Compliance

GDPR per palestre e centri fitness: la guida pratica per il 2026

Cosa devi sapere per essere compliant: titolare del trattamento, consenso, dati sanitari, scadenze e sanzioni del Garante.

20 maggio 2026 7 min

Il GDPR (Regolamento UE 2016/679, in vigore dal 25 maggio 2018) si applica a chiunque tratti dati personali — e una palestra ne tratta tanti: nome, indirizzo, telefono, certificato medico, schede di allenamento, dati di pagamento. Questa guida fa il punto su cosa serve sapere davvero, senza giri di parole.

Disclaimer: questo è un articolo informativo, non consulenza legale. Per situazioni complesse (più sedi, franchising, integrazioni con altre piattaforme) parlane con un avvocato specializzato in privacy.

1. Sei il Titolare del trattamento

Se gestisci una palestra, sei tu il titolare del trattamento dei dati dei tuoi clienti. Significa che decidi tu finalità e modalità del trattamento — e ne rispondi davanti alla legge. Anche se i dati sono fisicamente su un server di un fornitore (es. un gestionale cloud), il responsabile finale resti tu.

Il fornitore tecnico diventa responsabile del trattamento (art. 28 GDPR) e deve firmare con te un Data Processing Agreement (DPA) che disciplini cosa fa con i dati e come li protegge. Se il tuo gestionale non ti offre un DPA, hai un problema.

2. La base giuridica del trattamento

Non basta "chiedere il consenso" per tutto. Il GDPR riconosce sei basi giuridiche (art. 6). Per una palestra valgono tipicamente:

  • Esecuzione del contratto (art. 6.1.b) — dati necessari a erogare il servizio (nome, contatti, pagamenti, scheda di allenamento). Non serve consenso esplicito.
  • Obbligo di legge (art. 6.1.c) — dati conservati per obblighi fiscali (10 anni per le fatture).
  • Consenso (art. 6.1.a) — solo per attività non strettamente necessarie: newsletter, marketing, profilazione, foto pubblicate sui social.

Errore comune: chiedere un "consenso onnicomprensivo" per tutto. Non è valido. Il consenso deve essere specifico, granulare e revocabile.

3. I dati sanitari sono diversi (e più pesanti)

Il certificato medico, le schede di infortuni, le misurazioni corporee, i dati da wearable (frequenza cardiaca) rientrano in categorie particolari di dati (art. 9 GDPR). Per trattarli serve una base rinforzata, tipicamente il consenso esplicitodell'interessato.

Cosa fare in pratica:

  • Modulo dedicato di consenso al trattamento dati sanitari, separato dal modulo di iscrizione generale.
  • Accesso ai certificati medici limitato al personale che ne ha bisogno (lo staff alla reception non deve poter leggere le patologie dei clienti).
  • Conservazione del certificato per il periodo necessario + il tempo previsto dalle norme sportive di settore.

4. L'informativa privacy: cosa deve contenere

Ogni cliente deve ricevere — al momento della raccolta dei dati — un'informativa che spieghi:

  • Chi sei tu (titolare): nome, P.IVA, sede, email.
  • Quali dati raccogli (anagrafici, sanitari, di utilizzo, di pagamento).
  • Perché li raccogli (finalità) e su quale base giuridica.
  • A chi li comunichi (gestionale cloud, commercialista, sistema di pagamento, agenzia di marketing).
  • Per quanto li conservi.
  • I diritti del cliente (accesso, rettifica, cancellazione, opposizione, portabilità, reclamo al Garante).

L'informativa va consegnata anche in via digitale, ma serve la firma (anche con flag su checkbox digitale) che attesti la presa visione.

5. Registro dei trattamenti

L'art. 30 GDPR impone alle realtà sopra i 250 dipendenti — ma anche a chi tratta dati sanitari, indipendentemente dalle dimensioni — di tenere un registro dei trattamenti. È un documento che elenca:

  • Quali trattamenti fai (es. gestione anagrafica clienti, gestione corsi).
  • Finalità di ciascuno.
  • Categorie di dati e di interessati.
  • Termini di conservazione.
  • Misure di sicurezza adottate.

Non serve un format complicato: un file Excel ben strutturato (o un template del Garante) basta. Va aggiornato ogni volta che cambi un trattamento o un fornitore.

6. Cookie e sito web

Se hai un sito che usa cookie non tecnici (Google Analytics, Facebook Pixel, Hotjar, ecc.), serve un cookie bannera blocco preventivo: i cookie non tecnici NON possono partire prima dell'accettazione esplicita dell'utente. Da provvedimento del Garante del 10 giugno 2021, l'X di chiusura banner = rifiuto, non accettazione.

7. Data breach: cosa fare se succede

Se hai una violazione di sicurezza (file rubati, database compromesso, mail di phishing che hanno avuto successo), hai 72 ore per notificarla al Garante (art. 33 GDPR). Se la violazione presenta un rischio elevato per gli interessati, devi anche comunicarla direttamente ai clienti coinvolti. Tenere traccia per iscritto di cosa è successo, quando e come hai reagito è obbligatorio anche se la violazione è di lieve entità.

8. Sanzioni: di cosa parliamo

Le sanzioni del GDPR vanno fino a €20 milioni o al 4% del fatturato globale annuo, a seconda di quale è maggiore. In Italia il Garante ha sanzionato palestre per cifre che vanno da €5.000 (per omissione informativa) a €50.000+ (per data breach non notificato). Sono numeri seri per una palestra indipendente.

Checklist minima per essere conforme

  • ✅ Informativa privacy aggiornata e firmata da ogni cliente.
  • ✅ Consenso esplicito separato per dati sanitari.
  • ✅ Consenso esplicito separato per newsletter / marketing / foto sui social.
  • ✅ DPA firmato con ogni fornitore IT (gestionale, sito, email, payment).
  • ✅ Registro dei trattamenti tenuto e aggiornato.
  • ✅ Cookie banner sul sito (se hai analytics).
  • ✅ Procedura interna per gestire data breach in 72h.
  • ✅ Accesso a dati sanitari limitato al personale autorizzato.

JimTime e il GDPR

JimTime è progettato per aiutare le palestre a essere GDPR-compliant: titolare del trattamento dichiarato, DPA firmato in automatico con ogni piano professionale, gestione separata dei consensi, registro accessi e audit log, infrastruttura su data center europei. Vuoi vedere come funziona? Prova gratis per 30 giorni →