GDPR Privacy Policy

Last updated: 28 May 2026 · Effective for users of Muse (lovemuse.app) located in the European Union, the European Economic Area or the United Kingdom.

This Policy explains how Muse ("we", "us", "our") processes personal data of users in the European Union ("EU"), the European Economic Area ("EEA") and the United Kingdom ("UK"), in compliance with Regulation (EU) 2016/679 ("GDPR") and, where applicable, the UK GDPR and the UK Data Protection Act 2018. Where you reside outside these jurisdictions, our PDPO Privacy Policy applies instead.

1. Who we are (Controller, art. 4(7) GDPR)

Muse operates as an online service available at lovemuse.app and via mobile applications. For the purposes of the GDPR we act as the data controller in respect of personal data we collect from you. We have not appointed a Data Protection Officer because our core activities do not require one under art. 37 GDPR, but you can reach our privacy contact at info@lovemuse.app.

2. Personal data we collect

We collect only the data we need to run the service:

• Account data: email address, display name, password (stored hashed), language preference.
• Profile data (optional): bio, city, dietary preferences, favourite cuisine, Instagram handle, website, phone, avatar.
• Content you create: restaurants you pin as "visited" or "to visit", ratings, comments, shared lists.
• Social graph: friend connections and invitations you send or accept.
• Device & technical data: IP address, device type, operating system, app version, crash logs, approximate or precise location only when you explicitly grant the permission.
• Communications: emails you send to us at info@lovemuse.app.

We do not process special categories of personal data within the meaning of art. 9 GDPR (e.g. data revealing health, religion, political opinions). Note that dietary preferences are not, on their own, "special category" data, but we collect them only if you choose to provide them. We do not knowingly collect data from individuals under the age of 16 (art. 8 GDPR); some member states permit consent from age 13 — where this applies in your country, the lower age is observed.

3. Purposes and legal basis (art. 6 GDPR)

We process your personal data for the following purposes, on the following legal bases:

• Performance of a contract (art. 6(1)(b)): creating and maintaining your account, letting you pin, rate and share restaurants, showing your friends' activity, sending transactional emails (invitations, password resets, security alerts).
• Legitimate interests (art. 6(1)(f)): securing the service, debugging, preventing abuse and fraud, and improving the product. We have assessed that these interests are not overridden by your fundamental rights and freedoms; you may object under art. 21 (see Section 9).
• Legal obligation (art. 6(1)(c)): retaining and disclosing data where required by EU or member-state law (for example, in response to a lawful order).
• Consent (art. 6(1)(a)): processing your precise location, when you explicitly grant the device permission. You can withdraw consent at any time by revoking the permission in your device settings, with no effect on processing carried out before withdrawal (art. 7(3)).

4. How we share data

We do not sell your personal data and we do not engage in advertising-driven profiling. We share data only as follows:

• With other users: your display name, avatar, city, pins, ratings and shared lists are visible to friends; shared lists you generate are accessible to anyone with the public link.
• With processors (art. 28 GDPR): hosting (AWS, EC2/RDS in the United States), transactional email (Resend), mapping & places data (Google Maps Platform, OpenStreetMap/Nominatim via our backend proxy). Each processor is bound by a written agreement that meets art. 28(3).
• For legal reasons: when required by a court order, lawful request from a competent authority or to defend our legal rights.

5. International transfers (Chapter V, art. 44–49 GDPR)

Some of our processors are located outside the EEA/UK, in particular in the United States, which is not subject to a current adequacy decision covering all sectors. Where this is the case, we rely on the European Commission's Standard Contractual Clauses ("SCCs", Commission Implementing Decision 2021/914) or the UK Addendum, together with supplementary measures (TLS encryption in transit, access controls, data minimisation). A copy of the relevant SCCs is available on request.

6. Retention (art. 5(1)(e))

We keep personal data only for as long as is necessary for the purposes set out above. When you delete your account, we delete or anonymise your personal data within 30 days, except where retention is required to comply with a legal obligation, to resolve disputes or to enforce our agreements. Backups containing residual copies are purged on a rolling 90-day cycle.

