Privacy Policy

FitMesh Sync ("noi", "nostro", "l'app") rispetta la tua privacy e si impegna a proteggere i tuoi dati personali. Questa Privacy Policy spiega come raccogliamo, utilizziamo e proteggiamo le informazioni relative alla salute quando utilizzi la nostra applicazione mobile FitMesh Sync (com.fitmeshsync.app su Google Play).

Base giuridica del trattamento: art. 6(1)(b) GDPR (esecuzione del servizio richiesto dall'utente) e art. 9(2)(a) GDPR (consenso esplicito al trattamento di dati relativi alla salute, fornito tramite le autorizzazioni Health Connect/Samsung Health all'interno dell'app).

FitMesh Sync raccoglie i seguenti dati relativi alla salute dal tuo dispositivo Android tramite servizi autorizzati (Health Connect, Samsung Health Data SDK):

• •Attività fisica: passi, distanza percorsa, calorie bruciate (attive e totali), piani saliti
• •Frequenza cardiaca: media, range minimo/massimo, frequenza a riposo, HRV
• •Sonno: durata totale, fasi (profondo, REM, leggero, sveglio), orari inizio/fine
• •Composizione corporea: peso, altezza, BMI (se forniti dall'utente)
• •Altri parametri: saturazione ossigeno (SpO₂), VO₂ max, temperatura cutanea, dislivello
• •Sessioni di esercizio: tipo di attività, durata, distanza, calorie
• •Account: indirizzo email (per autenticazione tramite Supabase Auth) e identificativo dispositivo

I dati raccolti vengono utilizzati esclusivamente per:

• •Sincronizzazione: ricevere e archiviare le tue metriche di salute sul nostro backend cloud
• •Visualizzazione: permettere la visualizzazione dei dati sulla dashboard dell'app
• •Supporto: diagnosticare problemi tecnici quando ce li segnali via email
• •Notifiche: inviare avvisi configurabili (es. promemoria sync) tramite Firebase Cloud Messaging

Non vendiamo, non condividiamo e non utilizziamo i tuoi dati per pubblicità o marketing. Non esiste alcuna profilazione automatizzata che produca effetti giuridici sull'utente.

I dati sincronizzati vengono inviati al backend FitMesh Sync ospitato su:

• •Vercel Inc.: hosting dell'API serverless fitmesh.fit (regione preferita: Europa fra1; alcuni edge function girano nella regione più vicina all'utente)
• •Supabase Inc.: database PostgreSQL gestito + autenticazione + storage (progetto in regione EU, eu-central-1 Frankfurt)

I dati rimangono sul tuo dispositivo Android in una cache locale fino al momento della sincronizzazione. Dopo la conferma di ricezione, la cache locale viene svuotata.

Il database principale (Supabase Postgres) è ospitato in Unione Europea (Francoforte, Germania). Tuttavia, alcuni servizi accessori comportano un trasferimento verso paesi terzi (in particolare gli Stati Uniti):

• •Vercel (USA): edge runtime e logging delle richieste. Trasferimento basato su Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (decisione 2021/914) e su Data Processing Addendum sottoscritto con Vercel
• •Resend (USA): invio email transazionali (conferma signup beta, comunicazioni di supporto). Trasferimento basato su SCC + DPA
• •Firebase Cloud Messaging (Google LLC, USA): trasporto delle notifiche push. Google aderisce alle SCC + Data Privacy Framework
• •Google Sign-In (Google LLC, USA): autenticazione opzionale tramite account Google. Trasferimento basato su SCC + DPF

Prima di trasferire dati verso gli USA abbiamo valutato il rischio (Transfer Impact Assessment) considerando: i dati trasferiti sono limitati e non includono identificatori biometrici puri; le SCC includono clausole di sospensione in caso di richieste da autorità governative; i fornitori scelti aderiscono al Data Privacy Framework UE-USA dove disponibile.

