Il Titolare del trattamento è:

Email: founders@keysessions.ai

Per qualunque richiesta relativa al trattamento dei dati personali o all'esercizio dei diritti GDPR, l'utente può contattare il Titolare all'indirizzo email sopra indicato.

La presente Privacy Policy si applica al trattamento dei dati personali effettuato tramite keysessions.ai, inclusi:

• navigazione sul sito e sulla webapp;
• creazione e gestione dell'account utente;
• autenticazione tramite magic link;
• utilizzo del servizio;
• gestione di pagamenti e abbonamenti, ove applicabile;
• sicurezza, prevenzione di abusi, spam, bot e frodi;
• comunicazioni operative e assistenza;
• adempimento di obblighi di legge e tutela dei diritti del Titolare.

Questa Privacy Policy non si applica a siti, servizi o piattaforme di terzi accessibili tramite link o integrazioni esterne, i cui trattamenti sono regolati dalle rispettive informative privacy.

A seconda dell'utilizzo del servizio, keysessions.ai può trattare le seguenti categorie di dati personali.

3.1 Dati identificativi e di account

• indirizzo email;
• nome e cognome, ove richiesti;
• identificativo account;
• stato dell'account;
• informazioni relative alla registrazione, accesso e chiusura dell'account.

3.2 Dati di autenticazione

L'accesso al servizio avviene tramite magic link inviato all'indirizzo email dell'utente.

Il Titolare può trattare:

• indirizzo email;
• token o identificativi tecnici temporanei;
• data e ora di richiesta e utilizzo del magic link;
• log tecnici relativi all'autenticazione.

keysessions.ai non richiede una password, salvo diversa indicazione all'interno del servizio.

3.3 Dati di fatturazione e pagamento

In caso di servizi a pagamento, possono essere trattati:

• nome e cognome o denominazione;
• indirizzo di fatturazione;
• città, CAP, provincia, stato e nazione;
• eventuali dati fiscali richiesti dalla normativa applicabile;
• identificativi di pagamento, cliente, transazione, piano o abbonamento;
• stato del pagamento.

Le informazioni complete della carta di pagamento non sono trattate direttamente dal Titolare, ma dal fornitore esterno del servizio di pagamento.

3.4 Dati tecnici e di utilizzo

Durante l'utilizzo del servizio possono essere raccolti automaticamente:

• indirizzo IP;
• data e ora delle richieste;
• URL o percorsi visitati;
• metodo della richiesta;
• codice di stato della risposta;
• informazioni su browser, sistema operativo e dispositivo;
• dati tecnici relativi a sessioni, errori, sicurezza e prestazioni;
• log di sistema e manutenzione.

3.5 Dati contenuti nelle comunicazioni

Quando l'utente contatta il Titolare, possono essere trattati:

• indirizzo email;
• contenuto della comunicazione;
• eventuali allegati o informazioni fornite volontariamente dall'utente;
• metadati tecnici della comunicazione.

3.6 Dati di allenamento e profilo atletico

Il servizio consente all'utente di inserire, generare e salvare dati relativi al proprio profilo atletico e alla propria attività di allenamento. In particolare, il Titolare può trattare:

• età, peso e altezza dell'atleta;
• FTP (Functional Threshold Power) e data dell'ultimo test FTP;
• livello dell'atleta e ore settimanali di allenamento disponibili;
• configurazione della bicicletta (disciplina, setup);
• mesocicli di allenamento generati dalla piattaforma (fase stagionale, focus fisiologico, traiettoria di carico, curva di progressione);
• sessioni di allenamento giornaliere (target di potenza, cadenza, durata, zone di intensità);
• dati di esecuzione delle sessioni (potenza effettiva, durata, TSS, RPE, note e feedback dell'atleta);
• stato di readiness e parametri di recupero;
• sessioni di allenamento in palestra e relativo impatto sistemico;
• interazioni con il coach AI (briefing, analisi sessioni, domande e risposte);
• dati di localizzazione dell'atleta, utilizzati esclusivamente per l'integrazione meteo ai fini della contestualizzazione dell'allenamento.

Questi dati possono includere informazioni relative alla salute, alla condizione fisica o a parametri fisiologici dell'utente. Il trattamento avviene sulla base dell'esecuzione del contratto per la fornitura del servizio richiesto ai sensi dell'Art. 6(1)(b) GDPR e, ove i dati rientrino tra le categorie particolari di dati, sulla base del consenso esplicito dell'utente ai sensi dell'Art. 9(2)(a) GDPR.

Il mancato conferimento o la revoca del consenso esplicito per il trattamento di tali dati può impedire al Titolare di fornire le funzionalità principali del servizio, incluse la generazione dei piani di allenamento, l'adattamento del piano e le analisi del coach AI.

