Torna alla Home

Privacy Policy

Ultimo aggiornamento: Febbraio 2026

1. Introduzione

La presente Privacy Policy descrive come BioFrame ("noi", "Piattaforma") raccoglie, utilizza e protegge i dati personali, inclusi dati sanitari (categoria speciale ex Art. 9 GDPR).

BioFrame è conforme a:

  • Regolamento UE 2016/679 (GDPR)
  • D.Lgs. 196/2003 (Codice Privacy italiano)
  • Linee Guida Garante Privacy per dati sanitari

2. Titolare del Trattamento

Titolare del Trattamento:

2014 FITNESS S.S.D. a R.L
Sede Legale: Via Trento Trieste 12, 41012 Carpi (MO), Italia
P.IVA: IT03587400361
C.F.: 90037470367
Tel: 059692990
Email: privacy@bioframe.it
PEC: 2014fitness@pec.it

Data Protection Officer (DPO):
Email: dpo@bioframe.it

DOPPIO RUOLO

  • Per dati Professionisti (Utenti): BioFrame è Titolare autonomo
  • Per dati Assistiti (pazienti): BioFrame è Responsabile del trattamento (Art. 28 GDPR), il Professionista è Titolare autonomo

3. Dati Raccolti

3.1 Dati Professionisti (Utenti Piattaforma)

Raccogliamo i seguenti dati durante registrazione e utilizzo:

  • Dati anagrafici: Nome, cognome, email, telefono
  • Dati professionali: Specializzazione, numero iscrizione albo (se fornito)
  • Dati account: Password (hash crittografico), tier abbonamento, quota valutazioni
  • Dati utilizzo: IP address, timestamp accessi, log attività
  • Preferenze: Lingua interfaccia, tema UI (light/dark)

3.2 Dati Assistiti (Pazienti del Professionista) - Dati Sanitari

CATEGORIA SPECIALE (Art. 9 GDPR)

I seguenti dati sono classificati come dati relativi alla salute e richiedono consenso esplicito dell'interessato.

  • Dati anagrafici Assistito: Nome, cognome, data nascita, sesso
  • Dati antropometrici: Altezza, peso, BMI
  • Foto posturali: Immagini corpo (frontale, posteriore, laterale)
  • Anamnesi posturale: Sintomi, dolori, livello dolore (0-10), sport praticati
  • Dati clinici: Indice Risser, età menarca (se applicabile), dominanza mano/piede/occhio
  • Dispositivi medici: Utilizzo occhiali, plantari ortopedici
  • Note specialista: Osservazioni professionali riservate
  • Valutazioni AI: Report analisi posturale generati tramite Claude API

3.3 Cookie e Tecnologie Tracking

Utilizziamo solo cookie tecnici essenziali (sessione autenticazione). Non utilizziamo cookie di profilazione o marketing.

4. Base Giuridica del Trattamento

Il trattamento dei dati si basa su:

Dati Professionisti (Art. 6.1 GDPR)

  • Esecuzione contratto (Art. 6.1.b): Fornitura servizio Piattaforma
  • Obbligo legale (Art. 6.1.c): Conservazione dati fiscali/contabili
  • Legittimo interesse (Art. 6.1.f): Sicurezza account, fraud prevention

Dati Sanitari Assistiti (Art. 9.2 GDPR)

  • Consenso esplicito (Art. 9.2.a): Assistito fornisce consenso scritto per analisi posturale AI
  • Medicina preventiva (Art. 9.2.h): Valutazione posturale finalità sanitarie
  • Interesse pubblico sanità (Art. 9.2.i): Miglioramento cure posturali

Modulo Consenso Assistito: Il Professionista deve far firmare all'Assistito un consenso che copra esplicitamente:

  • Trattamento dati sanitari (Art. 9 GDPR)
  • Utilizzo foto per analisi AI-powered
  • Conservazione su piattaforma cloud (Supabase EU)
  • Trasferimento a provider AI (Anthropic Claude - US, con Standard Contractual Clauses)

5. Finalità del Trattamento

5.1 Finalità Primarie (Esecuzione Servizio)

  • Gestione account Professionista (registrazione, autenticazione, profilo)
  • Archiviazione sicura dati Assistiti su database crittografato
  • Generazione valutazioni posturali tramite AI (Anthropic Claude API)
  • Export report valutazioni (PDF, futuro)
  • Gestione tier abbonamento e quota valutazioni mensili

5.2 Finalità Secondarie

  • Assistenza tecnica (troubleshooting, supporto utente)
  • Miglioramento Piattaforma (analytics aggregati anonimi, bug fixing)
  • Comunicazioni servizio (manutenzioni, aggiornamenti, scadenze abbonamento)
  • Adempimenti fiscali/legali (fatturazione, conservazione documenti)

NON utilizziamo i dati per:

  • Marketing o profilazione commerciale
  • Vendita/cessione a terze parti
  • Training/addestramento modelli AI (i dati NON vanno in training set Anthropic)
  • Decisioni automatizzate che producano effetti legali sull'Assistito (GDPR Art. 22)

