Privacy Policy
1. Titolare del Trattamento
Giulia Calcaterra Srl, con sede legale in Via Monte Napoleone 8, 20121 Milano (MI), P.IVA 11735450964, Codice Univoco M5UXCR1, in qualità di Titolare del trattamento (di seguito “Titolare”), tratterà i dati personali forniti tramite l’applicazione Arya Nutrition e i relativi servizi connessi (di seguito “App”), in conformità al Regolamento UE 2016/679 (GDPR) e alla normativa italiana vigente in materia di protezione dei dati personali.
Per esercitare i tuoi diritti o per qualsiasi richiesta relativa al trattamento dei tuoi dati:
Email: [email protected]
Responsabile della Protezione dei Dati (DPO): da nominare prima del lancio del servizio. Una volta nominato, il recapito del DPO sarà pubblicato in questa sezione e comunicato al Garante per la Protezione dei Dati Personali ai sensi dell’art. 37 GDPR.
2. Categorie di Dati Trattati
2.1 Dati personali comuni
I seguenti dati non rivelano, di per sé, informazioni sullo stato di salute:
- Dati anagrafici e di contatto: nome, cognome, indirizzo e-mail, credenziali di accesso
- Dati di navigazione e tecnici: indirizzo IP, log di accesso, tipo di dispositivo e sistema operativo
- Tipo di lavoro svolto (es. sedentario, in piedi, fisicamente impegnativo)
- Attività fisica: frequenza di allenamento, tipo di allenamento, orario di allenamento
- Movimento quotidiano stimato (passi giornalieri)
- Abitudini alimentari generali: struttura dei pasti, orari, routine quotidiana
2.2 Dati particolari — Dati sulla salute (art. 9 GDPR)
L’App tratta le seguenti categorie di dati che costituiscono dati sulla salute ai sensi dell’art. 4(15) e dell’art. 9 GDPR. Il loro trattamento è subordinato al rilascio del consenso esplicito di cui all’art. 3 della presente informativa:
- Parametri biometrici: peso corporeo, altezza, data di nascita (utilizzati per il calcolo del metabolismo basale — BMR — e del fabbisogno energetico giornaliero — TDEE)
- Obiettivo nutrizionale dichiarato: perdita di peso, ricomposizione corporea, aumento della massa muscolare, alimentazione equilibrata
- Intolleranze alimentari diagnosticate: lattosio, glutine/celiachia
- Assegnazione del piano alimentare: l’atto con cui la nutrizionista abbina la cliente a uno specifico schema nutrizionale, comprensivo del profilo metabolico che motiva la scelta. I piani alimentari in quanto tali sono schemi nutrizionali generici riutilizzabili su più clienti e non costituiscono dati personali; il dato sanitario nasce esclusivamente nell’abbinamento individuale cliente-piano
- Regime alimentare (onnivoro, vegetariano, vegano, pescetariano), nella misura in cui può rivelare condizioni di salute o convinzioni religiose
- Relazione con il cibo: comportamenti alimentari legati a stress, ansia o stati emotivi
- Comunicazioni intercorse nella chat con la nutrizionista
- Eventuali valutazioni cliniche individuali della nutrizionista (flag e note sui profili con fabbisogno elevato)
2.3 Dati personali comuni — Output esecutivo del sistema
I seguenti dati sono generati automaticamente dal sistema come applicazione esecutiva del piano confermato dalla nutrizionista. Non contengono informazioni sullo stato di salute e sono trattati come dati personali comuni:
- Menù settimanale: insieme di ricette generate automaticamente dal sistema nel rispetto dei valori calorici e della distribuzione dei macronutrienti del piano assegnato
- Sostituzioni di ricette: alternative proposte automaticamente dal sistema sulla base della corrispondenza dei macronutrienti, senza variabili cliniche