Il Titolare tratta i dati personali per le finalità indicate nella tabella seguente.

keysessions.ai utilizza, ove possibile, una localizzazione approssimativa o indicata manualmente dall'utente, evitando la raccolta di dati di posizione precisa quando non necessari.

Il Titolare non utilizza i dati per finalità di marketing, profilazione pubblicitaria o invio di comunicazioni promozionali, salvo che ciò sia introdotto in futuro con informativa aggiornata e, ove necessario, consenso dell'utente.

keysessions.ai utilizza i dati forniti dall'utente e i dati generati durante l'utilizzo del servizio per creare profili atletici, generare piani di allenamento, adattare i mesocicli, valutare l'esecuzione delle sessioni e fornire analisi tramite coach AI.

Tali elaborazioni sono finalizzate esclusivamente alla fornitura del servizio richiesto dall'utente e non sono utilizzate per finalità di marketing, pubblicità comportamentale o scoring commerciale.

Il servizio può produrre raccomandazioni automatizzate relative all'allenamento, ma tali raccomandazioni non costituiscono decisioni aventi effetti giuridici sull'utente. L'utente resta responsabile di valutare criticamente le indicazioni ricevute e di interrompere l'attività fisica o consultare un professionista qualificato in caso di dubbi, sintomi o condizioni mediche.

Il Titolare non utilizza i dati dell'utente per addestrare modelli AI generali di terzi, salvo consenso dell'utente o diversa base giuridica indicata nella presente Privacy Policy.

Il conferimento dei dati necessari alla registrazione, autenticazione, erogazione del servizio e gestione dei pagamenti è necessario per utilizzare keysessions.ai.

Il mancato conferimento di tali dati può rendere impossibile creare un account, accedere alla webapp o usufruire di specifiche funzionalità.

Il conferimento di dati ulteriori, ove richiesti come facoltativi, è libero e non pregiudica l'utilizzo del servizio, salvo che tali dati siano necessari per una specifica funzionalità richiesta dall'utente.

Il trattamento è effettuato con strumenti informatici e telematici, secondo logiche coerenti con le finalità indicate nella presente informativa.

Il Titolare adotta misure tecniche e organizzative adeguate a proteggere i dati personali da accesso non autorizzato, divulgazione, modifica, perdita o distruzione, tenendo conto della natura dei dati, del contesto, delle finalità del trattamento e dei rischi per gli interessati.

L'accesso ai dati è limitato ai soggetti autorizzati dal Titolare e ai fornitori che trattano dati personali per conto del Titolare o come titolari autonomi, secondo il rispettivo ruolo.

Per fornire il servizio, keysessions.ai utilizza fornitori tecnici e commerciali. Tali soggetti possono agire, a seconda dei casi, come responsabili del trattamento, sub-responsabili, titolari autonomi o titolari distinti.

Il Titolare può comunicare dati personali anche a:

• consulenti legali, fiscali, contabili o tecnici;
• autorità pubbliche, giudiziarie o amministrative, quando richiesto dalla legge;
• soggetti coinvolti in operazioni societarie o organizzative, nei limiti consentiti dalla legge;
• fornitori di sicurezza, manutenzione, assistenza tecnica e infrastruttura.

Il Titolare mantiene, ove necessario, accordi di nomina a responsabile del trattamento ai sensi dell'Art. 28 GDPR o altri accordi privacy applicabili.

Alcuni fornitori utilizzati da keysessions.ai hanno sede o infrastrutture fuori dallo Spazio Economico Europeo, in particolare negli Stati Uniti.

Quando ciò comporta un trasferimento di dati personali verso paesi terzi, il Titolare adotta uno degli strumenti previsti dal GDPR, tra cui, ove applicabile:

• decisioni di adeguatezza della Commissione europea;
• adesione valida del fornitore al EU-US Data Privacy Framework (DPF), ove disponibile — Vercel, Cloudflare, Stripe e Resend risultano aderenti al EU-US Data Privacy Framework al momento della redazione di questa informativa;
• Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea, incluse nei DPA dei fornitori;
• misure supplementari tecniche, contrattuali e organizzative, quando necessarie;
• altre garanzie o deroghe previste dal Capo V GDPR, nei casi consentiti.

Per quanto riguarda il database (Neon), il database principale è configurato in una regione situata nello Spazio Economico Europeo, attualmente Francoforte, Germania (aws-eu-central-1), al fine di limitare i trasferimenti extra-SEE dei dati applicativi principali.

L'utente può richiedere ulteriori informazioni sui trasferimenti scrivendo al Titolare.

keysessions.ai utilizza esclusivamente cookie e tecnologie simili strettamente necessari al funzionamento del servizio.

