Bolty

Informativa sulla privacy

Data di efficacia: 4 marzo 2026

1. Titolare del trattamento

Bolty è pubblicato da Robin Baret, persona fisica.

Email di contatto: [email protected]

Hosting: Railway (server situati in Europa).

2. Dati raccolti

Bolty raccoglie i seguenti dati nell'ambito della fornitura del servizio:

2.1 Account utente

  • Indirizzo email
  • Password (hashata con bcrypt — mai memorizzata in chiaro)
  • Identificativi Apple Sign-In o Google Sign-In (identificativo univoco fornito dal provider)

2.2 Profilo corridore

  • Nome
  • Età
  • Peso
  • Livello ed esperienza nella corsa
  • Motivazioni e obiettivo di corsa
  • Zone di frequenza cardiaca
  • Giorni di allenamento preferiti

2.3 Attività sportive

  • Metadati: distanza, durata, passo medio, frequenza cardiaca, cadenza, dislivello
  • Stream secondo per secondo: GPS, frequenza cardiaca, passo, altitudine, cadenza
  • Tracciato GPS (polyline codificata)
  • Dati dei giri (laps)
  • Dati di localizzazione GPS in tempo reale (durante l'uso del tracking integrato dal telefono)

2.4 Sensazioni post-corsa

  • Valutazione dello sforzo percepito (RPE)
  • Sensazioni fisiche
  • Note libere dell'utente

2.5 Piani di allenamento

  • Piani generati dall'intelligenza artificiale
  • Sessioni pianificate e il loro stato

2.6 Analisi coach IA

  • Testi e dati strutturati generati dall'IA
  • Storico delle domande-risposte con il coach

2.7 Dati tecnici

  • Token di autenticazione Strava (cifrati nel database)
  • Token di autenticazione Garmin Connect (cifrati nel database)
  • Token di notifica push (Expo)

2.8 Dati di utilizzo e analytics

  • Eventi di navigazione nell'applicazione (schermate visitate, fasi dell'onboarding completate)
  • Azioni chiave: sottoscrizione, connessione di una fonte di attività, consultazione di un'analisi
  • Piattaforma (iOS/Android) e versione dell'applicazione

Questi dati sono raccolti in forma pseudonimizzata tramite PostHog (ospitato in Europa) e non vengono mai rivenduti a terzi. Servono unicamente a migliorare l'esperienza utente e a identificare i punti di attrito nell'applicazione.

3. Base giuridica del trattamento

  • Esecuzione del contratto (articolo 6.1.b del GDPR): il trattamento dei dati è necessario per la fornitura del servizio Bolty (analisi delle corse, generazione di piani, monitoraggio della progressione).
  • Consenso (articolo 6.1.a del GDPR): per le notifiche push, l'accesso alla localizzazione GPS (tracking integrato) e la connessione a servizi terzi (Strava, Garmin Connect, Apple Salute). Puoi revocare il tuo consenso in qualsiasi momento.

4. Sub-responsabili e terzi

Alcuni dati sono condivisi con i seguenti fornitori, nell'ambito stretto della fornitura del servizio:

Fornitore di intelligenza artificiale (USA)

Finalità : analisi IA delle attività e generazione di piani di allenamento.

Dati trasmessi : profilo utente e metriche aggregate. Gli stream GPS grezzi non vengono trasmessi.

Strava (USA)

Finalità : importazione di attività tramite OAuth 2.0 in sola lettura (scope activity:read_all).

Dati trasmessi verso Strava : nessuno. Bolty importa unicamente i dati da Strava.

Dati importati : attività di corsa (metadati, stream GPS/FC/passo/altitudine/cadenza, identificativo atleta Strava, tracciati GPS, laps).

La connessione è revocabile in qualsiasi momento dall'applicazione Bolty o dalle impostazioni Strava.

Garmin Connect (USA)

Finalità : importazione di attività tramite OAuth 2.0. Bolty accede alle attività di corsa in sola lettura.

Dati trasmessi verso Garmin : nessuno. Bolty importa unicamente i dati da Garmin Connect.

Dati importati : attività di corsa (metadati, stream GPS/FC/passo/altitudine/cadenza, tracciati GPS, laps).

La connessione è revocabile in qualsiasi momento dall'applicazione Bolty o dalle impostazioni Garmin Connect.

Apple / Google (USA)

Finalità : autenticazione esclusivamente (verifica dei token d'identità).

Expo / EAS (USA)

Finalità : servizio di notifiche push.

Dati trasmessi : push token e contenuto della notifica.

RevenueCat (USA)

Finalità : gestione degli abbonamenti in-app.

Dati trasmessi : identificativo utente anonimizzato. Nessun dato bancario viene condiviso con RevenueCat né memorizzato da Bolty.

PostHog (Europa)

Finalità : analytics di prodotto per comprendere l'utilizzo dell'applicazione e migliorare l'esperienza utente.

