Legale
Privacy Policy
Ultimo aggiornamento: 16 giugno 2026
1. Titolare del trattamento
Titolare e operatore: FOSFORONERO DI MATTEO PIZZI
Rappresentante legale: Matteo Pizzi
Sede legale: Via Collazia 20, 00183 Roma, Italia
Partita IVA: IT16166801007
- Email contatto privacy: privacy@fitmesh.fit
- DPO (Data Protection Officer): non designato. Il trattamento non rientra nei casi obbligatori previsti dall'art. 37 GDPR (autorità pubblica, monitoraggio sistematico su larga scala, categorie particolari su larga scala). Per qualsiasi richiesta sulla privacy contattare l'email sopra.
2. Introduzione
FitMesh Sync ("noi", "nostro", "l'app") rispetta la tua privacy e si impegna a proteggere i tuoi dati personali. Questa Privacy Policy spiega come raccogliamo, utilizziamo e proteggiamo le informazioni relative alla salute quando utilizzi la nostra applicazione mobile FitMesh Sync (com.fitmeshsync.app su Google Play).
Base giuridica del trattamento: art. 6(1)(b) GDPR (esecuzione del servizio richiesto dall'utente) e art. 9(2)(a) GDPR (consenso esplicito al trattamento di dati relativi alla salute, fornito tramite le autorizzazioni Health Connect/Samsung Health all'interno dell'app).
3. Informazioni che raccogliamo
FitMesh Sync raccoglie i seguenti dati relativi alla salute dal tuo dispositivo Android tramite servizi autorizzati (Health Connect, Samsung Health Data SDK):
- •Attività fisica: passi, distanza percorsa, calorie bruciate (attive e totali), piani saliti
- •Frequenza cardiaca: media, range minimo/massimo, frequenza a riposo, HRV
- •Sonno: durata totale, fasi (profondo, REM, leggero, sveglio), orari inizio/fine
- •Composizione corporea: peso, altezza, BMI (se forniti dall'utente)
- •Altri parametri: saturazione ossigeno (SpO₂), VO₂ max, temperatura cutanea, dislivello
- •Sessioni di esercizio: tipo di attività , durata, distanza, calorie
- •Account: indirizzo email (per autenticazione tramite Supabase Auth) e identificativo dispositivo
4. Come utilizziamo i dati
I dati raccolti vengono utilizzati esclusivamente per:
- •Sincronizzazione: ricevere e archiviare le tue metriche di salute sul nostro backend cloud
- •Visualizzazione: permettere la visualizzazione dei dati sulla dashboard dell'app
- •Supporto: diagnosticare problemi tecnici quando ce li segnali via email
- •Notifiche: inviare avvisi configurabili (es. promemoria sync) tramite Firebase Cloud Messaging
Non vendiamo, non condividiamo e non utilizziamo i tuoi dati per pubblicità o marketing. Non esiste alcuna profilazione automatizzata che produca effetti giuridici sull'utente.
5. Dove vengono salvati i dati
I dati sincronizzati vengono inviati al backend FitMesh Sync ospitato su:
- •Vercel Inc.: hosting dell'API serverless fitmesh.fit (regione preferita: Europa fra1; alcuni edge function girano nella regione più vicina all'utente)
- •Supabase Inc.: database PostgreSQL gestito + autenticazione + storage (progetto in regione EU, eu-central-1 Frankfurt)
I dati rimangono sul tuo dispositivo Android in una cache locale fino al momento della sincronizzazione. Dopo la conferma di ricezione, la cache locale viene svuotata.
6. Trasferimento dati extra-UE
Il database principale (Supabase Postgres) è ospitato in Unione Europea (Francoforte, Germania). Tuttavia, alcuni servizi accessori comportano un trasferimento verso paesi terzi (in particolare gli Stati Uniti):
- •Vercel (USA): edge runtime e logging delle richieste. Trasferimento basato su Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (decisione 2021/914) e su Data Processing Addendum sottoscritto con Vercel
- •Resend (USA): invio email transazionali (conferma signup beta, comunicazioni di supporto). Trasferimento basato su SCC + DPA
- •Firebase Cloud Messaging (Google LLC, USA): trasporto delle notifiche push. Google aderisce alle SCC + Data Privacy Framework
- •Google Sign-In (Google LLC, USA): autenticazione opzionale tramite account Google. Trasferimento basato su SCC + DPF
Prima di trasferire dati verso gli USA abbiamo valutato il rischio (Transfer Impact Assessment) considerando: i dati trasferiti sono limitati e non includono identificatori biometrici puri; le SCC includono clausole di sospensione in caso di richieste da autorità governative; i fornitori scelti aderiscono al Data Privacy Framework UE-USA dove disponibile.
