Privacy Policy
Ultimo aggiornamento: 1 aprile 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è Guido Guaschino, con sede in Via Matteo Pescatore 2, 10124 Torino (TO), P.IVA 13363310015.
Per qualsiasi richiesta relativa al trattamento dei dati personali, puoi contattare il Titolare all'indirizzo email: info@guido.yoga.
2. Dati personali raccolti
Il sito raccoglie le seguenti categorie di dati personali, in base al servizio utilizzato:
2.1 Dati di registrazione e autenticazione
- Numero di telefono — utilizzato come identificativo principale per l'accesso al servizio tramite OTP (One-Time Password) via SMS
- Nome e cognome — raccolti al momento della prenotazione o della registrazione del profilo
- Indirizzo email — raccolto per l'invio delle conferme di prenotazione, ricevute e comunicazioni relative al servizio
2.2 Dati relativi alle prenotazioni
- Classe o evento prenotato, data e orario
- Codice di prenotazione univoco
- Metodo di pagamento utilizzato (carta di credito/debito, PayPal, carnet ingressi, prima classe gratuita)
- Importo pagato
- Stato della prenotazione (confermata, cancellata)
2.3 Dati relativi ai carnet
- Tipo di carnet acquistato e numero di crediti
- Crediti rimanenti
- Riferimenti al pagamento (identificativi Stripe o PayPal, mai i dati completi della carta)
2.4 Dati del modulo di contatto
- Nome, email, numero di telefono e testo del messaggio inseriti nel modulo della pagina Contatti
- Questi dati non vengono salvati nel database ma inoltrati direttamente all'indirizzo email del Titolare
2.5 Dati di fatturazione
- Codice fiscale — raccolto per l'emissione della fattura elettronica, come previsto dalla normativa fiscale italiana
- Indirizzo di fatturazione (via, CAP, città, provincia) — raccolto per l'emissione della fattura elettronica
Questi dati sono richiesti esclusivamente in caso di pagamento con carta di credito o PayPal e vengono salvati nel profilo dell'utente per evitare la reinserzione ad ogni acquisto.
2.6 Dati di navigazione e tecnici
- Indirizzo IP
- Tipo di browser e sistema operativo
- Pagine visitate e orari di accesso
- Dati raccolti automaticamente dall'infrastruttura di hosting (Vercel)
3. Finalità e base giuridica del trattamento
I dati personali sono trattati per le seguenti finalità:
| Finalità | Base giuridica |
|---|---|
| Gestione delle prenotazioni di classi ed eventi | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Elaborazione dei pagamenti | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Invio di conferme, ricevute e notifiche relative al servizio | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Autenticazione tramite OTP | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Gestione del carnet ingressi | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Gestione della lista d'attesa | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Risposte al modulo di contatto | Consenso dell'interessato (Art. 6.1.a GDPR) |
| Registrazione delle attività del sistema (log di sicurezza) | Legittimo interesse (Art. 6.1.f GDPR) |
| Emissione di fatture elettroniche | Obbligo legale (Art. 6.1.c GDPR) |
| Adempimento di obblighi fiscali e legali | Obbligo legale (Art. 6.1.c GDPR) |
| Analisi aggregata del traffico web | Legittimo interesse (Art. 6.1.f GDPR) |
| Analisi delle sessioni di navigazione e registrazione sessione (PostHog) | Consenso dell'interessato (Art. 6.1.a GDPR) |
| Misurazione efficacia campagne pubblicitarie su Meta — Facebook/Instagram (Meta Pixel + Conversions API) | Consenso dell'interessato (Art. 6.1.a GDPR) |
4. Modalità del trattamento
I dati personali sono trattati con strumenti automatizzati e conservati in formato digitale. Il Titolare adotta misure di sicurezza tecniche e organizzative adeguate per proteggere i dati da accesso non autorizzato, perdita, distruzione o danneggiamento, tra cui:
- Comunicazioni crittografate tramite protocollo HTTPS/TLS
- Autenticazione tramite OTP (nessuna password conservata)
- Mascheramento dei dati sensibili nei log di sistema (numeri di telefono e indirizzi email parzialmente oscurati)
- Accesso ai dati di amministrazione riservato esclusivamente al Titolare tramite autenticazione protetta
- Separazione delle chiavi di accesso ai servizi terzi (chiavi API non esposte al client)
5. Servizi terzi e destinatari dei dati
Per l'erogazione del servizio, il Titolare si avvale dei seguenti fornitori terzi, che agiscono in qualità di Responsabili del trattamento ai sensi dell'Art. 28 GDPR:
5.1 Supabase Inc.
Servizio di database, autenticazione e storage. I dati degli utenti (profilo, prenotazioni, carnet) sono conservati nei database gestiti da Supabase. L'autenticazione OTP via SMS è gestita tramite il servizio di verifica integrato di Supabase.
Privacy Policy: supabase.com/privacy
5.2 Stripe, Inc.
Servizio di elaborazione dei pagamenti con carta di credito e debito. I dati della carta vengono gestiti direttamente da Stripe e non transitano né vengono conservati sui server del Titolare. Stripe è certificato PCI DSS Level 1.
