FermoUnAttimo
Privacy

Informativa sulla privacy

Cosa raccogliamo, perché, dove finiscono i dati, quanto li teniamo, come puoi controllarli e cancellarli. Aggiornata al 25 aprile 2026.

AGGIORNATO · 25 APRILE 2026

01Titolare del trattamento

The Cove Srl, Via Giuseppe Verdi 12, 24121, Bergamo, Italia - PIVA: IT04482370162

Per qualsiasi richiesta in materia di protezione dati personali puoi scrivere a info@fermounattimo.it. Rispondiamo entro 30 giorni come previsto dall'art. 12 GDPR.

Non abbiamo nominato un Responsabile della Protezione dei Dati (DPO) in quanto non rientriamo nei casi obbligatori previsti dall'art. 37 GDPR (trattamento su larga scala di categorie particolari, monitoraggio sistematico, autorità pubblica).

02Quali dati raccogliamo e quando

Navigazione anonima (palestre, esempi di esercizio, lettura guide, /verifica/[codice]): nessun dato identificativo. Settiamo solo cookie tecnici (vedi /cookie) e — al primo ingresso — un identificativo casuale (fua_anonymous_id) usato esclusivamente per registrare le tue scelte sul banner cookie.

Registrazione e accesso (magic link via /entra): email. Per ogni accesso generiamo un token monouso valido 15 minuti.

Esame e progressi: tentativi d'esame (data, risposte, punteggio), avanzamento sulle palestre. Conservati per renderti possibile riprendere quando vuoi.

Acquisto certificato o regalo: nome, cognome, email. Il pagamento è gestito da Stripe — non vediamo né conserviamo i dati della carta. Per il regalo, opzionalmente: email del destinatario, nome del destinatario, messaggio personale.

Certificato emesso: codice di verifica pubblico (es. fermounattimo.it/verifica/abc123) che mostra solo nome, punteggio e data; nessuna informazione di contatto.

Banner cookie: ogni tua scelta (accetta/rifiuta/personalizza/revoca) viene registrata con timestamp, hash dell'IP (SHA-256 + sale, non reversibile), user agent, versione policy. Serve a dimostrare il consenso in caso di audit (art. 7.1 GDPR).

Email di recovery (carrello abbandonato): se inizi un acquisto e non lo completi entro 24 ore, possiamo inviarti un'email per ricordartelo. La conservazione del Payment in stato 'created' è la base legale (art. 6.1.b — esecuzione contratto).

Segnalazioni (/segnala): testi e materiale che ci invii volontariamente. Anonimizzati prima di qualunque ripubblicazione.

03Base giuridica del trattamento

Esecuzione del contratto (art. 6.1.b GDPR): elaborazione pagamenti, emissione certificato/codice regalo, invio email transazionali correlate (conferma acquisto, magic link, codice regalo, email di recovery del carrello abbandonato).

Obbligo legale (art. 6.1.c GDPR): conservazione fatture per 10 anni come previsto dal DPR 633/72 e dal Codice Civile per documenti fiscali e contabili.

Consenso esplicito (art. 6.1.a GDPR): cookie analytics (Google Analytics 4 via Google Tag Manager), eventuali cookie di marketing (oggi non attivi, predisposti per attivazione futura), inclusione in BCC dell'invito Trustpilot a recensire dopo l'emissione del certificato. Puoi revocare in qualsiasi momento dalla pagina /cookie.

Legittimo interesse (art. 6.1.f GDPR): sicurezza informatica e prevenzione frodi (log tecnici di accesso, controlli antifrode di Stripe), prevenzione abusi del banner cookie (rate-limit su consensi), miglioramento del prodotto attraverso aggregati anonimi sulle palestre.

04Cookie e tecnologie simili

Usiamo cookie strettamente necessari (sessione, autenticazione, ID anonimo per il log consensi, preferenze cookie) che non richiedono consenso ai sensi dell'art. 122 del Codice Privacy italiano.

Con il tuo consenso analytics attiviamo Google Analytics 4, integrato attraverso Google Tag Manager (container GTM-TP33JL6W). Misuriamo pagine visitate, eventi di prodotto (avvio esame, completamento, acquisto), provenienza del traffico. Implementiamo Consent Mode v2 di Google: senza opt-in nessun cookie analytics viene impostato.