6. Destinatari dei Dati

I dati possono essere comunicati ai seguenti destinatari (tutti nominati Responsabili del Trattamento ex Art. 28 GDPR):

Supabase (Database & Storage)

Servizio: Database PostgreSQL, Storage foto, Autenticazione
Sede: EU (data center Francoforte, Germania)
Garanzie: GDPR-compliant, ISO 27001, SOC 2 Type II

Anthropic (AI Processing)

Servizio: Claude API (generazione valutazioni AI)
Sede: USA (San Francisco, California)
Garanzie trasferimento extra-UE: Standard Contractual Clauses (SCC) approvate Commissione UE
Data Retention: Input/output API NON conservati da Anthropic (zero-retention policy)

Railway/Vercel (Hosting Backend/Frontend)

Servizio: Hosting applicazione web
Sede: USA (con CDN EU)
Garanzie: Standard Contractual Clauses (SCC)

Nessun altro terzo ha accesso ai dati. Non vendiamo o cediamo dati a broker/aggregatori.

7. Conservazione dei Dati

Conserviamo i dati per i seguenti periodi:

Tipo DatoPeriodoBase Legale
Account Professionista attivoDurata contratto + 1 annoEsecuzione contratto
Dati sanitari Assistiti10 anni dalla ultima valutazioneDL 196/2003
Log accessi/attività6 mesiD.Lgs. 51/2018
Dati fatturazione10 anniArt. 2220 Codice Civile

Cancellazione sicura: Al termine dei periodi sopra, i dati sono eliminati in modo permanente e irreversibile (cancellazione crittografica + sovrascrittura).

8. Diritti dell'Interessato (GDPR)

Professionisti e Assistiti (tramite Professionista) hanno i seguenti diritti:

Accesso (Art. 15)

Ottenere copia di tutti i dati personali trattati

Rettifica (Art. 16)

Correggere dati inesatti o incompleti

Cancellazione (Art. 17)

Richiedere eliminazione dati (salvo obblighi legali)

Limitazione (Art. 18)

Bloccare temporaneamente il trattamento

Portabilità (Art. 20)

Ricevere dati in formato strutturato (JSON/CSV)

Opposizione (Art. 21)

Opporsi a trattamenti basati su legittimo interesse

Come esercitare i diritti

Invia richiesta a: privacy@bioframe.it
Risposta entro 30 giorni (Art. 12 GDPR)

Reclamo Garante: Puoi presentare reclamo a Garante Privacy Italiano se ritieni violati i tuoi diritti.

9. Sicurezza dei Dati

Implementiamo misure tecniche e organizzative avanzate per proteggere i dati:

Misure Tecniche

  • Crittografia in transito: TLS 1.3 (HTTPS) per tutte le comunicazioni
  • Crittografia a riposo: AES-256 per database e storage foto
  • Autenticazione: Password hash bcrypt, JWT tokens con scadenza
  • Accesso database: Row Level Security (RLS) - ogni Professionista vede solo propri dati
  • Backup: Backup giornalieri crittografati (retention 30 giorni)
  • Network security: Firewall, rate limiting, DDoS protection

Misure Organizzative

  • Accesso dati limitato a personale autorizzato (need-to-know basis)
  • Contratti riservatezza firmati da tutti i collaboratori
  • Formazione periodica su GDPR e sicurezza informatica
  • Incident response plan per data breach (notifica entro 72h ex Art. 33 GDPR)
  • Audit log completi di ogni accesso/modifica dati

Responsabilità condivisa

Il Professionista deve proteggere le proprie credenziali e non condividerle con terzi. BioFrame non è responsabile per accessi non autorizzati dovuti a negligenza dell'Utente.

10. Cookie

BioFrame utilizza esclusivamente cookie tecnici essenziali per il funzionamento della Piattaforma:

CookieFinalitàDurata
sb-access-tokenSessione autenticazione Supabase24 ore
bioframe-authStato autenticazione applicazionePersistente
bioframe-themePreferenze UI (dark/light mode)Persistente

NON utilizziamo: Cookie analytics (Google Analytics, etc.), cookie marketing, cookie di profilazione.

11. Modifiche alla Privacy Policy

Possiamo aggiornare questa Privacy Policy periodicamente per riflettere modifiche normative o funzionalità Piattaforma. Modifiche sostanziali saranno comunicate via email con 30 giorni di preavviso. Versione corrente sempre disponibile su questa pagina con data ultimo aggiornamento.

12. Contatti

Titolare del Trattamento:
2014 FITNESS S.S.D. a R.L — Via Trento Trieste 12, 41012 Carpi (MO)
P.IVA: IT03587400361 — C.F.: 90037470367

Email Privacy: privacy@bioframe.it
Data Protection Officer: dpo@bioframe.it
PEC: 2014fitness@pec.it

Reclami Garante Privacy:
www.garanteprivacy.it
Piazza Venezia, 11 — 00187 Roma — Tel: +39 06 696771