Privacy Policy — ReadyRun
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è:
Sergio Toini
Persona fisica residente in Brescia, Italia
Email: hello@readyrun.run
Responsabile della protezione dei dati (DPO): non nominato ai sensi dell'art. 37 GDPR (non sussistono i requisiti che ne impongono la nomina obbligatoria).
2. Ambito di applicazione
La presente Privacy Policy descrive le modalità di raccolta, utilizzo, conservazione e protezione dei dati personali degli utenti dell'applicazione mobile ReadyRun (di seguito "App"), disponibile su iOS e Android, e dei servizi correlati.
Utilizzando l'App, l'utente conferma di aver letto e compreso la presente informativa resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 e s.m.i.
3. Tipologie di dati raccolti
3.1 Dati di registrazione e account
- Indirizzo email
- Credenziali di autenticazione (gestite tramite Supabase Auth; le password non sono mai accessibili in chiaro)
- Identificativo univoco utente
3.2 Dati del profilo atleta
- Nome o nickname (opzionale)
- Età, sesso, peso, altezza
- Obiettivi di allenamento (distanza gara, tempo target)
- Livello di esperienza nella corsa
3.3 Dati biometrici e di salute (categoria particolare ex art. 9 GDPR)
- Variabilità della frequenza cardiaca (HRV)
- Frequenza cardiaca a riposo (RHR)
- Qualità del sonno e ore di sonno
- Stress score
- Body battery / livello di energia
- Dati provenienti da dispositivi wearable tramite Google Health Connect (Android)
3.4 Dati di allenamento e attività sportiva
- Tracciati GPS delle sessioni di corsa
- Distanza, durata, passo, dislivello
- Frequenza cardiaca durante l'attività
- Tipologia di allenamento
- Dati importati tramite Strava (previo consenso OAuth)
3.5 Dati soggettivi giornalieri
- Livello di fatica percepita
- Livello di motivazione
- Segnalazioni di dolore o fastidio
- Note libere inserite dall'utente
3.6 Dati di interazione con il coach AI
- Messaggi inviati dall'utente al coach virtuale
- Risposte generate dal sistema AI
- Memoria strutturata delle conversazioni (preferenze, contesto di allenamento)
3.7 Dati tecnici, di diagnostica e di utilizzo
- Tipo di dispositivo, sistema operativo, versione dell'App, modello, lingua, fuso orario
- Log di errore, stack trace e crash report (vedi § 7.7)
- Indirizzo IP del dispositivo al momento dell'errore e identificativo tecnico di sessione (necessari al sistema di crash reporting per correlare gli eventi)
- Registrazioni anonime e parziali dell'interazione con l'App (Session Replay) campionate al 10% delle sessioni e al 100% delle sessioni in cui si verifica un crash, al solo fine di identificare la causa del difetto. Per impostazione predefinita i campi di testo inseriti dall'utente, i contenuti dei messaggi e gli elementi multimediali sono mascherati prima della trasmissione (vedi § 7.7)
- Token tecnico di notifica push (vedi § 7.9), non riconducibile direttamente all'identità dell'utente
- Dati di utilizzo aggregati (schermate visitate, frequenza di utilizzo) per la sola comprensione dell'uso del prodotto
3.8 Dati relativi agli abbonamenti
- Stato dell'abbonamento (attivo, scaduto, trial)
- Identificativo transazione (gestito da RevenueCat; i dati di pagamento completi sono gestiti esclusivamente da Apple App Store e Google Play Store e non transitano per i nostri sistemi)
4. Finalità e base giuridica del trattamento
| Finalità | Base giuridica (art. 6/9 GDPR) | Dettaglio |
|---|---|---|
| Registrazione e gestione account | Art. 6(1)(b) — Esecuzione del contratto | Necessario per fornire il servizio |
| Generazione del piano di allenamento personalizzato | Art. 6(1)(b) — Esecuzione del contratto | Funzionalità core dell'App |
| Analisi biometrica e calcolo readiness score | Art. 9(2)(a) — Consenso esplicito | Trattamento di dati di salute, richiede consenso specifico |
