Informativa sul trattamento dei dati personali
Ultimo aggiornamento: marzo 2026
La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018. In caso di discrepanza tra la versione italiana e quella inglese, prevale la versione italiana.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite la piattaforma Ananda (anandastudio.app) è:
Silva Danilo Albino
Via Livorno 236, 20099 Sesto San Giovanni (MI), Italia
Email: support@ananda.app
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti di cui all'art. 37 GDPR. Per qualsiasi questione relativa alla privacy è possibile contattare il titolare all'indirizzo email sopra indicato.
2. Ruoli nel trattamento dei dati
Ananda opera in due distinte qualità a seconda della categoria di interessati:
| Categoria di interessati | Ruolo di Ananda |
|---|---|
| Visitatori del sito anandastudio.app | Titolare del trattamento |
| Operatori studio (abbonati al servizio SaaS) | Titolare del trattamento |
| Studenti iscritti alle palestre/studi che utilizzano Ananda | Responsabile del trattamento (art. 28 GDPR) per conto dello studio, che è il titolare |
3. Sezione A — Visitatori del sito web
Quando visiti anandastudio.app trattiamo i seguenti dati:
| Dati | Finalità | Base giuridica | Conservazione |
|---|---|---|---|
| Indirizzo IP, browser, sistema operativo, pagine visitate, timestamp | Sicurezza informatica, protezione DDoS, prevenzione frodi | Art. 6(1)(f) GDPR — legittimo interesse alla sicurezza della rete | 30 giorni (log Cloudflare) |
| Cookie tecnici di sessione (v. sezione 11) | Funzionamento del sito e autenticazione | Art. 6(1)(f) GDPR — necessità tecnica; esenti da consenso ai sensi delle Linee guida cookie del Garante (2021) | Sessione / 14-60 giorni (v. tabella cookie) |
4. Sezione B — Operatori studio (abbonati)
Se ti registri come operatore di uno studio/palestra, trattiamo i seguenti dati:
| Categoria | Dati | Finalità | Base giuridica | Conservazione |
|---|---|---|---|---|
| Account | Nome, cognome, indirizzo email, password (hashed bcrypt), numero di telefono | Creazione e gestione dell'account, autenticazione | Art. 6(1)(b) GDPR — esecuzione del contratto | Durata del rapporto contrattuale + 90 giorni di grazia, poi eliminazione |
| Profilo studio | Nome dello studio, fuso orario, valuta, lingua, impostazioni | Configurazione e personalizzazione del servizio | Art. 6(1)(b) GDPR — esecuzione del contratto | Durata del rapporto contrattuale |
| Fatturazione | Dati di pagamento (gestiti da Stripe/PayPal — non memorizziamo numeri di carta), storico abbonamento | Elaborazione pagamenti, fatturazione, adempimenti fiscali | Art. 6(1)(b) GDPR — esecuzione del contratto; art. 6(1)(c) GDPR — obbligo legale (art. 2220 c.c.) | 10 anni (art. 2220 Codice Civile) |
| Integrazioni | Token Zoom (accesso/refresh), chiave API Mailchimp (se configurata) | Funzionamento delle integrazioni di terze parti abilitate dall'operatore | Art. 6(1)(b) GDPR — esecuzione del contratto | Fino alla disconnessione dell'integrazione |
| Log di utilizzo | Log di attività sulla piattaforma (azioni amministrative) | Sicurezza, audit, risoluzione di controversie | Art. 6(1)(f) GDPR — legittimo interesse alla sicurezza e all'integrità del servizio | 90 giorni |
| Comunicazioni transazionali | Indirizzo email per notifiche di sistema, aggiornamenti del servizio | Comunicazioni necessarie all'esecuzione del contratto | Art. 6(1)(b) GDPR — esecuzione del contratto | 30 giorni (log di consegna email) |
5. Sezione C — Studenti delle palestre (Ananda come responsabile del trattamento)
Nota importante: Se sei uno studente che utilizza Ananda attraverso la tua palestra o studio, il titolare del trattamento dei tuoi dati personali è la palestra o lo studio cui sei iscritto, non Ananda. Ananda tratta i tuoi dati esclusivamente come responsabile del trattamento (art. 28 GDPR) per conto dello studio, nell'ambito del Contratto di Trattamento dei Dati stipulato con quest'ultimo. Per esercitare i tuoi diritti o per informazioni su come i tuoi dati vengono utilizzati dalla palestra, rivolgiti direttamente allo studio.
