Privacy Policy

Ultimo aggiornamento: 19/03/2026

La presente Informativa sulla Privacy descrive come VibeFit ("noi", "nostro" o "l'App") raccoglie, utilizza e protegge le informazioni personali degli utenti ("Utente" o "tu").

1. Titolare del Trattamento

VibeFit S.r.l.
Sede legale: [INDIRIZZO DA INSERIRE]
P.IVA: [DA INSERIRE]
Email DPO: privacy@vibefit.app
PEC: [DA INSERIRE]

2. Dati raccolti e Finalità del Trattamento

Raccogliamo e trattiamo diverse categorie di dati personali, ciascuna con una specifica finalità e base giuridica (GDPR Art. 6):

  • Dati dell'Account: Nome, cognome e email. Finalità: Creazione e gestione account. Base: Esecuzione contratto (Art. 6.1.b).
  • Profilo fitness e Biometrico: Ruolo, livello fitness, obiettivi, data di nascita, altezza, peso e sesso. Finalità: Personalizzazione e funzionamento dell'app. Base per dati biometrici e sulla salute: Consenso esplicito (Art. 6.1.a).
  • Piani di allenamento e Log: Nomi piani, esercizi, serie, pesi, ripetizioni, RPE, tempi, tracking sessioni, misurazioni corporee e preferenze sui grafici. Finalità: Fornire il servizio core e tracciare i progressi. Base: Esecuzione contratto e Consenso esplicito.
  • Conversazioni AI Coach: Testi dei messaggi chat con l'AI Coach (crittografati sul dispositivo con chiave locale AES-256-GCM). Finalità: Assistente fitness personalizzato. Base: Consenso esplicito (Art. 6.1.a).
  • Prestazioni del consenso e Storico: Le preferenze espresse sui dati da condividere con l'AI vengono salvate su un log immutabile con timestamp e tipo di operazione. Base: Obbligo legale (Art. 6.1.c).
  • Dati Salute (HealthKit): Dati fitness (passi, calorie, BPM, SpO2) elaborati solo previo consenso. Base: Consenso esplicito (Art. 6.1.a).
  • Dati Tecnici e di Sicurezza: Hash biometrici per Face ID/Touch ID (solo locali), log dispositivi, timestamp accessi, notifiche. Finalità: Sicurezza e comunicazioni. Base: Interesse legittimo e Consenso.

3. Funzionalità di Intelligenza Artificiale (AI Scan Pro e AI Coach)

VibeFit utilizza tecnologie basate su intelligenza artificiale per migliorare l'esperienza utente. Ci avvaliamo di Google Gemini come sub-responsabile del trattamento. I dati inviati tramite queste API a pagamento NON vengono utilizzati da Google per addestrare i propri modelli.

AI Scan Pro (Scansione Schede):

  • Trattamento: Le foto o i PDF della scheda caricati vengono compressi (o letti) in locale, convertiti temporaneamente e inviati a Google Cloud.
  • Conservazione: VibeFit non conserva i file inviati (foto/PDF). I dati vengono analizzati in tempo reale e scartati. Viene salvato sui nostri server unicamente il piano strutturato (testuale) risultante, fino alla sua eliminazione.

AI Coach (Chatbot Conversazionale):

  • Crittografia Estrema: I messaggi scambiati con l'AI sono crittografati end-to-device (AES-256-GCM). VibeFit non possiede la chiave di decrittazione e non può leggere le chat. La chiave risiede nel Keychain del tuo dispositivo.
  • Consenso Granulare: Decidi tu quali dati condividere con l'AI (storico, healthkit, piani, fisico). Il contesto viene inviato a Google Gemini solo al momento della richiesta per ottenere una risposta, i dati non vengono persistiti fuori dal tuo controllo.
  • Reset Chat: È possibile eliminare permanentemente tutta la chat, distruggendo la chiave di decrittazione e rendendo irreperibili i vecchi messaggi anche dal database.

4. Periodo di conservazione dei dati

  • Dati account e misurazioni: Conservati fino a cancellazione account + 30 giorni.
  • Conversazioni AI: Fino al reset volontario della chat o cancellazione account.
  • Storico consensi AI: 3 anni dalla data del consenso per audit trail legale (GDPR).
  • File AI Scan Pro e Contesto AI Coach: 0 secondi, non vengono conservati o salvati sui server.

5. Diritti dell'Utente (Capo III GDPR)

In qualsiasi momento, scrivendo a privacy@vibefit.app, l'utente può esercitare i propri diritti:

  • Accesso (Art. 15): Ricevere una copia dei propri dati.
  • Rettifica (Art. 16): Correggere dati errati.
  • Cancellazione (Art. 17): Diritto all'oblio ed eliminazione dei dati.
  • Portabilità (Art. 20): Ottenere tracciati JSON dei propri dati esportabili.
  • Opposizione (Art. 21) e Limitazione (Art. 18).
  • Revoca del consenso: Facilmente gestibile dall'app in tempo reale (completamente o per singoli campi per le funzionalità AI).

6. Sicurezza dei Dati

Le comunicazioni in app usano HTTPS/TLS 1.3. L'autenticazione è gestita tramite JWT. Implementiamo Row Level Security (RLS) sui database per garantire che ciascun utente possa interrogare esclusivamente i propri dati.