| Coaching AI (elaborazione conversazioni) | Art. 6(1)(b) — Esecuzione del contratto + Art. 9(2)(a) per eventuali dati di salute contenuti nei messaggi | Le conversazioni sono elaborate da Google Gemini |
| Importazione e analisi dati da Strava | Art. 6(1)(a) — Consenso (autorizzazione OAuth) | Attivata volontariamente dall'utente tramite OAuth 2.0 con scope di sola lettura, ai sensi dello Strava API Agreement. Dettagli in § 7.3. |
| Importazione dati da Google Health Connect | Art. 9(2)(a) — Consenso esplicito | Dati di salute da wearable |
| Gestione abbonamenti e acquisti in-app | Art. 6(1)(b) — Esecuzione del contratto | Tramite RevenueCat e gli store Apple/Google |
| Invio di notifiche push | Art. 6(1)(a) — Consenso | Promemoria allenamenti, check-in giornaliero |
| Crash reporting, diagnostica e risoluzione di anomalie tecniche | Art. 6(1)(f) — Legittimo interesse | Mantenimento dell'affidabilità e della sicurezza del servizio. Trattamento tramite Sentry (server UE — Francoforte). Dettagli e diritto di opposizione in § 7.7. |
| Miglioramento del servizio e analisi aggregate | Art. 6(1)(f) — Legittimo interesse | Dati aggregati e anonimizzati per migliorare algoritmi. Sono esclusi da qualsiasi analisi aggregata, statistica o di miglioramento del prodotto i dati importati da Strava, che sono trattati esclusivamente per fornire il servizio al singolo utente cui appartengono (vedi § 7.3). |
| Adempimenti fiscali e legali | Art. 6(1)(c) — Obbligo legale | Conservazione documentazione fiscale |
5. Consenso per i dati di salute
I dati biometrici e di salute (sez. 3.3) rientrano nelle categorie particolari di dati personali ai sensi dell'art. 9 GDPR. Il loro trattamento avviene esclusivamente previo consenso esplicito dell'utente, raccolto in modo specifico, informato e inequivocabile al momento della prima immissione di tali dati nell'App.
L'utente può revocare il consenso in qualsiasi momento dalle impostazioni dell'App o contattando il Titolare. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca.
In assenza di consenso, l'App rimane utilizzabile con funzionalità ridotte (senza analisi biometrica e readiness score).
6. Modalità del trattamento
I dati sono trattati con strumenti elettronici e automatizzati, con misure di sicurezza tecniche e organizzative adeguate, tra cui:
- Crittografia dei dati in transito (TLS 1.2+)
- Crittografia dei dati a riposo nel database
- Autenticazione sicura con token JWT (Supabase Auth)
- Row Level Security (RLS) su tutte le tabelle del database: ogni utente accede esclusivamente ai propri dati
- Rate limiting sulle API per prevenire abusi
- Accesso ai sistemi limitato al personale autorizzato
7. Servizi di terze parti e trasferimento dati
L'App si avvale dei seguenti servizi di terze parti, ciascuno con le proprie politiche di trattamento:
7.1 Supabase (Database e Autenticazione)
- Fornitore: Supabase Inc.
- Regione server: Unione Europea
- Dati trattati: tutti i dati dell'account e dell'App
- Ruolo: Responsabile del trattamento (Data Processor)
- Privacy Policy: https://supabase.com/privacy
7.2 Google Gemini (AI Coaching)
- Fornitore: Google LLC
- Dati trattati: messaggi della chat con il coach e contesto di allenamento strettamente necessario per generare risposte personalizzate (es. metriche recenti di allenamento, readiness score, obiettivo gara). Se l'utente ha collegato Strava (§ 7.3), alcune metriche derivate dalle attività Strava possono essere incluse in tale contesto, esclusivamente per generare la risposta del coach all'utente stesso.
- Finalità: generazione delle risposte del coach AI
- Trasferimento extra-UE: possibile, coperto da DPA Google e Clausole Contrattuali Standard (SCC)
- Nota: i messaggi e il contesto inviati a Gemini non vengono utilizzati da Google per addestrare i propri modelli (API a pagamento con data processing agreement) e non sono conservati da Google oltre il tempo strettamente necessario all'erogazione della risposta.