In particolare, vengono utilizzati:

• cookie di sessione (Auth.js), necessari per mantenere la sessione e consentire l'autenticazione dell'utente;
• cookie di preferenza lingua (ksn-locale), necessario per memorizzare la scelta linguistica dell'utente tra le lingue disponibili (inglese, italiano, spagnolo, francese);
• cookie tecnici di Cloudflare (ad esempio __cf_bm), necessari per il funzionamento del servizio di protezione da bot e traffico malevolo.

Non vengono utilizzati cookie di profilazione, tracciamento pubblicitario o marketing.

Per i cookie tecnici strettamente necessari non è richiesto il consenso preventivo, ma l'utente può gestirli tramite le impostazioni del browser. La disabilitazione dei cookie tecnici può impedire il corretto funzionamento della webapp.

L'utente non deve inserire, caricare o condividere dati personali di terzi attraverso keysessions.ai salvo che abbia un'idonea base giuridica e abbia fornito le informazioni richieste dalla normativa applicabile.

L'utente resta responsabile dei dati personali di terzi che decide di inserire o trattare tramite il servizio.

keysessions.ai tratta dati relativi alla condizione fisica e alle prestazioni atletiche dell'utente, inclusi peso, potenza, parametri fisiologici, dati di allenamento, readiness, recupero, note e feedback dell'atleta. Tali dati possono rientrare tra i dati relativi alla salute ai sensi dell'Art. 9 GDPR.

Per tali dati, il trattamento si basa sull'esecuzione del contratto ai sensi dell'Art. 6(1)(b) GDPR, in quanto necessario per fornire il servizio richiesto dall'utente, e sul consenso esplicito dell'utente ai sensi dell'Art. 9(2)(a) GDPR, ove i dati trattati rientrino tra categorie particolari di dati.

L'utente può revocare il consenso esplicito in qualsiasi momento contattando il Titolare o, ove disponibile, tramite le impostazioni dell'account.

Il servizio non è destinato a minori di 18 anni. Se il Titolare viene a conoscenza di dati personali trattati in violazione di tale limite, adotterà misure ragionevoli per cancellarli o limitarne il trattamento.

L'utente, nei limiti e alle condizioni previste dal GDPR, ha il diritto di:

• ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano;
• accedere ai propri dati personali;
• ottenere la rettifica dei dati inesatti o l'integrazione dei dati incompleti;
• ottenere la cancellazione dei dati personali;
• ottenere la limitazione del trattamento;
• opporsi al trattamento basato sul legittimo interesse;
• ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, ove applicabile;
• chiedere la trasmissione dei dati a un altro titolare, ove tecnicamente fattibile e applicabile;
• revocare il consenso, quando il trattamento si basa sul consenso;
• proporre reclamo a un'autorità di controllo competente.

In Italia, l'autorità di controllo competente è il Garante per la protezione dei dati personali.

Le richieste relative ai diritti privacy possono essere inviate a:

founders@keysessions.ai

Il Titolare risponderà senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento della richiesta, salvo proroga nei casi previsti dal GDPR.

Il Titolare può richiedere informazioni aggiuntive per verificare l'identità dell'utente, nel rispetto del principio di minimizzazione.

L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate, eccessive o ripetitive, nei casi previsti dalla normativa applicabile.

Il Titolare adotta misure tecniche e organizzative adeguate, tra cui, ove applicabile:

• controllo degli accessi;
• autenticazione tramite link temporanei;
• utilizzo di fornitori infrastrutturali con misure di sicurezza documentate;
• protezione da bot, spam e traffico malevolo;
• logging tecnico e monitoraggio di sicurezza;
• backup e procedure di manutenzione;
• limitazione dell'accesso ai dati ai soli soggetti autorizzati.

Nessun sistema informatico può essere considerato assolutamente sicuro. L'utente deve adottare misure adeguate per proteggere il proprio dispositivo, indirizzo email e accesso all'account.

In caso di violazione dei dati personali, il Titolare valuterà l'evento e, ove necessario, effettuerà le notifiche all'autorità di controllo e agli interessati secondo gli Articoli 33 e 34 GDPR.

Il Titolare può modificare la presente Privacy Policy per riflettere cambiamenti normativi, tecnici, organizzativi o del servizio.

Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultima modifica. Quando le modifiche incidono in modo significativo sui diritti degli utenti o su trattamenti basati sul consenso, il Titolare fornirà adeguata comunicazione e, ove necessario, raccoglierà un nuovo consenso.

Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Interessato: la persona fisica cui si riferiscono i dati personali.

Trattamento: qualsiasi operazione compiuta su dati personali, come raccolta, registrazione, conservazione, consultazione, uso, comunicazione, cancellazione o distruzione.

Titolare del trattamento: il soggetto che determina finalità e mezzi del trattamento.

Responsabile del trattamento: il soggetto che tratta dati personali per conto del titolare.

Servizio: la webapp e le funzionalità offerte tramite keysessions.ai.

GDPR: Regolamento (UE) 2016/679.