Con il tuo consenso marketing — non attivo oggi, ma previsto per remarketing futuri — attiveremo cookie di Google Ads e Meta Pixel. Verrai notificato al cambio di policy.

L'elenco completo, con TTL e finalità di ogni cookie, è in /cookie. Puoi modificare in qualsiasi momento le tue scelte cliccando 'Modifica preferenze cookie' nella stessa pagina, o usando l'endpoint /api/consent/me.

05Fornitori (Responsabili esterni del trattamento)

Stripe Payments Europe Limited (Irlanda), controllata da Stripe Inc. (USA): elaborazione pagamenti (art. 28 GDPR — Data Processing Agreement). Trattiene per il tempo strettamente necessario nome, email, ultime 4 cifre della carta, importo e identificativo della transazione. Informativa: stripe.com/privacy.

Twilio Inc. (USA) tramite SendGrid (subuser EU data residency): invio email transazionali (magic link, conferma acquisto, codice regalo, certificato, recovery). Configurato con 'Signed Event Webhook' per delivery tracking. Informativa: twilio.com/legal/privacy.

Google Ireland Limited (Irlanda) e Google LLC (USA): Analytics 4, Tag Manager, Measurement Protocol per eventi server-side. Solo in presenza di consenso analytics. Informativa: policies.google.com/privacy. Configurazione: data retention 14 mesi, IP anonimizzato, signal reporting disattivato.

Hetzner Online GmbH (Germania): hosting del server, database PostgreSQL, Object Storage S3-compatibile per i PDF dei certificati. Trasferimento dati interamente all'interno dell'Unione Europea. Informativa: hetzner.com/legal/privacy-policy.

Trustpilot A/S (Danimarca + UK): raccolta recensioni post-acquisto. Quando ricevi l'email di certificato emesso o di codice regalo generato, mettiamo Trustpilot in copia (BCC) all'indirizzo dedicato fermounattimo.it+5348c5dfcf@invite.trustpilot.com — solo se hai dato consenso analytics o se hai completato un acquisto (legittimo interesse + base contrattuale). Trustpilot ti scriverà ~7 giorni dopo per chiederti una recensione, sempre con possibilità di disiscrizione. Informativa: trustpilot.com/privacy.

Atlassian Pty Ltd (Bitbucket, repo del codice sorgente): non riceve mai dati di utenti finali, solo codice e configurazioni di deployment. Informativa: atlassian.com/legal/privacy-policy.

06Trasferimenti extra-SEE

Stripe, Google, Twilio/SendGrid trattano dati anche su server statunitensi. Tali trasferimenti avvengono sulla base di:

(a) Standard Contractual Clauses (SCC) della Commissione Europea, integrate dalle clausole supplementari raccomandate dall'EDPB (Recommendations 01/2020).

(b) Adesione al Data Privacy Framework (DPF) UE-USA per i fornitori certificati (Stripe Inc., Google LLC, Twilio Inc.). La decisione di adeguatezza UE per il DPF è in vigore dal 10 luglio 2023.

Hetzner, Trustpilot e Atlassian operano in ambito SEE / Regno Unito (per il quale la Commissione UE ha emesso decisione di adeguatezza il 28 giugno 2021).

Su richiesta scritta a info@fermounattimo.it forniamo copia delle SCC sottoscritte e dell'evidenza dell'iscrizione DPF dei nostri fornitori.

07Conservazione dei dati

Dati account utente (email, nome, cognome): finché l'account è attivo. Cancellazione su richiesta scritta a info@fermounattimo.it (entro 30 giorni, salvo dati sotto obbligo fiscale).

Dati di pagamento e fatturazione: 10 anni dall'emissione, come previsto dalla normativa fiscale italiana (DPR 633/72, art. 2220 c.c.). Pseudonimizzati dopo 5 anni dove tecnicamente possibile.

Tentativi d'esame e progressi: finché l'account è attivo. Anonimizzati alla cancellazione dell'account.