- Privacy Policy: https://policies.google.com/privacy
7.3 Strava
- Fornitore: Strava, Inc., 208 Utah Street, Suite 200, San Francisco, CA 94103, USA
- Ruolo: Strava è titolare autonomo del trattamento dei dati originari dell'utente sulla propria piattaforma. ReadyRun riceve copia dei dati solo dopo esplicita autorizzazione OAuth dell'utente e li tratta in qualità di titolare autonomo per le sole finalità descritte in questo paragrafo.
- Dati importati: attività sportive (corsa, ciclismo e altre attività registrate), tracciati GPS, distanza, durata, passo, frequenza cardiaca durante l'attività, dislivello, data e ora, tipo di attività, nome dell'attività, identificativo Strava dell'atleta. Non vengono importati: post, commenti, kudos, follower, lista contatti, segmenti privati, foto, dati di altri atleti.
- Finalità: esclusivamente analisi dell'allenamento dell'utente all'interno dell'App (visualizzazione storico, calcolo dei carichi di allenamento, generazione di piani personalizzati, calcolo del readiness score, suggerimenti del coach AI rivolti all'utente). Nessun'altra finalità.
- Collegamento: tramite OAuth 2.0; l'utente autorizza esplicitamente gli scope richiesti (lettura delle proprie attività) durante la procedura di connessione. L'autorizzazione è revocabile in qualsiasi momento sia dalle impostazioni di ReadyRun sia dalle impostazioni dell'account Strava (https://www.strava.com/settings/apps).
- Cancellazione su disconnessione o richiesta: in caso di revoca dell'autorizzazione, eliminazione dell'account ReadyRun, richiesta dell'utente o richiesta di Strava, i dati importati da Strava sono cancellati in modo permanente dai sistemi di ReadyRun entro 30 giorni, inclusi i backup nel successivo ciclo di rotazione. Da quel momento ReadyRun cessa ogni chiamata all'API Strava relativa all'utente.
- Rispetto delle impostazioni di privacy di Strava: ReadyRun rispetta le zone di privacy, le impostazioni di visibilità delle attività ("Solo io", "Follower", "Tutti") e le altre preferenze di condivisione configurate dall'utente su Strava. Non vengono importate o visualizzate attività che l'utente ha contrassegnato come nascoste o che Strava non rende disponibili tramite API.
- Limiti di trattamento (Strava API Agreement): i dati provenienti da Strava non sono mai:
- venduti, ceduti, concessi in licenza o resi disponibili a terze parti;
- utilizzati per pubblicità, marketing comportamentale, retargeting, profilazione commerciale o vendita a data broker;
- utilizzati per l'addestramento di modelli di intelligenza artificiale, propri o di terzi;
- aggregati, anonimizzati o riutilizzati per finalità diverse dall'erogazione del servizio al singolo utente cui i dati appartengono;
- combinati con dati di altri utenti per generare classifiche pubbliche, benchmark o report di terze parti.
- Sub-processor che possono trattare i dati Strava:
- Supabase Inc. — storage cifrato e database (server in Unione Europea), vedi § 7.1;
- Google LLC (Gemini API) — esclusivamente se l'utente utilizza il coach AI: alcune metriche derivate dalle attività possono essere incluse nel contesto della richiesta al solo scopo di generare la risposta del coach all'utente, senza ulteriore conservazione o riutilizzo da parte di Google (vedi § 7.2).
- Diritti dell'utente sui dati Strava: per esercitare i diritti di accesso, rettifica, cancellazione, portabilità o opposizione sui dati importati da Strava è possibile usare le funzioni in-app o scrivere a hello@readyrun.run (vedi § 11). Per i dati originari conservati da Strava è invece necessario rivolgersi direttamente a Strava.
- Trasferimento extra-UE: USA, sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e, ove applicabile, dell'EU-U.S. Data Privacy Framework.
- Conformità: ReadyRun aderisce allo Strava API Agreement (https://www.strava.com/legal/api) e alle Brand Guidelines di Strava per l'attribuzione visiva ("View on Strava", "Powered by Strava", uso del marchio).
- Privacy Policy di Strava: https://www.strava.com/legal/privacy
7.4 Google Health Connect (Android)
- Fornitore: Google LLC
- Dati trattati: dati biometrici e di salute dal wearable dell'utente
- Finalità: importazione automatica di HRV, frequenza cardiaca, sonno
- Collegamento: tramite permessi Android granulari, revocabili in qualsiasi momento
- Privacy Policy: https://policies.google.com/privacy
7.5 RevenueCat (Gestione abbonamenti)
- Fornitore: RevenueCat Inc.
