L’informativa privacy di una palestra è il documento con cui il titolare spiega in modo trasparente quali dati personali degli iscritti raccoglie, come e perché li usa (iscrizione, gestione abbonamenti, controllo accessi, sicurezza, comunicazioni), su quale base giuridica e per quanto tempo li conserva, a chi li comunica e con quali tutele. Serve a rispettare il GDPR, costruire fiducia e permettere agli utenti di esercitare i propri diritti, indicando anche i contatti del titolare o del DPO; chiarisce inoltre eventuali trattamenti particolari, come certificati medici, videosorveglianza o sistemi biometrici, e i consensi necessari per il marketing. In sintesi, definisce le regole del gioco sui dati personali tra palestra e iscritto, prevenendo abusi e sanzioni.
Come scrivere Informativa privacy palestra
Un’informativa privacy per una palestra, per essere conforme al GDPR e alla normativa italiana, deve innanzitutto identificare chiaramente il titolare del trattamento, con i relativi dati di contatto e, se nominato, il Responsabile della Protezione dei Dati, specificando come gli interessati possano contattarlo per questioni legate alla protezione dei dati. Se la palestra fa parte di un franchising, va spiegato se vi sono contitolarità o trasferimenti di dati all’interno del gruppo e chi fa cosa, in modo che l’utente capisca a chi rivolgersi e chi decide le finalità e i mezzi del trattamento.
Deve descrivere in modo comprensibile quali dati personali vengono trattati, distinguendo tra dati anagrafici e di contatto, dati contrattuali e di fatturazione, foto per il tesserino o per il profilo, dati relativi agli accessi in palestra e alle prenotazioni dei corsi, dati relativi a eventuali incidenti o infortuni, nonché categorie particolari di dati come quelli sanitari. In ambito palestra rientrano in questa categoria, ad esempio, il certificato medico, informazioni sullo stato di salute comunicate per personal training o riatletizzazione, misurazioni corporee e test funzionali. Se sono presenti sistemi di videosorveglianza, va indicato che si raccolgono immagini e l’area coperta dalle telecamere; se si usano sistemi biometrici per l’accesso, come l’impronta digitale o il riconoscimento facciale, è necessario specificarlo chiaramente perché si tratta di dati particolarmente sensibili e ammettere alternative equivalenti in caso di mancato consenso. Se alcuni dati non vengono raccolti direttamente dall’interessato, l’informativa deve indicarne la fonte, ad esempio medici sportivi convenzionati o piattaforme di prenotazione esterne.
Le finalità del trattamento devono essere elencate in forma chiara e abbinate alla corretta base giuridica. Per la gestione del rapporto contrattuale rientrano la registrazione, la gestione dell’abbonamento, l’erogazione dei servizi, l’assistenza clienti e la fatturazione, tipicamente fondate sull’esecuzione del contratto. L’adempimento di obblighi di legge copre la conservazione contabile e fiscale e, laddove previsto da norme nazionali, l’acquisizione e la verifica del certificato medico. Gli interessi legittimi possono giustificare la sicurezza degli ambienti, la prevenzione delle frodi, il controllo degli accessi e l’eventuale tutela in giudizio; in questi casi è opportuno spiegare l’equilibrio tra tali interessi e i diritti degli interessati. Il trattamento di dati sanitari richiede una base ulteriore rispetto all’articolo 6: di norma la palestra farà riferimento alla specifica previsione di legge per il certificato medico e all’esplicito consenso informato dell’interessato per ulteriori valutazioni fisiche, programmi personalizzati e misurazioni non strettamente necessarie. Le attività di marketing diretto, invio di newsletter, offerte commerciali, profilazione a fini promozionali e l’uso di cookie non tecnici su siti e app richiedono il consenso, liberamente revocabile in ogni momento senza impatto sul servizio principale. È bene distinguere il marketing della palestra da comunicazioni di servizio e da eventuale soft spam nei limiti consentiti, chiarendo come opporsi.