7. Conservazione dei dati (retention)
- •Metriche di salute: conservate finché l'account utente è attivo. La cancellazione dell'account viene eseguita automaticamente entro 24 ore dalla richiesta (processo pianificato attivo), che elimina definitivamente i dati di salute associati
- •Log applicativi e sync log: conservati 90 giorni a fini di troubleshooting, poi eliminati automaticamente
- •Email di contatto (privacy/support): conservate 24 mesi per garantire continuità del supporto, poi cancellate
- •Copie di sicurezza del database: FitMesh non crea né conserva attualmente backup separati del database. Il fornitore del database può conservare copie tecniche di ripristino della piattaforma per un massimo di 7 giorni. Eventuali dati residui presenti in tali copie dopo la cancellazione dell'account non vengono utilizzati da FitMesh per il trattamento ordinario e vengono eliminati alla scadenza del ciclo del fornitore
- •Dati account beta signup: conservati fino al lancio pubblico, poi anonimizzati o cancellati
8. Permessi richiesti
FitMesh Sync richiede i seguenti permessi:
- •Health Connect: per leggere i dati di salute dal sistema operativo Android
- •Samsung Health (opzionale): se hai un Galaxy Watch, per dati aggiuntivi non esposti da Health Connect
- •Accesso Internet: per sincronizzare i dati con il backend FitMesh Sync
- •Sync in background: per inviare dati periodicamente anche quando l'app è chiusa
- •Notifiche: per ricevere promemoria sync e notifiche di sistema
- •Esclusione ottimizzazione batteria: per garantire la sync regolare (richiesto su Android 14+)
Tutti i permessi sono richiesti esplicitamente e puoi revocarli in qualsiasi momento dalle impostazioni del dispositivo o dell'applicazione.
9. Sicurezza dei dati
- •Trasporto: tutti i dati transitano via HTTPS/TLS 1.2+ verso fitmesh.fit
- •Persistenza locale: la cache locale viene svuotata dopo invio confermato dal server
- •Token di autenticazione: JWT Supabase salvati in Android Keystore (flutter_secure_storage)
- •Row-Level Security: ogni utente può leggere/scrivere solo le proprie righe (policy RLS Supabase su tutte le tabelle esposte)
- •Nessun tracker terzo nell'app: non includiamo SDK di analytics, advertising o profilazione lato app
10. I tuoi diritti
In conformità al GDPR hai il diritto di:
- •Accedere: richiedere una copia dei tuoi dati salvati sui nostri sistemi
- •Rettificare: correggere dati inesatti o incompleti
- •Cancellare: richiedere la cancellazione completa del tuo account e dei dati associati. La richiesta viene eseguita automaticamente entro 24 ore
- •Limitare: richiedere la limitazione del trattamento in casi specifici
- •Portabilità : esportare tutti i tuoi dati in autonomia, in formato JSON strutturato, dalla pagina export disponibile nell'area utente (/app/export)
- •Opporsi: opporti al trattamento per motivi legittimi
- •Revocare il consenso: disabilitare i permessi di accesso ai dati di salute in qualsiasi momento (la revoca non pregiudica la liceità del trattamento svolto prima della revoca)
Puoi esercitare in autonomia i diritti di portabilità (export dati) e di cancellazione direttamente dall'area utente. Per gli altri diritti, o se preferisci, scrivici a privacy@fitmesh.fit. Rispondiamo entro 30 giorni come previsto dall'art. 12 GDPR. Per la pagina dedicata alla cancellazione dell'account, con tutte le opzioni disponibili, vedi fitmesh.fit/delete-account.
11. Dati di terze parti (responsabili del trattamento)
FitMesh Sync utilizza i seguenti responsabili del trattamento (Data Processors):
- •Health Connect (Google LLC): fonte dati di salute Android, letti localmente, non comunicati a Google da noi
- •Samsung Health Data SDK (Samsung Electronics): fonte dati Galaxy Watch, letti localmente
- •Supabase Inc.: database PostgreSQL gestito + Auth (Francoforte, DE), DPA firmato
- •Vercel Inc.: hosting API serverless (USA, edge globale), DPA firmato + SCC
- •Resend, Inc.: delivery email transazionali (USA), DPA + SCC
- •Google LLC (Firebase Cloud Messaging): trasporto notifiche push (USA), DPA + SCC + DPF
- •Google LLC (Google Sign-In, opzionale): autenticazione OAuth (USA), DPA + SCC + DPF
- •Google LLC (Google Play Billing): gestione acquisti in-app, soggetto a Google Play Terms
- •Google Analytics 4 (solo sito web, opt-in): analytics anonimi attivati solo dopo consenso esplicito tramite cookie banner
Maggiori dettagli sui cookie del sito web nella nostra Cookie Policy.
12. Modifiche
Possiamo aggiornare questa Privacy Policy di tanto in tanto. Per modifiche significative ti notificheremo via email o mostrando un avviso nell'app prima della prossima sincronizzazione. La data di ultimo aggiornamento è indicata in cima alla pagina.
13. Minori
FitMesh Sync non è destinata a utenti di età inferiore ai 16 anni (soglia art. 8 GDPR in Italia per il consenso digitale). Non raccogliamo consapevolmente dati personali da minori di 16 anni senza il consenso del titolare della responsabilità genitoriale.
14. Reclami all'Autorità Garante
Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali italiana: garanteprivacy.it. Se sei residente in un altro Stato UE puoi rivolgerti all'autorità nazionale competente.
15. Contatti
- Privacy: privacy@fitmesh.fit
- Supporto: support@fitmesh.fit
- Generale: hello@fitmesh.fit
- Sito: www.fitmesh.fit
© 2026 FitMesh Sync.