Privacy Policy: stripe.com/privacy
5.3 PayPal (Europe) S.à r.l. et Cie, S.C.A.
Servizio di elaborazione dei pagamenti tramite conto PayPal. I dati di pagamento vengono gestiti direttamente da PayPal.
Privacy Policy: paypal.com/privacy
5.4 Twilio Inc.
Servizio di invio SMS per le conferme di prenotazione e le notifiche della lista d'attesa. I numeri di telefono degli utenti vengono trasmessi a Twilio per la consegna dei messaggi.
Privacy Policy: twilio.com/privacy
5.5 Resend Inc.
Servizio di invio email transazionali per le conferme di prenotazione, le ricevute di acquisto carnet e le risposte al modulo di contatto. Gli indirizzi email degli utenti vengono trasmessi a Resend per la consegna delle comunicazioni.
Privacy Policy: resend.com/privacy
5.6 Fatture in Cloud (TeamSystem S.p.A.)
Servizio di fatturazione elettronica utilizzato per l'emissione delle fatture relative ai pagamenti effettuati con carta di credito o PayPal. I dati trasmessi includono nome, cognome, codice fiscale e indirizzo di fatturazione dell'utente, nonché l'importo pagato.
Privacy Policy: fattureincloud.it/privacy
5.7 Google Maps Platform (Google LLC)
Servizio di autocompletamento degli indirizzi utilizzato nel modulo di fatturazione per facilitare l'inserimento dell'indirizzo. Google può raccogliere dati tecnici relativi all'utilizzo del servizio.
Privacy Policy: policies.google.com/privacy
5.8 PostHog Inc.
Servizio di analisi del comportamento degli utenti e registrazione delle sessioni di navigazione, utilizzato esclusivamente per finalità di miglioramento dell'esperienza utente e risoluzione di problemi tecnici. PostHog registra le interazioni dell'utente con il sito (click, scroll, navigazione tra pagine) in forma anonimizzata, con mascheramento automatico dei campi di input.
Il servizio è attivo solo previo consenso esplicito dell'utente, espresso tramite il banner informativo mostrato alla prima visita. In assenza di consenso, nessun dato viene raccolto né trasmesso a PostHog.
Privacy Policy: posthog.com/privacy
5.9 Meta Platforms Ireland Ltd.
Servizio di misurazione dell'efficacia delle campagne pubblicitarie sui social network Facebook e Instagram, fornito attraverso lo strumento Meta Pixel (lato browser) e l'API Conversions API (lato server). Il Titolare utilizza questi strumenti per misurare le conversioni generate dalle proprie campagne pubblicitarie e ottimizzarne l'efficacia.
I dati trasmessi a Meta includono: pagine visitate, evento di visita alla scheda di una classe, evento di prenotazione confermata (con identificativo anonimo della prenotazione, importo, tipo di servizio). Sono inoltre trasmessi dati identificativi dell'utente (indirizzo email, numero di telefono, nome, cognome) irreversibilmente cifrati con algoritmo SHA-256 prima dell'invio: i valori in chiaro non vengono mai trasmessi a Meta. La cifratura SHA-256 consente a Meta di riconoscere se l'utente ha un account Facebook/Instagram senza accedere ai dati personali in chiaro.
Il servizio è attivo solo previo consenso esplicito dell'utente alla categoria "Marketing", espresso tramite il banner cookie mostrato alla prima visita. In assenza di consenso, nessun dato viene trasmesso a Meta né dal browser né dai server del Titolare. L'utente può modificare in qualsiasi momento le proprie preferenze utilizzando il link "Gestisci cookie" presente nel footer del sito.
Cookie utilizzati da Meta sul dispositivo dell'utente (impostati solo dopo
consenso): _fbp (identificativo browser, durata 90 giorni), _fbc (identificativo click su annuncio, durata 90 giorni).
Privacy Policy: facebook.com/privacy/policy
5.10 Vercel Inc.
Servizio di hosting e distribuzione del sito web. Vercel può raccogliere automaticamente dati tecnici di navigazione (indirizzo IP, tipo di browser) per garantire il funzionamento e la sicurezza dell'infrastruttura.
Il Titolare utilizza inoltre Vercel Web Analytics, un servizio di analisi del traffico web first-party che raccoglie dati aggregati e anonimi sulle visite al sito (pagine visitate, provenienza del traffico, paese di origine, tipo di dispositivo e browser). Vercel Web Analytics non utilizza cookie di profilazione e non traccia i singoli utenti tra siti diversi.
Privacy Policy: vercel.com/privacy
6. Cookie e tecnologie di tracciamento
Il sito utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio:
- Cookie di sessione — Gestisce l'autenticazione dell'utente dopo il login tramite OTP. Contiene il token di accesso crittografato. Durata: per la sessione di navigazione, con rinnovo automatico.