Nell'ambito del servizio fornito agli studi, Ananda tratta per conto degli studi le seguenti categorie di dati degli studenti:
| Categoria | Dati | Finalità del trattamento |
|---|---|---|
| Identità | Nome, cognome, indirizzo email, password (hashed) | Autenticazione e gestione dell'account studente |
| Profilo | Data di nascita, numero di telefono, contatto di emergenza (nome e telefono), indirizzo, livello di abilità, biografia, avatar | Profilazione ai fini del servizio offerto dalla palestra |
| Codice fiscale | Codice fiscale (facoltativo, richiesto dalla palestra per scopi fiscali) | Emissione di ricevute fiscali/fatture da parte della palestra |
| Prenotazioni | Corsi prenotati, storico presenze, liste d'attesa, pacchetti acquistati | Gestione delle prenotazioni e del pacchetto lezioni |
| Pagamenti | Metodo di pagamento, importo, stato (elaborati da Stripe o PayPal — nessun numero di carta memorizzato da Ananda) | Elaborazione dei pagamenti per conto della palestra |
| Dati sulla salute (art. 9 GDPR) | Note su infortuni o condizioni fisiche (facoltative, inserite dallo studente stesso) | Personalizzazione dell'attività fisica in sicurezza da parte della palestra |
| Video conferenze | ID riunione Zoom e link di accesso (solo se la palestra abilita l'integrazione Zoom) | Accesso alle lezioni online |
6. Trattamento di dati particolari relativi alla salute (art. 9 GDPR)
La piattaforma consente agli studenti di inserire facoltativamente note relative a infortuni o condizioni fisiche rilevanti per la pratica delle lezioni. Si tratta di dati relativi alla salute ai sensi dell'art. 9 GDPR.
Inserimento e titolarità: queste note sono inserite liberamente e volontariamente dallo studente nel proprio profilo. Il titolare del trattamento di tali dati è lo studio/palestra, che li raccoglie per garantire la sicurezza delle attività. Ananda li tratta come responsabile del trattamento.
Base giuridica: art. 6(1)(a) GDPR (consenso) + art. 9(2)(a) GDPR (consenso esplicito alle categorie particolari). Il consenso può essere revocato in qualsiasi momento eliminando le note dal proprio profilo o richiedendone la cancellazione allo studio.
Misure di sicurezza aggiuntive: questi dati sono accessibili esclusivamente al personale dello studio autorizzato, non sono condivisi con terze parti al di fuori dei sub-responsabili elencati nella sezione 7, e vengono eliminati unitamente al profilo dello studente in caso di esercizio del diritto alla cancellazione.
7. Destinatari del trattamento e trasferimenti internazionali
I dati personali sono trattati esclusivamente dai sub-responsabili necessari all'erogazione del servizio. Per ogni trasferimento verso paesi terzi (extra-SEE) sono state stipulate Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea ai sensi dell'art. 46(2)(c) GDPR.