L’informativa deve spiegare chi sono i destinatari dei dati, cioè i soggetti o le categorie di soggetti a cui i dati possono essere comunicati. Tipicamente rientrano fornitori di software gestionale e CRM, servizi cloud, piattaforme per prenotazioni e pagamenti, consulenti contabili e fiscali, società di manutenzione dei sistemi, compagnie assicurative in caso di sinistri, legali in caso di contenziosi, nonché personal trainer o fisioterapisti che operano all’interno del club, precisando se agiscono come responsabili del trattamento per conto della palestra o come titolari autonomi. Se i dati sono trasferiti fuori dallo Spazio Economico Europeo, per esempio perché il fornitore cloud ha server extra UE, devono essere indicate le garanzie adottate, come decisioni di adeguatezza o Clausole Contrattuali Standard, e come ottenerne copia.
È necessario indicare i periodi di conservazione in relazione alle diverse finalità o i criteri utilizzati per determinarli. Dati contrattuali e fatture in genere si conservano per i termini di legge in materia civile e fiscale; log di accesso e prenotazioni per un periodo proporzionato alla gestione del servizio e alla sicurezza; dati sanitari per il tempo strettamente necessario alla prestazione richiesta e alla dimostrazione della conformità, con cancellazione o anonimizzazione successiva; dati usati per marketing per un arco temporale limitato e coerente con il consenso; immagini di videosorveglianza normalmente per poche ore o giorni salvo esigenze particolari; dati relativi a sinistri per il tempo necessario alla gestione assicurativa e a eventuali contenziosi.
Devono essere descritti in maniera operativa i diritti riconosciuti all’interessato: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione ai trattamenti basati su interesse legittimo o per finalità di marketing, revoca del consenso in qualsiasi momento senza pregiudicare la liceità dei trattamenti già effettuati. È importante spiegare come esercitarli, i canali di contatto, i tempi di risposta e la possibilità di proporre reclamo all’Autorità Garante per la protezione dei dati personali, con i relativi recapiti. L’informativa deve chiarire se il conferimento dei dati è obbligatorio o facoltativo e le conseguenze del rifiuto: ad esempio, senza i dati essenziali per il contratto o senza il certificato medico quando richiesto dalla legge, l’iscrizione o l’accesso non possono essere concessi; la mancata prestazione del consenso al marketing non incide sul rapporto contrattuale.
Vanno illustrati i processi decisionali automatizzati, se presenti, e l’eventuale profilazione con le logiche impiegate e le conseguenze previste per l’interessato. Se si usano analisi delle preferenze di allenamento o della frequenza per proporre offerte o piani personalizzati, ciò deve essere detto in modo trasparente, indicando la base giuridica e la possibilità di opporsi. In caso di videosorveglianza, oltre all’informativa dettagliata accessibile su richiesta o via sito, deve essere presente cartellonistica sintetica nell’area ripresa, con indicazione del titolare e delle finalità di sicurezza.
Un’attenzione particolare deve essere riservata ai minori. Se la palestra ammette utenti sotto una certa età, occorre indicare la base giuridica adeguata e la necessità del consenso o dell’autorizzazione del genitore o di chi esercita la responsabilità genitoriale, compresa la modalità di verifica. Quando sono coinvolti professionisti esterni in qualità di titolari autonomi, come medici sportivi, è opportuno chiarire che essi forniscono una propria informativa separata.
È utile descrivere in termini comprensibili le misure di sicurezza adottate per proteggere i dati, come controlli di accesso basati su ruoli, cifratura dei dati a riposo e in transito, registrazione degli accessi ai sistemi, policy di retention e cancellazione sicura, formazione del personale, nonché la gestione di data breach con notifica quando richiesto. Se esistono funzionalità digitali aggiuntive, come app della palestra, integrazione con wearable o aree riservate sul sito, l’informativa principale dovrebbe collegarsi a informative specifiche per l’uso dei cookie, SDK e tracciatori, indicando le categorie di cookie, i terzi coinvolti e le scelte di consenso.
Infine, l’informativa deve specificare la data dell’ultimo aggiornamento, come verranno comunicate le modifiche rilevanti e dove è disponibile la versione corrente. È buona prassi fornire un testo chiaro, comprensibile e facilmente accessibile in fase di iscrizione e in ogni momento successivo, anche in formato digitale, assicurandosi che le persone possano davvero esercitare un controllo consapevole sui propri dati.