- Alimenti da evitare: selezione da menu a tendina di alimenti specifici (es. pomodoro, noci, latte). Trattandosi di scelte da una lista controllata di alimenti neutri, senza categorie diagnostiche, questo dato è trattato come preferenza alimentare e non come dato sulla salute
3. Finalità e Basi Giuridiche del Trattamento
3.1 Dati personali comuni
Finalità | Base giuridica |
Registrazione e gestione dell’account | Esecuzione del contratto — art. 6(1)(b) GDPR |
Erogazione del servizio (accesso all’App, funzionalità) | Esecuzione del contratto — art. 6(1)(b) GDPR |
Assistenza clienti e customer care | Esecuzione del contratto — art. 6(1)(b) GDPR |
Sicurezza del sistema e prevenzione frodi | Legittimo interesse — art. 6(1)(f) GDPR |
Adempimento obblighi di legge | Obbligo legale — art. 6(1)(c) GDPR |
Comunicazioni commerciali e newsletter | Consenso — art. 6(1)(a) GDPR |
3.2 Dati particolari — Dati sulla salute
Finalità | Base giuridica |
Calcolo del profilo metabolico (BMR/TDEE) e identificazione del piano alimentare idoneo tra quelli creati dalla nutrizionista | Consenso esplicito — art. 9(2)(a) GDPR |
Revisione, personalizzazione e assegnazione del piano da parte della nutrizionista | Consenso esplicito — art. 9(2)(a) + art. 9(2)(h) GDPR |
Comunicazione clinica tramite chat con la nutrizionista | Consenso esplicito — art. 9(2)(a) + art. 9(2)(h) GDPR |
Miglioramento del servizio su dati aggregati e anonimizzati | Consenso esplicito — art. 9(2)(a) GDPR |
Il trattamento ai sensi dell’art. 9(2)(h) è effettuato sotto la responsabilità di una professionista della nutrizione soggetta al vincolo del segreto professionale, ai sensi della normativa italiana applicabile.
Nota: il conferimento dei dati particolari è necessario per l’erogazione del servizio. Il rifiuto del consenso esplicito al trattamento dei dati sulla salute impedisce il completamento dell’acquisto, la compilazione del questionario e l’assegnazione del piano alimentare personalizzato. Il consenso per finalità di marketing (newsletter e comunicazioni commerciali) è invece facoltativo e il suo rifiuto non ha alcuna conseguenza sull’accesso al servizio.
4. Consenso Esplicito — Modalità di Raccolta
Il consenso al trattamento dei dati particolari viene acquisito:
- tramite checkbox dedicato e separato, presentato prima del completamento dell’acquisto, con testo chiaro che identifica le categorie di dati sanitari trattati e le relative finalità
- in modo distinto e indipendente rispetto all’accettazione dei Termini e Condizioni generali del servizio — i due consensi non possono essere raccolti tramite un unico checkbox
- in forma necessaria per l’erogazione del servizio: il rifiuto del consenso ai dati sanitari impedisce il completamento dell’acquisto e la fruizione del servizio, in quanto il trattamento di tali dati è tecnicamente indispensabile per la profilazione nutrizionale e l’assegnazione del piano alimentare
- con possibilità di revoca in qualsiasi momento, tramite richiesta scritta a [email protected], senza effetti retroattivi sulla liceità del trattamento precedente alla revoca
Il Titolare conserva evidenza documentale del consenso prestato: data e ora, versione dell’informativa accettata, testo esatto del checkbox. La revoca del consenso comporta la cancellazione dei dati sanitari entro 30 giorni, salvo obblighi di legge che ne impongano la conservazione.
5. Modalità di Assegnazione del Piano Alimentare
I piani alimentari disponibili nell’App sono creati direttamente dalla nutrizionista: si tratta di schemi nutrizionali professionali pre-esistenti, validati dalla nutrizionista stessa, che vengono ampliati e aggiornati nel tempo.