| Fornitore | Finalità | Sede | Garanzie trasferimento |
|---|---|---|---|
| Hetzner Online GmbH | Hosting cloud, database | 🇩🇪 Germania (UE) | Nessun trasferimento extra-SEE — GDPR si applica direttamente |
| Cloudflare, Inc. | CDN, protezione DDoS, sicurezza TLS, Turnstile (antibot) | 🇺🇸 USA (CDN globale) | Clausole Contrattuali Standard (SCC) |
| Stripe, Inc. | Elaborazione pagamenti, fatturazione abbonamenti | 🇺🇸 USA / 🇮🇪 Irlanda (UE) | SCC; Stripe Ireland Ltd. è l'entità UE per i clienti europei |
| PayPal Holdings, Inc. | Pagamenti alternativi | 🇺🇸 USA / 🇱🇺 Lussemburgo (UE) | SCC; PayPal (Europe) S.à r.l. è l'entità UE |
| Mailgun Technologies, Inc. | Consegna email transazionali | 🇺🇸 USA / 🇪🇺 regione UE disponibile | SCC; regione UE utilizzata per i clienti europei |
| Zoom Video Communications, Inc. | Video conferenze per lezioni online (solo se l'integrazione è attivata dallo studio) | 🇺🇸 USA | SCC |
Per maggiori dettagli sui sub-responsabili, compresi i link alle rispettive informative e DPA, consulta la nostra lista dei sub-responsabili.
8. Periodo di conservazione dei dati
| Categoria di dati | Periodo | Riferimento normativo |
|---|---|---|
| Account attivo | Per tutta la durata del rapporto contrattuale | Art. 6(1)(b) GDPR |
| Account dopo eliminazione / chiusura | 90 giorni di grazia (ripristino), poi eliminazione definitiva | Art. 6(1)(f) GDPR — legittimo interesse al ripristino |
| Dati di fatturazione e pagamento | 10 anni dalla registrazione della scrittura contabile | Art. 2220 Codice Civile; art. 6(1)(c) GDPR |
| Log di consegna email | 30 giorni | Art. 6(1)(f) GDPR — sicurezza e supporto |
| Log di accesso e sicurezza (IP, browser) | 30 giorni | Art. 6(1)(f) GDPR — sicurezza della rete |
| Log di attività amministrativa | 90 giorni | Art. 6(1)(f) GDPR — audit e sicurezza |
| Dati Zoom (ID riunione, link) | Fino alla cancellazione della lezione o alla disconnessione dell'integrazione | Art. 6(1)(b) GDPR |
| Note sulla salute (art. 9 GDPR) | Fino alla revoca del consenso o alla cancellazione del profilo | Art. 9(2)(a) GDPR — consenso esplicito |
9. I tuoi diritti
Ai sensi degli artt. 15–22 GDPR, hai il diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei tuoi dati personali
- Rettifica (art. 16): far correggere dati inesatti o incompleti
- Cancellazione (art. 17): ottenere la cancellazione dei tuoi dati ("diritto all'oblio"), salvo obblighi di conservazione
- Limitazione (art. 18): richiedere la limitazione del trattamento in determinate circostanze
- Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e leggibile da dispositivo automatico
- Revoca del consenso (art. 7): revocare in qualsiasi momento i consensi prestati, senza pregiudicare la liceità del trattamento precedente
Come esercitare i diritti: se sei registrato sulla piattaforma, puoi inviare una richiesta direttamente dalla sezione I miei dati e privacy. In alternativa, scrivi a support@ananda.app indicando la natura della richiesta. Risponderemo entro 30 giorni. Il servizio è gratuito, salvo richieste manifestamente infondate o eccessive.
Diritto di reclamo: hai il diritto di proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it.
⚠ Diritto di opposizione — art. 21 GDPR
Hai il diritto di opporti in qualsiasi momento al trattamento dei tuoi dati personali fondato sul legittimo interesse (art. 6(1)(f) GDPR), per motivi connessi alla tua situazione particolare. In tal caso cesseremo il trattamento, salvo che sussistano motivi legittimi cogenti che prevalgano sui tuoi interessi, diritti e libertà, oppure che il trattamento sia necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Per esercitare il diritto di opposizione: scrivi a support@ananda.app oppure utilizza la sezione I miei dati e privacy.