Codici regalo: 12 mesi dall'emissione (scadenza). Dopo lo scadere, vengono anonimizzati ma resta traccia della transazione di pagamento per obblighi fiscali.

Log consensi (ConsentLog): 24 mesi dall'ultimo consenso registrato. Dopo, eliminati definitivamente. L'IP è già pseudonimizzato all'origine (SHA-256 + sale).

Email di recovery (EmailCampaign): 24 mesi dall'invio. Includono sentAt, deliveredAt, openedAt, firstClickAt, convertedAt e l'email del destinatario. Servono a misurare l'efficacia della comunicazione e per audit fiscale legato al pagamento associato.

Log tecnici (accessi server, errori applicativi): 30 giorni, salvo log di sicurezza relativi a tentativi di abuso, conservati fino a 12 mesi.

Dati Google Analytics 4: 14 mesi (data retention impostata via Admin → Data Settings → Data Retention).

Segnalazioni a /segnala: anonimizzate prima di eventuale ripubblicazione, eliminate i metadati personali entro 30 giorni dalla ricezione se non rilevanti.

08I tuoi diritti (art. 15-22 GDPR)

Diritto di accesso (art. 15): puoi chiedere copia dei tuoi dati personali via info@fermounattimo.it. Per il log consensi specifico, puoi consultare in qualsiasi momento /api/consent/me.

Diritto di rettifica (art. 16): puoi correggere nome/cognome direttamente in /account/modifica. Per altri dati scrivi a info@fermounattimo.it.

Diritto alla cancellazione, 'diritto all'oblio' (art. 17): cancellazione su richiesta, eccetto dove sussistano obblighi legali (es. fatturazione: 10 anni). Dopo la cancellazione, i dati di tentativi d'esame e progressi vengono anonimizzati.

Diritto di limitazione del trattamento (art. 18) e diritto di opposizione (art. 21): scrivi a info@fermounattimo.it.

Diritto alla portabilità (art. 20): possiamo fornirti l'esportazione dei tuoi dati in formato JSON.

Revoca del consenso (art. 7.3): in qualsiasi momento e senza pregiudizio dei trattamenti svolti prima della revoca. Per i cookie analytics/marketing, usa la pagina /cookie. Per il consenso BCC Trustpilot, scrivi a info@fermounattimo.it.

Reclamo all'autorità di controllo (art. 77): hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it) o all'autorità di un altro Stato membro UE in cui risiedi.

09Sicurezza

Crittografia in transito tramite TLS 1.2+ (certificati Let's Encrypt) per tutte le comunicazioni con il sito.

Crittografia a riposo per database e Object Storage (Hetzner Encryption-at-Rest).

Pseudonimizzazione: l'IP nel log consensi è SHA-256 con sale segreto, non reversibile.

Autenticazione: magic link via email a uso singolo, scadenza 15 minuti. Password mai memorizzate.

Token di sessione: JWT firmati HS256 con segreto a rotazione, conservati in cookie HttpOnly + SameSite=Lax.

Backup giornalieri del database con conservazione 30 giorni. Test di restore mensili.

In caso di violazione di dati personali (data breach) ai sensi dell'art. 33 GDPR, notifichiamo al Garante entro 72 ore e — se l'incidente comporta rischio elevato — anche agli interessati come da art. 34 GDPR.

10Minori

Il servizio è destinato a maggiorenni. Non raccogliamo consapevolmente dati di minori di 16 anni. Se sei un genitore o tutore e ritieni che ci abbia contattato un minore, scrivi a info@fermounattimo.it: cancelleremo i dati nel più breve tempo possibile.

11Modifiche a questa informativa

Possiamo aggiornare l'informativa per riflettere modifiche al servizio, ai fornitori o alla normativa. La versione vigente è sempre quella pubblicata su /privacy con la data di ultimo aggiornamento in cima alla pagina.

Modifiche sostanziali (nuovi processor, nuove categorie di dati, nuove finalità) verranno comunicate con anticipo via email agli utenti registrati e tramite avviso in homepage. Per i cookie, un cambio di policyVersion fa riapparire il banner di consenso (re-prompt).

Chi siamoPer aziendeContattiPrivacyTerminiCookie
© 2026 FERMOUNATTIMO