7. Security (art. 32)

We apply technical and organisational measures appropriate to the risk, including TLS 1.2+ for all traffic, hashed password storage (Django's PBKDF2 default), access controls on our infrastructure, rate-limiting on sensitive endpoints, and logging. If we become aware of a personal data breach that is likely to result in a risk to your rights and freedoms, we will notify the competent supervisory authority within 72 hours where feasible (art. 33) and inform affected users without undue delay where the breach is likely to result in a high risk (art. 34).

8. Accuracy (art. 5(1)(d))

You can edit most of your personal data directly from your profile screen. If any data we hold is inaccurate, please correct it in-app or write to us.

9. Your rights (art. 15–22 GDPR)

Subject to the conditions set out in the GDPR, you have the right to:

• Access (art. 15): obtain confirmation of whether we process your data and a copy of it.
• Rectification (art. 16): have inaccurate or incomplete data corrected.
• Erasure (art. 17): request deletion of your data ("right to be forgotten"), subject to the exceptions in art. 17(3).
• Restriction (art. 18): ask us to limit the processing of your data in certain cases.
• Portability (art. 20): receive your data in a structured, commonly used, machine-readable format and transmit it to another controller.
• Objection (art. 21): object at any time to processing based on legitimate interests; we will stop unless we demonstrate compelling overriding grounds.
• Withdraw consent (art. 7(3)): where processing is based on consent, withdraw it at any time without affecting prior processing.
• Not be subject to automated decision-making (art. 22): we do not take decisions about you based solely on automated processing.

To exercise any of these rights, email info@lovemuse.app from the address linked to your account. We will respond within one month of receipt (extendable by two further months for complex requests, art. 12(3)). Exercising your rights is free of charge unless the request is manifestly unfounded or excessive (art. 12(5)).

10. Right to lodge a complaint (art. 77)

If you believe our processing of your personal data infringes the GDPR, you have the right to lodge a complaint with the supervisory authority of your habitual residence, place of work or where the alleged infringement took place. A directory of EU authorities is available at edpb.europa.eu. For users in the UK, the supervisory authority is the Information Commissioner's Office (ICO) — ico.org.uk.

11. Changes to this Policy

We may update this Policy. Material changes will be notified in-app or by email at least 14 days before they take effect. Continued use after the effective date constitutes acceptance.

12. Contact

For any privacy-related question or to exercise your rights, contact us at info@lovemuse.app.

Política de Privacidad GDPR

Última actualización: 28 de mayo de 2026 · Aplicable a los usuarios de Muse (lovemuse.app) ubicados en la Unión Europea, el Espacio Económico Europeo o el Reino Unido.

Esta Política explica cómo Muse ("nosotros") trata los datos personales de usuarios en la Unión Europea ("UE"), el Espacio Económico Europeo ("EEE") y el Reino Unido ("RU"), en cumplimiento del Reglamento (UE) 2016/679 ("GDPR") y, cuando corresponda, del UK GDPR y la Data Protection Act 2018. Si residís fuera de estas jurisdicciones, se aplica nuestra Política de Privacidad PDPO.

1. Quiénes somos (Responsable, art. 4.7 GDPR)

Muse opera como un servicio en línea disponible en lovemuse.app y mediante aplicaciones móviles. A los efectos del GDPR actuamos como responsable del tratamiento respecto de los datos personales que recopilamos de vos. No hemos designado un Delegado de Protección de Datos porque nuestras actividades principales no lo requieren conforme al art. 37 GDPR, pero podés contactarnos en info@lovemuse.app.

2. Datos personales que recopilamos

Solo recopilamos los datos necesarios para prestar el servicio:

• Datos de cuenta: dirección de email, nombre visible, contraseña (almacenada con hash), preferencia de idioma.
• Datos de perfil (opcionales): biografía, ciudad, preferencias dietarias, cocina favorita, usuario de Instagram, sitio web, teléfono, avatar.
• Contenido que generás: restaurantes que marcás como "visitado" o "para visitar", calificaciones, comentarios, listas compartidas.
• Grafo social: conexiones de amistad e invitaciones que enviás o aceptás.
• Datos técnicos del dispositivo: dirección IP, tipo de dispositivo, sistema operativo, versión de la app, registros de fallos, ubicación aproximada o precisa solo cuando otorgás el permiso explícito.
• Comunicaciones: emails que nos enviás a info@lovemuse.app.