11. Cookie e strumenti di tracciamento
Utilizziamo esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio, ai sensi delle Linee guida del Garante in materia di cookie e altri strumenti di tracciamento (10 giugno 2021). Non utilizziamo cookie di profilazione, analitici o pubblicitari.
| Cookie | Tipo | Finalità | Scadenza |
|---|---|---|---|
_ananda_key
|
Tecnico essenziale | Autenticazione di sessione | Al logout o 60 giorni |
_ananda_web_user_remember_me
|
Tecnico essenziale | Funzione "Ricordami" al login | 14 giorni |
| Cookie Cloudflare Turnstile | Tecnico di sicurezza | Protezione antibot su form di registrazione e login | Sessione |
Trattandosi esclusivamente di cookie tecnici necessari, non è richiesto il consenso ai sensi dell'art. 122 D.lgs. 196/2003 e delle Linee guida Garante 2021. Per ulteriori informazioni, consulta la nostra Cookie Policy.
12. Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui: cifratura TLS per tutti i dati in transito, hashing delle password con bcrypt, infrastruttura ospitata in data center UE (Hetzner, Germania), protezione DDoS e filtraggio del traffico malevolo tramite Cloudflare, controllo degli accessi basato sui ruoli, log di audit per le operazioni sensibili. Non comunichiamo i dettagli tecnici delle misure di sicurezza in questa sede per non comprometterne l'efficacia.
13. Minori
Ai sensi dell'art. 2-quinquies del D.lgs. 196/2003, il consenso al trattamento dei dati personali nell'ambito dei servizi della società dell'informazione è valido a partire dai 14 anni. Per i minori di 14 anni è richiesto il consenso di chi esercita la responsabilità genitoriale.
La piattaforma non è destinata a minori di 14 anni. Qualora venissimo a conoscenza di dati raccolti da minori di tale età senza il consenso dei genitori, provvederemo alla loro immediata cancellazione. Se ritieni che siano stati raccolti dati di un minore, contattaci a support@ananda.app.
14. Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare la presente informativa. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email. La data di "ultimo aggiornamento" in cima alla pagina indica la versione vigente. Il continuato utilizzo del servizio successivamente alla notifica di modifiche sostanziali costituisce accettazione delle stesse.
15. Contatti
Per qualsiasi questione relativa alla protezione dei dati personali o per esercitare i tuoi diritti:
Silva Danilo Albino — Titolare del trattamento
Via Livorno 236, 20099 Sesto San Giovanni (MI), Italia
Email: support@ananda.app
Privacy Notice
Last updated: March 2026
This is an English translation of the Italian privacy notice above, provided for convenience. In case of any discrepancy, the Italian version prevails. This notice is issued pursuant to Arts. 13 and 14 of Regulation (EU) 2016/679 (GDPR) and Italian Legislative Decree 196/2003 (Privacy Code) as amended.
1. Data Controller
The data controller for personal data collected through the Ananda platform (anandastudio.app) is:
No Data Protection Officer (DPO) has been appointed as the conditions under Art. 37 GDPR are not met. For any privacy-related matter, contact the controller at the email address above.
