Privacy Policy

Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR).
Ultimo aggiornamento: 7 maggio 2026

1. Titolare del trattamento

GP Economy S.R.L.S.
Via San Francesco da Paola, 71 — 89127 Reggio Calabria (RC), Italia
P.IVA: 03330180807 · Codice univoco: M5UXCR1
PEC: [email protected]
Email: [email protected]

2. Tipologie di dati trattati

Irox è una piattaforma SaaS per la gestione di circoli sportivi. I dati personali raccolti dipendono dal ruolo dell'interessato:

Gestori del circolo (clienti Irox)

Dati identificativi: nome, cognome, denominazione del circolo
Dati di contatto: indirizzo email, numero di telefono, indirizzo del circolo
Dati di fatturazione: P.IVA, codice fiscale, indirizzo di fatturazione, codice univoco SDI
Dati di accesso: email, password (memorizzata in forma cifrata bcrypt)
Dati di pagamento (gestiti tramite Stripe — vedi sezione 5.bis): identificativo cliente Stripe, identificativo abbonamento, ultime 4 cifre della carta. Numero carta completo, CVV e scadenza non transitano dai sistemi Irox.

Iscritti dei circoli (utenti finali)

I dati degli iscritti sono raccolti e gestiti dal singolo circolo, che agisce come Titolare autonomo del trattamento. GP Economy S.R.L.S. opera in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR. I dati comprendono tipicamente:

Nome, cognome, email, telefono, data di nascita
Storico prenotazioni, partecipazione a corsi e lezioni
Saldo del credito prepagato (wallet) e movimenti
Eventuale stato di tessera socio
Per i pagamenti online (piano Top): identificativo transazione Stripe, importo, esito. Numero carta, CVV e scadenza non transitano dai sistemi Irox.

Dati di navigazione

I sistemi informatici e i log raccolgono in via automatica alcuni dati la cui trasmissione è implicita nei protocolli Internet (indirizzi IP, tipo di browser, sistema operativo, data e ora di richiesta). Tali dati sono utilizzati al solo fine di garantire il funzionamento e la sicurezza del servizio.

3. Finalità del trattamento e basi giuridiche

Finalità	Base giuridica
Erogazione del servizio Irox	Esecuzione del contratto (art. 6.1.b GDPR)
Elaborazione dei pagamenti (canone SaaS, ricariche wallet, prenotazioni)	Esecuzione del contratto (art. 6.1.b GDPR)
Adempimenti fiscali e contabili	Obbligo legale (art. 6.1.c GDPR)
Comunicazioni di servizio (notifiche, rinnovi, manutenzione)	Esecuzione del contratto (art. 6.1.b GDPR)
Sicurezza informatica e prevenzione frodi	Legittimo interesse (art. 6.1.f GDPR)
Comunicazioni commerciali e marketing	Consenso esplicito (art. 6.1.a GDPR)

4. Modalità del trattamento

I dati sono trattati con strumenti elettronici, adottando misure tecniche e organizzative adeguate a garantire la sicurezza, l'integrità e la riservatezza. In particolare:

Comunicazioni cifrate tramite TLS/HTTPS (HSTS abilitato)
Password memorizzate con algoritmo bcrypt (mai in chiaro)
Credenziali sensibili (chiavi API, token SMTP) cifrate at-rest con Fernet (AES-128 + HMAC-SHA256)
Database separati e isolati per ogni circolo cliente (multi-tenancy con isolamento per dominio)
Accesso ai dati limitato al personale autorizzato e tracciato in log di audit
Backup regolari e procedure di disaster recovery
Nessun dato di pagamento (numero carta, CVV, scadenza) transita o è memorizzato sui nostri sistemi: tutto il flusso di pagamento avviene su pagine ospitate da Stripe (gateway PCI-DSS Level 1)

5. Soggetti autorizzati e responsabili esterni

I dati possono essere trattati dai seguenti soggetti, debitamente nominati responsabili esterni del trattamento ai sensi dell'art. 28 GDPR:

Fornitore	Servizio	Sede
Hetzner Online GmbH	Hosting cloud (server applicativi e database)	Germania (UE)
Cloudflare, Inc.	CDN, DNS, protezione DDoS, certificati SSL	USA — DPF certificato
Stripe Payments Europe Ltd	Elaborazione pagamenti con carta (Visa, Mastercard, Amex, Apple Pay, Google Pay) e gestione abbonamenti	Irlanda (UE) — gruppo Stripe Inc. (USA, DPF certificato)
Zoho Corporation B.V.	Server SMTP per invio email transazionali e commerciali	Paesi Bassi (UE) / India (gruppo Zoho)

Per i trasferimenti verso paesi extra-UE, le garanzie sono assicurate dall'adesione al Data Privacy Framework (DPF) e/o da Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

5.bis Dati di pagamento (Stripe)

Quando effettui un pagamento online tramite Irox, i dati della carta di credito vengono inseriti direttamente sul gateway sicuro di Stripe (checkout.stripe.com) e NON transitano dai sistemi Irox. Stripe agisce come Titolare autonomo per i dati di pagamento e Responsabile per i metadati della transazione. Stripe è certificato PCI-DSS Service Provider Level 1, lo standard più alto del settore.

I dati che Irox riceve dopo il pagamento sono limitati a: identificativo della transazione, importo, ultime 4 cifre della carta, brand (Visa/Mastercard/etc.), nome del titolare e indirizzo email. Nessun dato sensibile (numero carta completo, CVV, scadenza) è mai memorizzato.

Per ulteriori informazioni sulla privacy policy di Stripe: stripe.com/it/privacy

6. Periodo di conservazione

Dati account attivo: per tutta la durata del rapporto contrattuale
Dati account chiuso: 30 giorni dalla chiusura, poi cancellazione (salvo obblighi legali)
Dati di fatturazione: 10 anni (obbligo civilistico)
Log di sicurezza: 12 mesi

7. Diritti dell'interessato

In ogni momento puoi esercitare i seguenti diritti, previsti dagli artt. 15-22 GDPR:

Accesso: ottenere conferma e copia dei tuoi dati
Rettifica: correggere dati inesatti o incompleti
Cancellazione: richiedere l'eliminazione dei dati ("diritto all'oblio")
Limitazione: limitare il trattamento in determinati casi
Portabilità: ricevere i dati in formato strutturato e leggibile
Opposizione: opporti al trattamento per motivi legittimi
Revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento già effettuato

Per esercitare i tuoi diritti, scrivi a [email protected]. La risposta verrà fornita entro 30 giorni.

8. Reclamo all'Autorità Garante

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Modifiche alla presente informativa

Ci riserviamo il diritto di modificare questa informativa per adeguarla a sopravvenute modifiche normative o organizzative. Le modifiche saranno pubblicate su questa pagina e segnalate ai clienti via email.