- Dati trattati: identificativo utente anonimizzato, stato abbonamento, piattaforma
- Finalità: gestione degli abbonamenti in-app
- Nota: RevenueCat non riceve dati biometrici, di salute o di allenamento
- Trasferimento extra-UE: USA, coperto da SCC
- Privacy Policy: https://www.revenuecat.com/privacy
7.6 Apple App Store / Google Play Store
- Dati trattati: dati di pagamento per gli acquisti in-app
- Nota: i dati di pagamento (carta di credito, metodo di pagamento) sono gestiti esclusivamente dagli store e non transitano per i nostri sistemi
7.7 Sentry (Crash reporting e diagnostica)
- Fornitore: Functional Software, Inc. (operante come "Sentry"), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA, con stabilimento europeo Sentry GmbH, Berlino, Germania
- Regione server: Unione Europea (Francoforte). Tutti gli eventi del SDK ReadyRun sono inviati all'endpoint
ingest.de.sentry.ioe conservati su infrastruttura europea - Ruolo: Responsabile del trattamento (Data Processor) ai sensi dell'art. 28 GDPR, con Data Processing Agreement sottoscritto
- Dati trattati:
- Stack trace, messaggi di errore e contesto tecnico dell'anomalia
- Indirizzo IP del dispositivo al momento dell'evento, modello, sistema operativo, versione dell'App, lingua
- Identificativo utente pseudonimo (UUID generato da Supabase Auth), utilizzato per correlare gli errori al singolo utente in caso di richiesta di supporto
- Registrazioni anonime e parziali dell'interfaccia (Session Replay) campionate al 10% delle sessioni e al 100% delle sessioni in cui si verifica un crash. Per impostazione predefinita la SDK applica un masking automatico ai campi di input, ai contenuti testuali generati dall'utente, alle immagini e ai contenuti video prima della trasmissione
- Eventuali segnalazioni volontarie inviate dall'utente tramite la funzione di feedback in-app, contenenti il testo del messaggio e, se forniti, nome ed email del segnalante
- Finalità: identificare, riprodurre e correggere bug, crash, regressioni e vulnerabilità di sicurezza dell'App. I dati non sono utilizzati per profilazione commerciale, marketing o pubblicità
- Conservazione presso Sentry: 30 giorni per i Session Replay, 90 giorni per gli eventi di errore standard, secondo i piani di retention configurati
- Trasferimento extra-UE: i dati restano nell'Unione Europea. Sentry può, in casi limitati, accedere ai dati dal proprio personale tecnico negli Stati Uniti ai fini del supporto: tale accesso è coperto da Clausole Contrattuali Standard (SCC) e da misure tecniche supplementari (cifratura, controllo accessi)
- Diritto di opposizione: in qualsiasi momento l'utente può chiedere la disattivazione del crash reporting per il proprio account scrivendo a hello@readyrun.run; in tal caso non saranno più trasmessi a Sentry nuovi eventi riconducibili all'utente
- Privacy Policy: https://sentry.io/privacy/ · DPA: https://sentry.io/legal/dpa/
7.8 Google Maps Platform (Visualizzazione mappe e tracciati)
- Fornitore: Google LLC (servizio Google Maps Platform), distinto e separato dai servizi Gemini e Health Connect descritti in §§ 7.2 e 7.4 in termini di finalità
- Ruolo: Responsabile del trattamento ai sensi dell'art. 28 GDPR
- Dati trattati: coordinate geografiche (latitudine e longitudine) dei tracciati GPS delle attività e della posizione corrente del dispositivo nel momento in cui l'utente apre una schermata che renderizza una mappa
- Finalità: rendering delle mappe geografiche (sfondo, tile vettoriali, marker) all'interno dell'App. ReadyRun non utilizza Google Maps per geocoding inverso a fini di profilazione né per pubblicità basata sulla posizione
- Trasferimento extra-UE: Stati Uniti, sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e, ove applicabile, dell'EU-U.S. Data Privacy Framework
- Misure tecniche: la chiave API Google Maps utilizzata dall'App è ristretta nel Google Cloud Console al solo bundle identifier ufficiale di ReadyRun, impedendone l'uso da parte di terzi
- Privacy Policy: https://policies.google.com/privacy · Termini Google Maps Platform: https://cloud.google.com/maps-platform/terms