2. Roles in Data Processing
Ananda operates in two distinct capacities depending on the category of data subjects:
| Data subjects | Ananda's role |
|---|---|
| Visitors of anandastudio.app | Data controller |
| Studio operators (SaaS subscribers) | Data controller |
| Students registered with studios using Ananda | Data processor (Art. 28 GDPR) on behalf of the studio, which is the controller |
3. Section A — Website Visitors
| Data | Purpose | Legal basis | Retention |
|---|---|---|---|
| IP address, browser, OS, pages visited, timestamps | Network security, DDoS protection, fraud prevention | Art. 6(1)(f) GDPR — legitimate interest in network security | 30 days (Cloudflare logs) |
| Technical session cookies (see section 11) | Website operation and authentication | Art. 6(1)(f) GDPR — technical necessity; exempt from consent under Italian Garante Cookie Guidelines (2021) | Session / 14–60 days (see cookie table) |
4. Section B — Studio Operators (Subscribers)
| Category | Data | Purpose | Legal basis | Retention |
|---|---|---|---|---|
| Account | Name, email, hashed password, phone number | Account creation and management, authentication | Art. 6(1)(b) GDPR — contract performance | Duration of contractual relationship + 90-day grace period, then deletion |
| Studio profile | Studio name, timezone, currency, language, settings | Service configuration and personalisation | Art. 6(1)(b) GDPR — contract performance | Duration of contractual relationship |
| Billing | Payment data (handled by Stripe/PayPal — no card numbers stored by Ananda), subscription history | Payment processing, invoicing, tax compliance | Art. 6(1)(b) GDPR — contract; Art. 6(1)(c) — legal obligation (Art. 2220 Italian Civil Code) | 10 years (Art. 2220 Italian Civil Code) |
| Integrations | Zoom OAuth tokens, Mailchimp API key (if configured) | Operation of third-party integrations enabled by the operator | Art. 6(1)(b) GDPR — contract performance | Until disconnection of the integration |
| Usage logs | Platform activity logs (administrative actions) | Security, audit trail, dispute resolution | Art. 6(1)(f) GDPR — legitimate interest in service security and integrity | 90 days |
5. Section C — Studio Students (Ananda as Data Processor)
Important: If you are a student accessing Ananda through your gym or studio, the data controller for your personal data is the studio or gym you are enrolled with, not Ananda. Ananda processes your data solely as a data processor (Art. 28 GDPR) on behalf of the studio, under a Data Processing Agreement. To exercise your rights or for information on how the studio uses your data, contact the studio directly.
On behalf of studios, Ananda processes the following categories of student data:
| Category | Data | Purpose |
|---|---|---|
| Identity | Name, email address, hashed password | Authentication and student account management |
| Profile | Date of birth, phone, emergency contact, address, skill level, bio, avatar | Profiling for the services offered by the studio |
| Tax identifier | Italian fiscal code (codice fiscale) — optional, collected by the studio for tax purposes | Issuing tax receipts/invoices on behalf of the studio |
| Bookings | Class bookings, attendance history, waitlist entries, purchased packages | Booking and package management |
| Payments | Payment method, amount, status (processed by Stripe or PayPal — no card numbers stored by Ananda) | Payment processing on behalf of the studio |
| Health data (Art. 9 GDPR) | Notes on injuries or physical conditions (optional, entered by the student) | Safe personalisation of physical activity by the studio |
| Video conferencing | Zoom meeting IDs and join links (only if the studio enables the Zoom integration) | Access to online classes |
6. Special Category Health Data (Art. 9 GDPR)
The platform allows students to optionally enter notes about injuries or physical conditions relevant to class practice. These constitute health data under Art. 9 GDPR.
Legal basis: Art. 6(1)(a) GDPR (consent) + Art. 9(2)(a) GDPR (explicit consent to special category data). Consent may be withdrawn at any time by deleting the notes from your profile or requesting deletion from the studio.
Additional safeguards: this data is accessible only to authorised studio staff, is not shared with third parties beyond the listed sub-processors, and is deleted together with the student profile upon erasure requests.
7. Recipients and International Transfers
Personal data is processed only by the sub-processors necessary to deliver the service. All transfers to third countries (outside the EEA) are governed by Standard Contractual Clauses (SCCs) approved by the European Commission under Art. 46(2)(c) GDPR.
| Provider | Purpose | Location | Transfer safeguard |
|---|---|---|---|
| Hetzner Online GmbH | Cloud hosting, database | 🇩🇪 Germany (EU) | No transfer outside EEA — GDPR applies directly |
| Cloudflare, Inc. | CDN, DDoS protection, TLS, bot mitigation (Turnstile) | 🇺🇸 USA (global CDN) | Standard Contractual Clauses (SCCs) |
| Stripe, Inc. | Payment processing, subscription billing | 🇺🇸 USA / 🇮🇪 Ireland (EU) | SCCs; Stripe Ireland Ltd. is the EU entity for European customers |
| PayPal Holdings, Inc. | Alternative payment method | 🇺🇸 USA / 🇱🇺 Luxembourg (EU) | SCCs; PayPal (Europe) S.à r.l. is the EU entity |
| Mailgun Technologies, Inc. | Transactional email delivery | 🇺🇸 USA / 🇪🇺 EU region available | SCCs; EU data region used for European customers |
| Zoom Video Communications, Inc. | Video conferencing for online classes (only when Zoom integration is enabled by the studio) | 🇺🇸 USA | SCCs |
For full details including links to sub-processor DPAs, see our sub-processor list.