Analisi del traffico web
Il sito utilizza Vercel Web Analytics per raccogliere statistiche aggregate sul traffico web (pagine visitate, provenienza, tipo di dispositivo). Questo servizio è first-party, non utilizza cookie di profilazione né tracciamento comportamentale, e non condivide i dati con terze parti per finalità pubblicitarie. I dati raccolti sono aggregati e anonimi. Base giuridica: legittimo interesse del Titolare (Art. 6.1.f GDPR) al monitoraggio del funzionamento e dell'utilizzo del sito.
Cookie di analisi e registrazione sessione (previo consenso)
Il sito può utilizzare PostHog, un servizio di analisi e registrazione delle sessioni di navigazione, che impiega cookie di prima parte per identificare le sessioni e raccogliere dati sulle interazioni dell'utente (click, scroll, navigazione tra pagine).
Questi cookie vengono installati esclusivamente previo consenso esplicito dell'utente, espresso tramite il banner informativo mostrato alla prima visita al sito. L'utente può accettare o rifiutare l'installazione di tali cookie. In caso di rifiuto, nessun cookie di analisi viene installato e nessun dato di navigazione viene trasmesso a PostHog. Base giuridica: consenso dell'interessato (Art. 6.1.a GDPR).
I dati raccolti includono: pagine visitate, interazioni con gli elementi della pagina, registrazione visuale della sessione di navigazione. I campi di input sono automaticamente mascherati. I dati sono conservati per un massimo di 90 giorni.
Cookie di marketing e misurazione campagne (previo consenso)
Il sito può utilizzare il Meta Pixel e la Meta Conversions API per misurare l'efficacia delle
campagne pubblicitarie su Facebook e Instagram (vedi sezione 5.9). I
cookie installati da Meta (_fbp, _fbc) e i dati
trasmessi al server di Meta vengono installati/trasmessi esclusivamente previo consenso esplicito dell'utente alla
categoria "Marketing", espresso tramite il banner cookie. In
assenza di consenso, nessun cookie Meta viene installato e nessun dato
viene trasmesso a Meta (né dal browser né dai server del Titolare). Base
giuridica: consenso dell'interessato (Art. 6.1.a GDPR).
Il sito non utilizza Google Analytics né altri strumenti di profilazione pubblicitaria di terze parti oltre a Meta.
I cookie strettamente tecnici (sessione di autenticazione) non richiedono il consenso preventivo dell'utente ai sensi dell'Art. 122 del Codice Privacy e delle Linee Guida del Garante per la protezione dei dati personali del 10 giugno 2021.
7. Conservazione dei dati
I dati personali sono conservati per i seguenti periodi:
| Tipologia di dato | Periodo di conservazione |
|---|---|
| Dati del profilo utente (nome, telefono, email) | Fino alla richiesta di cancellazione da parte dell'interessato |
| Dati di fatturazione (codice fiscale, indirizzo) | 10 anni dall'emissione della fattura (obblighi fiscali ex Art. 2220 c.c.) |
| Dati delle prenotazioni | 10 anni dalla data della prenotazione (obblighi fiscali) |
| Dati dei carnet | 10 anni dalla data di acquisto (obblighi fiscali) |
| Dati della lista d'attesa | 7 giorni dalla notifica di disponibilità, poi eliminati automaticamente |
| Log di sistema | 12 mesi dalla registrazione |
| Dati del modulo di contatto | Non conservati nel database (inoltrati via email e soggetti alla retention dell'account email del Titolare) |
8. Trasferimento dei dati fuori dall'UE
Alcuni dei fornitori terzi di cui il Titolare si avvale hanno sede negli Stati Uniti d'America (Supabase, Stripe, Twilio, Resend, Vercel, Google, PostHog, Meta). Il trasferimento dei dati verso tali soggetti avviene sulla base di:
- EU-U.S. Data Privacy Framework — i fornitori sopra indicati aderiscono al Data Privacy Framework, riconosciuto dalla Commissione Europea con decisione di adeguatezza del 10 luglio 2023 (C(2023) 4745), come meccanismo idoneo a garantire un livello adeguato di protezione dei dati personali trasferiti dall'UE agli USA.
- Clausole contrattuali standard (SCC) — ove applicabile, i contratti con i fornitori includono le clausole contrattuali standard approvate dalla Commissione Europea.
9. Diritti dell'interessato
Ai sensi degli articoli 15-22 del Regolamento UE 2016/679 (GDPR), in qualità di interessato hai il diritto di:
- Accesso — ottenere conferma dell'esistenza di un trattamento dei tuoi dati e accedere al loro contenuto
- Rettifica — ottenere la correzione dei dati inesatti o l'integrazione dei dati incompleti
- Cancellazione — ottenere la cancellazione dei tuoi dati personali, nei limiti previsti dalla legge
- Limitazione — ottenere la limitazione del trattamento nei casi previsti dall'Art. 18 GDPR
- Portabilità — ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico
- Opposizione — opporti al trattamento dei tuoi dati personali per motivi legati alla tua situazione particolare
- Revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Per esercitare i tuoi diritti, puoi inviare una richiesta a info@guido.yoga.
Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
10. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento. Si consiglia di consultare periodicamente questa pagina per essere informati su eventuali modifiche.