7.9 Servizi di notifica push (Expo, Apple Push, Firebase Cloud Messaging)
- Fornitori coinvolti:
- Expo Inc., USA — gateway tecnico che riceve le richieste di notifica dal back-end ReadyRun e le inoltra agli operatori di sistema
- Apple Inc., USA — Apple Push Notification service (APNs) per i dispositivi iOS
- Google LLC, USA — Firebase Cloud Messaging (FCM) per i dispositivi Android
- Ruolo: Responsabili del trattamento ai sensi dell'art. 28 GDPR. Le notifiche push vengono recapitate solo se l'utente ha concesso il relativo permesso a livello di sistema operativo
- Dati trattati: token di notifica push del dispositivo (identificativo tecnico opaco emesso da Apple/Google, non riconducibile direttamente all'identità dell'utente) e contenuto testuale della notifica (es. promemoria allenamento, recap giornaliero)
- Finalità: recapito al dispositivo dell'utente delle notifiche relative agli allenamenti programmati, ai check-in giornalieri e alle interazioni con il coach. ReadyRun non utilizza i token push per profilazione né per finalità di marketing
- Trasferimento extra-UE: Stati Uniti, sulla base di Clausole Contrattuali Standard (SCC) e, ove applicabile, dell'EU-U.S. Data Privacy Framework
- Revoca: l'utente può disattivare in qualsiasi momento le notifiche dalle impostazioni del sistema operativo o dalle impostazioni dell'App. I token push obsoleti o non più validi vengono automaticamente eliminati dal sistema
- Privacy Policy: Expo https://expo.dev/privacy · Apple https://www.apple.com/legal/privacy/ · Google https://policies.google.com/privacy
8. Trasferimento di dati extra-UE
Alcuni dei servizi di terze parti utilizzati (sez. 7) hanno sede negli Stati Uniti. Il trasferimento dei dati verso paesi extra-UE avviene sulla base di:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914)
- Data Processing Agreement (DPA) stipulati con ciascun fornitore
- EU-U.S. Data Privacy Framework, ove applicabile
La maggior parte dei dati personali è conservata su infrastrutture situate nell'Unione Europea: Supabase (database principale, vedi § 7.1) e Sentry (crash reporting, vedi § 7.7) sono configurati esplicitamente sulla regione UE. I servizi che invece comportano un trasferimento verso gli Stati Uniti sono limitati a Strava (§ 7.3), Google Gemini (§ 7.2), Google Health Connect (§ 7.4), RevenueCat (§ 7.5), Google Maps Platform (§ 7.8) e i servizi di notifica push (§ 7.9).
L'utente può richiedere copia delle garanzie adeguate contattando il Titolare.
9. Periodo di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati account e profilo | Per tutta la durata dell'account + 30 giorni dalla cancellazione |
| Dati biometrici e metriche giornaliere | 180 giorni rolling (automatico) |
| Storico allenamenti | Per tutta la durata dell'account |
| Conversazioni coach AI | Per tutta la durata dell'account |
| Token OAuth (Strava, Google Health Connect) e token di notifica push | Per la sola durata dell'autorizzazione concessa dall'utente. In caso di revoca dell'autorizzazione, disconnessione del servizio collegato o cancellazione dell'account, i token sono eliminati entro 30 giorni dai sistemi attivi e dai backup nel successivo ciclo di rotazione |
| Dati abbonamento | Per tutta la durata dell'account + il periodo richiesto dalla normativa fiscale (10 anni) |
| Log tecnici, crash report e Session Replay (Sentry) | Session Replay: 30 giorni · Eventi di errore: 90 giorni |
| Dati aggregati e anonimizzati | Conservati senza limiti di tempo (non costituiscono dati personali) |
Alla cancellazione dell'account, i dati personali sono eliminati entro 30 giorni, salvo obblighi di legge che ne richiedano la conservazione.
10. Cookie e tecnologie di tracciamento
L'App mobile non utilizza cookie. Non sono presenti sistemi di tracciamento pubblicitario o di profilazione a fini di marketing.
Vengono raccolti dati tecnici minimi (tipo dispositivo, versione OS) per garantire il funzionamento dell'App e la risoluzione di eventuali problemi tecnici, sulla base del legittimo interesse del Titolare.