8. Retention Periods
| Data category | Period | Legal basis |
|---|---|---|
| Active account | Duration of the contractual relationship | Art. 6(1)(b) GDPR |
| Account after deletion / closure | 90-day grace period (recovery), then permanent deletion | Art. 6(1)(f) GDPR — legitimate interest in account recovery |
| Billing and payment data | 10 years from the accounting entry date | Art. 2220 Italian Civil Code; Art. 6(1)(c) GDPR |
| Email delivery logs | 30 days | Art. 6(1)(f) GDPR |
| Access and security logs (IP, browser) | 30 days | Art. 6(1)(f) GDPR |
| Administrative activity logs | 90 days | Art. 6(1)(f) GDPR |
| Zoom data (meeting IDs, links) | Until class deletion or integration disconnection | Art. 6(1)(b) GDPR |
| Health notes (Art. 9 GDPR) | Until consent withdrawal or profile deletion | Art. 9(2)(a) GDPR — explicit consent |
9. Your Rights
Under Arts. 15–22 GDPR you have the right to: access your data (Art. 15); rectification of inaccurate data (Art. 16); erasure ("right to be forgotten", Art. 17) subject to legal retention obligations; restriction of processing (Art. 18); data portability (Art. 20); withdrawal of consent at any time (Art. 7) without affecting the lawfulness of prior processing.
How to exercise your rights: use the My Data & Privacy section if you are logged in, or email support@ananda.app. We will respond within 30 days. The service is free of charge, except for manifestly unfounded or excessive requests.
Right to lodge a complaint: you have the right to lodge a complaint with the Italian supervisory authority: Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it.
⚠ Right to Object — Art. 21 GDPR
You have the right to object at any time to the processing of your personal data based on legitimate interest (Art. 6(1)(f) GDPR), on grounds relating to your particular situation. If you object, we will cease processing unless we can demonstrate compelling legitimate grounds that override your interests, rights and freedoms, or unless processing is necessary for the establishment, exercise or defence of legal claims.
To object: email support@ananda.app or use the My Data & Privacy section.
11. Cookies
We use only strictly necessary technical cookies required for the operation of the service. We do not use profiling, analytics, or advertising cookies.
| Cookie | Type | Purpose | Expires |
|---|---|---|---|
_ananda_key
|
Essential technical | Session authentication | On logout or 60 days |
_ananda_web_user_remember_me
|
Essential technical | "Remember me" login | 14 days |
| Cloudflare Turnstile cookies | Security technical | Bot protection on registration and login forms | Session |
As these are strictly necessary technical cookies, consent is not required. See our Cookie Policy for details.
12. Security
We implement appropriate technical and organisational measures under Art. 32 GDPR, including: TLS encryption for all data in transit, bcrypt password hashing, EU-based infrastructure (Hetzner, Germany), DDoS protection via Cloudflare, role-based access controls, and audit logging for sensitive operations.
13. Children
Under Art. 2-quinquies of Italian Legislative Decree 196/2003, the minimum age for valid consent to information society services is 14 years. For children under 14, parental consent is required.
The platform is not directed at children under 14. If we become aware that data has been collected from a child under 14 without parental consent, we will delete it immediately. Contact us at support@ananda.app if you believe a child's data has been collected.
14. Changes to This Notice
We may update this notice. Registered users will be notified by email of material changes. The "last updated" date at the top indicates the current version. Continued use of the service after notification of material changes constitutes acceptance.
15. Contact
Silva Danilo Albino — Data Controller
Via Livorno 236, 20099 Sesto San Giovanni (MI), Italy
Email: support@ananda.app