Esempio Informativa privacy palestra
Titolare del trattamento
– Denominazione o ragione sociale: _______________
– P. IVA/Codice fiscale: _______________
– Sede legale: _______________
– Sede operativa: _______________
– Recapiti: telefono _______________ email _______________ PEC _______________
– Sito web/app: _______________
– Contatto privacy/DPO: _______________
Categorie di dati trattati
– Dati anagrafici e identificativi: nome, cognome, data e luogo di nascita, codice fiscale, indirizzo, documento di identità, fotografia per tessera
– Dati di contatto: numero di telefono, indirizzo email, eventuali contatti di emergenza
– Dati contrattuali e di fruizione dei servizi: numero tessera, piani e abbonamenti, prenotazioni corsi, presenze e accessi, preferenze su orari e attività, note operative legate all’erogazione dei servizi
– Dati di pagamento e fatturazione: IBAN, estremi di pagamento, riferimenti a transazioni, anagrafica fiscale
– Dati relativi alla salute strettamente necessari: certificato di idoneità sportiva, informazioni su infortuni, patologie o allergie comunicate dall’interessato per la sicurezza durante l’attività
– Dati biometrici per controllo accessi, se adottati: _______________
– Immagini e dati di videosorveglianza, se presenti: _______________
– Dati di navigazione e cookie tramite sito/app (si rinvia alla cookie policy): indirizzi IP, log tecnici, identificativi online
– Preferenze di comunicazione e dati per finalità di marketing, se prestato il consenso
Finalità e basi giuridiche del trattamento
– Gestione delle richieste precontrattuali e dell’iscrizione alla palestra
Base giuridica: esecuzione di misure precontrattuali e del contratto
– Erogazione dei servizi di palestra e attività connesse (accessi, corsi, personal training, assistenza in sala, gestione appuntamenti)
Base giuridica: esecuzione del contratto
– Amministrazione, contabilità e adempimenti fiscali
Base giuridica: adempimento di obblighi legali
– Gestione del certificato di idoneità e delle informazioni sanitarie strettamente necessarie alla pratica sportiva in sicurezza
Base giuridica: adempimento di obblighi di legge e norme in materia sportiva e sanitaria e tutela della salute; in alternativa o in aggiunta, consenso esplicito
– Sicurezza degli ambienti, tutela del patrimonio e organizzazione degli accessi (inclusi registri accessi e, se presenti, sistemi di videosorveglianza)
Base giuridica: legittimo interesse del titolare alla sicurezza e prevenzione di atti illeciti, nel rispetto della normativa applicabile
– Gestione di sinistri e coperture assicurative
Base giuridica: esecuzione del contratto e legittimo interesse
– Customer care, sondaggi di soddisfazione, miglioramento dell’offerta
Base giuridica: legittimo interesse
– Marketing diretto (invio di comunicazioni promozionali via email, SMS, telefono, notifiche push) e newsletter
Base giuridica: consenso; per clienti già acquisiti, invio di comunicazioni su servizi analoghi con possibilità di opposizione
– Profilazione di base per personalizzare offerte e comunicazioni
Base giuridica: consenso
– Pubblicazione di immagini e contenuti relativi ad attività, eventi e gare su canali digitali e materiali promozionali
Base giuridica: consenso
– Utilizzo di dati biometrici per il controllo accessi
Base giuridica: consenso esplicito
– Accertamento, esercizio o difesa di un diritto in sede giudiziaria e prevenzione delle frodi
Base giuridica: legittimo interesse
Natura del conferimento dei dati
– Il conferimento dei dati necessari all’instaurazione ed esecuzione del rapporto contrattuale e all’adempimento di obblighi legali è obbligatorio; il mancato conferimento comporta l’impossibilità di fornire i servizi richiesti
– Il conferimento dei dati per finalità di marketing, profilazione, pubblicazione di immagini e uso di dati biometrici è facoltativo e l’eventuale diniego non pregiudica la fruizione dei servizi principali
Modalità del trattamento e sicurezza
– I dati sono trattati con strumenti manuali e informatici, secondo principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione
– Sono adottate misure tecniche e organizzative adeguate per proteggere i dati da accessi non autorizzati, alterazione, divulgazione o distruzione
– Non sono effettuate decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici, salvo diversa indicazione qui: _______________
Tempi di conservazione
– Dati contrattuali e amministrativo-contabili: durata del rapporto contrattuale e, successivamente, per _______________ anni