11. Diritti dell'utente
Ai sensi degli artt. 15-22 del GDPR, l'utente ha diritto di:
| Diritto | Descrizione |
|---|---|
| Accesso (art. 15) | Ottenere conferma del trattamento e copia dei propri dati |
| Rettifica (art. 16) | Correggere dati inesatti o incompleti |
| Cancellazione (art. 17) | Richiedere la cancellazione dei propri dati ("diritto all'oblio") |
| Limitazione (art. 18) | Richiedere la limitazione del trattamento in determinati casi |
| Portabilità (art. 20) | Ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico |
| Opposizione (art. 21) | Opporsi al trattamento basato su legittimo interesse |
| Revoca del consenso (art. 7) | Revocare il consenso in qualsiasi momento, senza pregiudizio per il trattamento anteriore |
Come esercitare i diritti
- Dall'App: Profilo > Impostazioni > Elimina account (per la cancellazione completa)
- Via email: inviando richiesta a hello@readyrun.run con oggetto "Esercizio diritti GDPR"
- Risposta: entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12 GDPR
L'utente ha inoltre il diritto di proporre reclamo all'autorità di controllo competente:
Garante per la protezione dei dati personali
Piazza Venezia, 11 — 00187 Roma
www.garanteprivacy.it — protocollo@pec.gpdp.it
12. Trattamento dati dei minori
L'App non è destinata a minori di 16 anni. Non raccogliamo consapevolmente dati di soggetti di età inferiore ai 16 anni. Qualora il Titolare venisse a conoscenza di aver raccolto dati di un minore senza il consenso del genitore o tutore, provvederà alla tempestiva cancellazione.
13. Processo decisionale automatizzato
L'App utilizza algoritmi automatizzati per:
- Calcolare il readiness score giornaliero sulla base dei dati biometrici
- Generare piani di allenamento personalizzati
- Fornire consigli tramite il coach AI (Google Gemini)
Tali processi hanno lo scopo di fornire raccomandazioni sportive e non producono effetti giuridici né incidono in modo analogo significativamente sull'utente ai sensi dell'art. 22 GDPR. L'utente è sempre libero di non seguire le raccomandazioni dell'App.
14. Sicurezza dei dati
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui:
- Crittografia end-to-end delle comunicazioni (TLS 1.2+)
- Database con crittografia a riposo e Row Level Security
- Autenticazione basata su token JWT con scadenza
- Rate limiting e protezione contro abusi delle API
- Backup periodici e procedure di disaster recovery
- Revisione periodica delle misure di sicurezza
In caso di violazione dei dati (data breach), il Titolare notificherà l'autorità di controllo entro 72 ore ai sensi dell'art. 33 GDPR e, ove necessario, informerà gli utenti interessati ai sensi dell'art. 34 GDPR.
15. Modifiche alla Privacy Policy
Il Titolare si riserva di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche saranno comunicate tramite:
- Notifica in-app
- Aggiornamento della data di "ultimo aggiornamento" in testa al documento
In caso di modifiche sostanziali (nuove finalità di trattamento, nuove categorie di dati, nuovi trasferimenti extra-UE), sarà richiesto un nuovo consenso ove necessario.
L'uso continuato dell'App dopo la pubblicazione delle modifiche costituisce accettazione delle stesse, limitatamente ai trattamenti basati su legittimo interesse o esecuzione contrattuale.
16. Contatti
Per qualsiasi domanda relativa alla presente Privacy Policy o al trattamento dei dati personali:
Sergio Toini
Email: hello@readyrun.run
Residenza: Brescia, Italia
17. Normativa di riferimento
- Regolamento (UE) 2016/679 (GDPR)
- D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) e s.m.i.
- D.Lgs. 10 agosto 2018, n. 101
- Provvedimenti del Garante per la protezione dei dati personali
Questa Privacy Policy è stata redatta il 30 aprile 2026, aggiornata il 13 maggio 2026 (integrazione dei requisiti Strava API Agreement) e nuovamente il 14 maggio 2026 (versione 2.1: inserimento dei sub-processor Sentry, Google Maps Platform e servizi di notifica push; specifica della conservazione dei token OAuth; chiarimento sulle regioni server UE).