• •Metriche di salute: conservate finché l'account utente è attivo. Cancellate entro 30 giorni dalla richiesta di cancellazione dell'account o dalla disinstallazione confermata
• •Log applicativi e sync log: conservati 90 giorni a fini di troubleshooting, poi eliminati automaticamente
• •Email di contatto (privacy/support): conservate 24 mesi per garantire continuità del supporto, poi cancellate
• •Backup database: rotazione 7 giorni su backup Supabase point-in-time recovery
• •Dati account beta signup: conservati fino al lancio pubblico, poi anonimizzati o cancellati

FitMesh Sync richiede i seguenti permessi:

• •Health Connect: per leggere i dati di salute dal sistema operativo Android
• •Samsung Health (opzionale): se hai un Galaxy Watch, per dati aggiuntivi non esposti da Health Connect
• •Accesso Internet: per sincronizzare i dati con il backend FitMesh Sync
• •Sync in background: per inviare dati periodicamente anche quando l'app è chiusa
• •Notifiche: per ricevere promemoria sync e notifiche di sistema
• •Esclusione ottimizzazione batteria: per garantire la sync regolare (richiesto su Android 14+)

Tutti i permessi sono richiesti esplicitamente e puoi revocarli in qualsiasi momento dalle impostazioni del dispositivo o dell'applicazione.

• •Trasporto: tutti i dati transitano via HTTPS/TLS 1.2+ verso fitmesh.fit
• •Persistenza locale: la cache locale viene svuotata dopo invio confermato dal server
• •Token di autenticazione: JWT Supabase salvati in Android Keystore (flutter_secure_storage)
• •Row-Level Security: ogni utente può leggere/scrivere solo le proprie righe (policy RLS Supabase su tutte le tabelle esposte)
• •Nessun tracker terzo nell'app: non includiamo SDK di analytics, advertising o profilazione lato app

In conformità al GDPR hai il diritto di:

• •Accedere: richiedere una copia dei tuoi dati salvati sui nostri sistemi
• •Rettificare: correggere dati inesatti o incompleti
• •Cancellare: richiedere la cancellazione completa del tuo account e dei dati associati
• •Limitare: richiedere la limitazione del trattamento in casi specifici
• •Portabilità: ricevere i tuoi dati in formato JSON strutturato
• •Opporsi: opporti al trattamento per motivi legittimi
• •Revocare il consenso: disabilitare i permessi di accesso ai dati di salute in qualsiasi momento (la revoca non pregiudica la liceità del trattamento svolto prima della revoca)

Per esercitare questi diritti, scrivici a privacy@fitmesh.fit. Rispondiamo entro 30 giorni come previsto dall'art. 12 GDPR.

FitMesh Sync utilizza i seguenti responsabili del trattamento (Data Processors):

• •Health Connect (Google LLC): fonte dati di salute Android — letti localmente, non comunicati a Google da noi
• •Samsung Health Data SDK (Samsung Electronics): fonte dati Galaxy Watch — letti localmente
• •Supabase Inc.: database PostgreSQL gestito + Auth (Francoforte, DE) — DPA firmato
• •Vercel Inc.: hosting API serverless (USA, edge globale) — DPA firmato + SCC
• •Resend, Inc.: delivery email transazionali (USA) — DPA + SCC
• •Google LLC (Firebase Cloud Messaging): trasporto notifiche push (USA) — DPA + SCC + DPF
• •Google LLC (Google Sign-In, opzionale): autenticazione OAuth (USA) — DPA + SCC + DPF
• •Google LLC (Google Play Billing): gestione acquisti in-app — soggetto a Google Play Terms
• •Google Analytics 4 (solo sito web, opt-in): analytics anonimi attivati solo dopo consenso esplicito tramite cookie banner

Maggiori dettagli sui cookie del sito web nella nostra Cookie Policy.

Possiamo aggiornare questa Privacy Policy di tanto in tanto. Per modifiche significative ti notificheremo via email o mostrando un avviso nell'app prima della prossima sincronizzazione. La data di ultimo aggiornamento è indicata in cima alla pagina.

FitMesh Sync non è destinata a utenti di età inferiore ai 16 anni (soglia art. 8 GDPR in Italia per il consenso digitale). Non raccogliamo consapevolmente dati personali da minori di 16 anni senza il consenso del titolare della responsabilità genitoriale.

Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali italiana: garanteprivacy.it. Se sei residente in un altro Stato UE puoi rivolgerti all'autorità nazionale competente.