecnico necessario alla consegna.
Privacy EmailJS: emailjs.com/legal/privacy-policy

5.4 Fornitore di hosting / CDN

Il sito è distribuito tramite una piattaforma di hosting (es. Vercel Inc., sede negli USA). I dati tecnici di navigazione (indirizzo IP, header HTTP) possono essere temporaneamente trattati dall'infrastruttura di rete. Il trasferimento verso gli USA avviene sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea e/o del Data Privacy Framework UE–USA, ove applicabile.

5.5 Trasferimento Svizzera ↔ UE

La Svizzera è riconosciuta dalla Commissione Europea come paese con un livello di protezione dei dati adeguato (decisione di adeguatezza del 2000, confermata anche in relazione alla nLPD). Il trasferimento di dati tra la Svizzera e i Paesi UE/SEE non richiede garanzie aggiuntive ai sensi dell'art. 45 GDPR e dell'art. 16 nLPD.

6. Cookie e tecnologie di tracciamento

Il sito non utilizza cookie di profilazione, cookie di tracciamento comportamentale né strumenti di analisi di terze parti (es. Google Analytics, Meta Pixel o simili).

Vengono utilizzati esclusivamente:

  • Cookie tecnici di sessione (sessionStorage del browser) — necessari al corretto funzionamento del sito (es. mantenimento della sessione autenticata nell'area amministrativa, memorizzazione della lingua selezionata). Non richiedono consenso ai sensi dell'art. 122 del Codice della Privacy italiano e del Considerando 30 GDPR.
  • Contatore di visite anonimo — come descritto al punto 3.1, non associato ad alcun identificatore personale.

Non è pertanto necessaria la visualizzazione di un banner di consenso ai cookie, in quanto non vengono installati cookie non tecnici.

7. Diritti degli interessati

7.1 Diritti ai sensi del GDPR (interessati residenti nell'UE)

Ai sensi degli artt. 15–22 del Regolamento UE 2016/679, hai diritto di:

  • Accesso (art. 15) — ottenere conferma che sia o meno in corso un trattamento di dati personali che ti riguardano e, in caso affermativo, ottenere copia degli stessi e le informazioni sul trattamento.
  • Rettifica (art. 16) — ottenere la rettifica dei dati inesatti o l'integrazione di quelli incompleti.
  • Cancellazione / Diritto all'oblio (art. 17) — richiedere la cancellazione dei dati personali nei casi previsti dalla norma (es. dati non più necessari, revoca del consenso, trattamento illecito). Il diritto non si applica ove sussistano obblighi di conservazione legale (es. dati contabili fiscali).
  • Limitazione del trattamento (art. 18) — richiedere la sospensione del trattamento nei casi previsti dalla norma.
  • Portabilità (art. 20) — ricevere i dati forniti in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare, ove il trattamento si basi sul consenso o su un contratto ed avvenga con strumenti automatizzati.
  • Opposizione (art. 21) — opporti al trattamento basato sul legittimo interesse del titolare.
  • Revoca del consenso — ove il trattamento si basi sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.
  • Reclamo (art. 77) — proporre reclamo all'autorità di controllo competente nel tuo Paese di residenza o di lavoro.

7.2 Diritti ai sensi della nLPD (interessati in Svizzera)

Ai sensi della nuova Legge federale sulla protezione dei dati (RS 235.1, in vigore dal 1° settembre 2023), hai diritto di:

  • Informazione (art. 19 nLPD) — ricevere le informazioni sul trattamento dei tuoi dati al momento della raccolta.
  • Accesso (art. 25 nLPD) — richiedere al titolare informazioni sul trattamento dei dati che ti riguardano. Il termine di risposta è di 30 giorni (prorogabile di altri 30 in casi giustificati).
  • Rettifica, cancellazione e limitazione (art. 32 nLPD) — richiedere la correzione, la cancellazione o la restrizione del trattamento dei dati inesatti, illeciti o non più necessari.
  • Opposizione al trattamento automatizzato (art. 21 nLPD) — opporti a decisioni basate esclusivamente su trattamento automatizzato che producono effetti giuridici rilevanti (non applicabile nell'attuale trattamento di AOLab, che non prevede decisioni automatizzate).
  • Portabilità (art. 28 nLPD) — richiedere la consegna dei dati forniti in formato leggibile da macchina, ove il trattamento avvenga in modo automatizzato.

7.3 Come esercitare i diritti

Per esercitare uno qualsiasi dei diritti sopra elencati, scrivi a aolab2025@gmail.com con oggetto "Richiesta Privacy", indicando il diritto che intendi esercitare e i dati necessari per identificarti. Risponderemo entro 30 giorni dalla ricezione della richiesta (termine prorogabile di altri 60 giorni in casi di particolare complessità, con comunicazione motivata entro il primo mese ai sensi dell'art. 12, par. 3, GDPR).

La risposta è gratuita, salvo il caso di richieste manifestamente infondate o eccessive (art. 12, par. 5, GDPR).

8. Autorità di controllo competenti

Hai diritto di proporre reclamo all'autorità di controllo competente:

  • Interessati residenti in Italia: Garante per la protezione dei dati personali — garanteprivacy.it — Piazza Venezia 11, 00187 Roma — Tel. +39 06 69677.1
  • Interessati residenti in Svizzera: Incaricato federale della protezione dei dati e della trasparenza (IFPDT) — edoeb.admin.ch — Feldeggweg 1, 3003 Berna
  • Interessati in altri Stati UE/SEE: l'autorità di controllo del proprio Paese di residenza o di lavoro, ai sensi dell'art. 77 GDPR.

Il reclamo all'autorità di controllo non pregiudica il diritto di proporre ricorso giurisdizionale ai sensi dell'art. 79 GDPR.

9. Modifiche alla presente informativa

AOLab si riserva il diritto di aggiornare la presente informativa per adeguarla a modifiche normative, tecnologiche o operative. Le modifiche sostanziali saranno rese note mediante avviso sul sito nella sezione corrispondente. La data di "ultimo aggiornamento" in cima a questa pagina indica la versione vigente. Si raccomanda di consultare periodicamente questa pagina.

La versione precedente dell'informativa è disponibile su richiesta scrivendo a aolab2025@gmail.com.