Il flusso di assegnazione è il seguente:
- la cliente compila il questionario di profilazione
- il sistema calcola il profilo metabolico della cliente (BMR, TDEE, obiettivo nutrizionale) e identifica quale piano alimentare, tra quelli creati dalla nutrizionista, risulta idoneo per quel profilo, tenendo conto del regime alimentare scelto e delle eventuali intolleranze dichiarate
- la nutrizionista verifica che la selezione automatica sia corretta rispetto al profilo completo della cliente e può modificarla
- solo dopo la conferma esplicita della nutrizionista il piano viene reso disponibile alla cliente
Il sistema svolge dunque una funzione di abbinamento su parametri oggettivi (fabbisogno calorico, obiettivo, regime alimentare) tra il profilo della cliente e una libreria di piani professionali pre-esistenti. La valenza clinica risiede interamente nei piani, creati dalla nutrizionista a monte. La selezione automatica non costituisce una decisione clinica né un trattamento automatizzato ai sensi dell’art. 22 GDPR: la decisione finale è in ogni caso rimessa alla verifica e approvazione della nutrizionista.
In assenza di conferma della nutrizionista entro il termine previsto, il piano non viene assegnato automaticamente.
La nutrizionista ha in ogni momento la possibilità di aggiornare o modificare il piano assegnato sulla base delle comunicazioni intercorse in chat con la cliente.
Una volta confermato il piano dalla nutrizionista, il sistema genera automaticamente un menù settimanale composto da ricette compatibili con il piano assegnato, rispettandone i valori calorici e la distribuzione dei macronutrienti, e tenendo conto del regime alimentare e delle intolleranze dichiarate. La generazione del menù e la funzione di sostituzione delle ricette sono processi automatici di natura esecutiva: non costituiscono decisioni cliniche autonome, ma la traduzione operativa del piano confermato dalla nutrizionista.
6. Nutrizionista — Ruolo nel Trattamento
La nutrizionista che fornisce supporto tramite chat e interviene sulla personalizzazione del piano è una professionista esterna a Giulia Calcaterra Srl, operante in qualità di libera professionista con propria Partita IVA.
In tale qualità, è nominata Responsabile del trattamento ai sensi dell’art. 28 GDPR, mediante apposito accordo (Data Processing Agreement) che disciplina:
- le modalità e le finalità di accesso ai dati delle clienti
- gli obblighi di riservatezza e il vincolo del segreto professionale
- le misure di sicurezza tecniche e organizzative adottate
- i limiti di utilizzo dei dati (esclusivamente per le finalità del servizio Arya Nutrition)
La nutrizionista accede ai dati delle clienti per la verifica e l’approvazione dell’assegnazione del piano alimentare e, ove attivata dalla cliente, per la gestione della chat in-app. Non è autorizzata a utilizzare i dati delle clienti per finalità proprie, né a comunicarli a terzi.
7. Destinatari dei Dati
I dati personali potranno essere comunicati a:
- dipendenti e collaboratori di Giulia Calcaterra Srl, appositamente autorizzati al trattamento
- nutrizionista esterna, in qualità di Responsabile del trattamento (limitatamente ai dati delle clienti che attivano la chat)
- fornitori di infrastruttura tecnologica nominati Responsabili del trattamento: Supabase Inc. (database e autenticazione), provider di hosting dell’App
- autorità pubbliche, organi di vigilanza e controllo, nei casi previsti dalla legge
7.1 Trasferimento extra-UE
Supabase Inc. ha sede negli Stati Uniti. Il trasferimento dei dati avviene nel rispetto delle garanzie previste dal GDPR (Clausole Contrattuali Standard — SCC — o meccanismi equivalenti riconosciuti dalla Commissione Europea). Il Titolare si impegna a verificare periodicamente l’adeguatezza delle garanzie adottate.
L’utente può richiedere informazioni dettagliate sulle garanzie adottate per il trasferimento extra-UE scrivendo a [email protected].