Dati trasmessi : eventi di utilizzo pseudonimizzati (fasi dell'onboarding, azioni chiave), piattaforma e versione dell'app. Nessun dato personale sensibile viene trasmesso.

Hosting : istanza europea (eu.posthog.com). I dati non lasciano l'Europa.

Railway (Europa)

Finalità : hosting del backend e del database PostgreSQL. I server sono situati in Europa.

5. Apple Salute (HealthKit), Garmin Connect e tracking GPS integrato

Bolty può accedere ai dati di corsa tramite Apple Salute (HealthKit) su iOS. Questo accesso è locale: i dati vengono letti direttamente dal dispositivo dopo l'autorizzazione esplicita dell'utente tramite il sistema di permessi iOS.

I dati importati da Apple Salute (corse, frequenza cardiaca, cadenza, dislivello) vengono trattati allo stesso modo dei dati importati da Strava.

Bolty consente inoltre di collegare un account Garmin Connect per importare automaticamente le attività registrate su un orologio Garmin. Questa connessione utilizza il protocollo OAuth 2.0 ed è revocabile in qualsiasi momento.

Infine, Bolty offre un tracking GPS integrato per registrare una corsa direttamente dal telefono. Questa funzionalità richiede l'accesso alla localizzazione del dispositivo, concesso tramite i permessi del sistema operativo. I dati di localizzazione sono utilizzati esclusivamente per registrare il percorso della corsa e non vengono mai condivisi a fini pubblicitari.

6. Trasferimenti internazionali

Alcuni sub-responsabili hanno sede negli Stati Uniti. Queste aziende sono certificate nell'ambito del EU-US Data Privacy Framework (DPF), che garantisce un livello di protezione adeguato riconosciuto dalla Commissione europea.

7. Durata di conservazione

I tuoi dati vengono conservati per tutta la durata di esistenza del tuo account.

Al momento dell'eliminazione del tuo account, tutti i dati associati vengono eliminati in modo completo e irreversibile (eliminazione a cascata di tutte le attività, analisi, piani, profilo e token).

8. I tuoi diritti (GDPR)

In conformità al Regolamento Generale sulla Protezione dei Dati (GDPR), disponi dei seguenti diritti:

  • Diritto di accesso: ottenere una copia dei tuoi dati personali.
  • Diritto di rettifica: correggere dati inesatti o incompleti.
  • Diritto di cancellazione: richiedere la cancellazione dei tuoi dati. L'eliminazione dell'account è disponibile direttamente nell'app (Profilo > Elimina il mio account).
  • Diritto alla portabilità: ricevere i tuoi dati in un formato strutturato e leggibile.
  • Diritto di opposizione: opporti al trattamento dei tuoi dati.
  • Diritto alla limitazione: richiedere la limitazione del trattamento.

Per esercitare questi diritti, contattaci a [email protected].

9. Diritti specifici per la California (CCPA)

Se risiedi in California, benefici dei seguenti diritti in virtù del California Consumer Privacy Act (CCPA):

  • Diritto di sapere: conoscere le categorie e gli elementi specifici di dati personali raccolti.
  • Diritto di cancellazione: richiedere la cancellazione dei tuoi dati personali.
  • Diritto alla non-discriminazione: non essere trattato diversamente per aver esercitato i tuoi diritti.

Bolty non vende dati personali.

10. Sicurezza

Adottiamo le seguenti misure per proteggere i tuoi dati:

  • Crittografia HTTPS per tutte le comunicazioni
  • Password hashate con bcrypt (mai memorizzate in chiaro)
  • Token Strava cifrati nel database
  • Autenticazione tramite token a durata di vita limitata

11. Età minima

Bolty è rivolto a persone di 16 anni e oltre. Non raccogliamo consapevolmente dati personali di minori di 16 anni. Se sei un genitore o tutore e ritieni che tuo figlio ci abbia fornito dati personali, contattaci affinché possiamo eliminarli.

12. Cookie e analytics

La landing page di Bolty (bolty.run) non utilizza cookie di tracciamento né strumenti di analytics di terze parti. Possono essere utilizzati unicamente cookie tecnici strettamente necessari al funzionamento.

L'applicazione mobile Bolty utilizza PostHog (istanza europea) per raccogliere eventi di utilizzo anonimizzati. Questi dati servono esclusivamente a migliorare il prodotto. Nessun cookie viene utilizzato nell'applicazione mobile — PostHog funziona tramite l'SDK integrato nell'applicazione.

13. Modifiche a questa informativa

Ci riserviamo il diritto di modificare questa informativa sulla privacy. In caso di modifiche sostanziali, sarai informato tramite notifica nell'applicazione o via email.

14. Contatti

Per qualsiasi domanda relativa a questa informativa sulla privacy o ai tuoi dati personali, contattaci a [email protected].