– Documentazione fiscale: _______________ anni
– Registri di accesso e log tecnici: _______________ mesi
– Dati relativi alla salute: per il tempo strettamente necessario alla finalità di sicurezza e conformità, e comunque non oltre _______________ anni dalla cessazione del rapporto
– Dati di marketing e newsletter: fino a revoca del consenso e comunque non oltre _______________ mesi/anni di inattività
– Dati di profilazione: _______________ mesi/anni
– Dati biometrici: modalità di conservazione e tempi _______________
– Videosorveglianza: tempi di conservazione delle immagini _______________ ore/giorni, salvo esigenze di ulteriore conservazione in caso di illeciti o richieste dell’autorità
Destinatari o categorie di destinatari dei dati
– Personale autorizzato del titolare incaricato dell’erogazione dei servizi e dell’assistenza clienti
– Fornitori di servizi in qualità di responsabili del trattamento: gestionali palestra e CRM, servizi cloud, manutenzione IT, piattaforme di prenotazione, servizi di pagamento, consulenti contabili e fiscali, consulenti legali, società di mailing e messaggistica, servizi di sicurezza e videosorveglianza, assicurazioni
– Soggetti terzi legittimati per legge o regolamento e autorità competenti su richiesta
– L’elenco aggiornato dei responsabili è disponibile inviando richiesta ai contatti sopra indicati
Trasferimenti di dati verso paesi extra UE/SEE
– Eventuali trasferimenti avvengono verso _______________ sulla base di decisioni di adeguatezza o, in mancanza, mediante garanzie appropriate quali clausole contrattuali standard e, se necessario, misure supplementari
– Informazioni dettagliate sui trasferimenti e sulle garanzie sono disponibili su richiesta
Videosorveglianza
– Finalità: sicurezza di persone e beni e tutela del patrimonio
– Base giuridica: legittimo interesse
– Ubicazione delle telecamere: _______________
– Tempi di conservazione: _______________
– Accesso alle immagini limitato a personale autorizzato e, se del caso, a fornitori incaricati e autorità competenti
Minori
– L’iscrizione di minori di anni _______________ richiede il consenso di chi esercita la responsabilità genitoriale
– Il consenso alla pubblicazione di immagini e alle attività di marketing riferite a minori è raccolto dal genitore o tutore
Diritti degli interessati
– Diritto di accesso ai dati personali e alle informazioni sul trattamento
– Diritto di rettifica dei dati inesatti o integrazione di quelli incompleti
– Diritto alla cancellazione nei casi previsti
– Diritto di limitazione del trattamento
– Diritto alla portabilità dei dati
– Diritto di opposizione al trattamento basato sul legittimo interesse e alle comunicazioni di marketing
– Diritto di revocare in qualsiasi momento i consensi prestati, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca
Esercizio dei diritti e reclami
– Per esercitare i diritti o per informazioni: email _______________ indirizzo postale _______________ DPO/contatto privacy _______________
– Reclamo all’Autorità Garante per la protezione dei dati personali: www.garanteprivacy.it, Piazza Venezia 11, 00187 Roma, tel. +39 06 69677 1, PEC protocollo@pec.gpdp.it
Social media e comunicazione esterna
– Gestione dei canali social: _______________
– Pubblicazione di immagini, video e contenuti relativi ad attività ed eventi avviene solo previa acquisizione di adeguo consenso, con possibilità di revoca in ogni momento
Cookie e tecnologie simili
– Per informazioni sul trattamento dei dati tramite cookie e strumenti analoghi si rinvia alla cookie policy disponibile su _______________
Controllo accessi e sistemi biometrici
– Tecnologie utilizzate: tessera/badge _______________ QR code _______________ biometria _______________
– Base giuridica per l’uso di dati biometrici: consenso esplicito
– Misure di sicurezza e tempi di conservazione: _______________
Aggiornamenti dell’informativa
– La presente informativa può essere soggetta a modifiche. Data di ultimo aggiornamento: _______________
Consensi facoltativi
– Consenso al marketing diretto tramite email, SMS, telefono, notifiche push: _______________
– Consenso alla profilazione per personalizzare offerte e comunicazioni: _______________
– Consenso alla comunicazione promozionale da parte di partner selezionati: _______________
– Consenso alla pubblicazione di immagini e contenuti su siti, social e materiali promozionali: _______________
– Consenso all’uso di dati biometrici per il controllo accessi: _______________