8. Periodo di Conservazione
Categoria di dati | Periodo di conservazione |
Dati di registrazione e account (nome, email, credenziali) | Durata del contratto + 10 anni (obblighi fiscali e amministrativi — termine di legge non riducibile in presenza di fatturazione) |
Dati del questionario e profilo metabolico [SANITARIO] | Durata del contratto + 2 anni dalla cessazione ordinaria — oppure entro 30 giorni dalla revoca del consenso se antecedente |
Piano alimentare assegnato [SANITARIO] | Durata del contratto + 3 anni dalla cessazione ordinaria — oppure entro 30 giorni dalla revoca del consenso se antecedente |
Storico chat con la nutrizionista [SANITARIO] | Durata del contratto + 5 anni dalla cessazione ordinaria — oppure entro 30 giorni dalla revoca del consenso se antecedente |
Credenziali di accesso attive | 14 giorni dalla cessazione del rapporto contrattuale |
Log del consenso (audit trail) | 10 anni dalla data del consenso |
Dati trattati su base consenso (marketing, newsletter) | Fino a revoca del consenso |
I periodi indicati per i dati sanitari [SANITARIO] si riferiscono alla cessazione ordinaria del rapporto contrattuale (es. mancato rinnovo, disdetta). In caso di revoca del consenso ai dati particolari prima della scadenza naturale del contratto, i dati sanitari vengono cancellati entro 30 giorni dalla revoca, indipendentemente dal periodo residuo del contratto. La revoca del consenso rende impossibile la continuazione del servizio di pianificazione nutrizionale.
I dati comuni (anagrafici, contatto, fatturazione) non sono soggetti alla revoca del consenso sanitario e possono essere conservati per i periodi indicati in tabella, in forza degli obblighi fiscali e amministrativi applicabili.
9. Diritti degli Interessati
Ai sensi degli artt. 15–22 GDPR, hai il diritto di:
- accedere ai tuoi dati personali e ottenerne copia (art. 15)
- richiedere la rettifica di dati inesatti o incompleti (art. 16)
- richiedere la cancellazione dei tuoi dati — “diritto all’oblio” (art. 17)
- ottenere la limitazione del trattamento in determinate circostanze (art. 18)
- opporti al trattamento basato su legittimo interesse (art. 21)
- ricevere i tuoi dati in formato strutturato, leggibile da dispositivo automatico, e trasmetterli a un altro titolare — portabilità dei dati (art. 20)
- revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente alla revoca (art. 7(3))
- non essere sottoposta a decisioni basate esclusivamente su trattamento automatizzato — il piano alimentare è sempre confermato dalla nutrizionista prima dell’assegnazione (art. 22)
Per esercitare i tuoi diritti, invia una richiesta a: [email protected]
Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta, prorogabili a 90 giorni in caso di complessità.
Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:
- raccomandata A/R: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma
- e-mail: [email protected] oppure [email protected]
- sito web: www.gpdp.it
10. Sicurezza dei Dati
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, ai sensi dell’art. 32 GDPR. In particolare:
- i dati sanitari sono archiviati in tabelle separate rispetto ai dati anagrafici comuni
- l’accesso ai dati è controllato tramite Row Level Security (RLS): ogni utente e ogni professionista accede esclusivamente ai dati di propria pertinenza
- i dati sono cifrati a riposo e in transito
- il contenuto della chat e i campi a risposta libera sono soggetti a cifratura applicativa
- i log di accesso sono monitorati per rilevare accessi non autorizzati
In caso di violazione dei dati personali (data breach), il Titolare notificherà il Garante entro 72 ore dalla scoperta (art. 33 GDPR) e comunicherà l’evento alle interessate senza ingiustificato ritardo qualora la violazione possa comportare un rischio elevato per i loro diritti e libertà (art. 34 GDPR).
11. Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, in particolare a seguito di modifiche normative o di cambiamenti nelle modalità di trattamento dei dati. Le modifiche saranno notificate alle utenti tramite l’App o via e-mail prima dell’entrata in vigore. L’utilizzo continuato del servizio dopo la notifica costituisce accettazione della nuova informativa.
La versione aggiornata sarà sempre disponibile all’interno dell’App nella sezione Privacy.