No tratamos categorías especiales de datos personales en el sentido del art. 9 GDPR (por ejemplo, datos sobre salud, religión u opiniones políticas). Las preferencias dietarias, por sí solas, no son una categoría especial, pero solo las recopilamos si decidís proporcionarlas. No recopilamos conscientemente datos de menores de 16 años (art. 8 GDPR); algunos Estados miembros permiten el consentimiento desde los 13 — cuando aplique en tu país, se observa la edad menor.

3. Finalidades y base jurídica (art. 6 GDPR)

Tratamos tus datos personales para las siguientes finalidades, sobre las siguientes bases jurídicas:

• Ejecución de un contrato (art. 6.1.b): crear y mantener tu cuenta, permitirte fijar, calificar y compartir restaurantes, mostrar la actividad de tus amigos, enviar emails transaccionales (invitaciones, recuperación de contraseña, alertas de seguridad).
• Interés legítimo (art. 6.1.f): proteger el servicio, depurar fallos, prevenir abusos y fraude, y mejorar el producto. Evaluamos que estos intereses no prevalecen sobre tus derechos y libertades fundamentales; podés oponerte conforme al art. 21 (ver Sección 9).
• Obligación legal (art. 6.1.c): conservación y divulgación de datos cuando lo exija el derecho de la UE o de un Estado miembro (por ejemplo, en respuesta a una orden judicial).
• Consentimiento (art. 6.1.a): tratamiento de tu ubicación precisa, cuando otorgás explícitamente el permiso del dispositivo. Podés retirar el consentimiento en cualquier momento revocando el permiso en los ajustes de tu dispositivo, sin que ello afecte al tratamiento realizado antes de la retirada (art. 7.3).

4. Con quién compartimos los datos

No vendemos tus datos personales ni realizamos perfilado con fines publicitarios. Solo los compartimos en los siguientes casos:

• Con otros usuarios: tu nombre visible, avatar, ciudad, pins, calificaciones y listas compartidas son visibles para tus amigos; las listas que compartas por link público quedan accesibles a quien tenga ese link.
• Con encargados del tratamiento (art. 28 GDPR): hosting (AWS, EC2/RDS en Estados Unidos), email transaccional (Resend), mapas y datos de lugares (Google Maps Platform, OpenStreetMap/Nominatim vía nuestro proxy backend). Cada encargado está vinculado por un contrato escrito que cumple el art. 28.3.
• Por motivos legales: cuando lo exija una orden judicial, requerimiento legítimo de una autoridad competente o para defender nuestros derechos.

5. Transferencias internacionales (Capítulo V, art. 44–49 GDPR)

Algunos de nuestros encargados se ubican fuera del EEE/RU, en particular en Estados Unidos, que no cuenta con una decisión de adecuación que cubra todos los sectores. En esos casos nos apoyamos en las Cláusulas Contractuales Tipo de la Comisión Europea ("SCC", Decisión de Ejecución 2021/914) o en el UK Addendum, junto con medidas suplementarias (cifrado TLS en tránsito, controles de acceso, minimización de datos). Una copia de las SCC aplicables está disponible a pedido.

6. Conservación (art. 5.1.e)

Conservamos los datos personales solo durante el tiempo necesario para las finalidades indicadas. Cuando eliminás tu cuenta, borramos o anonimizamos tus datos personales dentro de los 30 días, salvo cuando la conservación sea requerida para cumplir una obligación legal, resolver disputas o hacer cumplir nuestros acuerdos. Las copias residuales en backups se purgan en un ciclo rotativo de 90 días.

7. Seguridad (art. 32)

Aplicamos medidas técnicas y organizativas apropiadas al riesgo, incluyendo TLS 1.2+ para todo el tráfico, almacenamiento de contraseñas con hash (PBKDF2 por defecto de Django), controles de acceso sobre la infraestructura, rate-limiting en endpoints sensibles y logging. Si detectamos una violación de datos personales que probablemente implique un riesgo para tus derechos y libertades, notificaremos a la autoridad de control competente en un plazo de 72 horas siempre que sea factible (art. 33) e informaremos a los usuarios afectados sin demora indebida cuando la violación pueda implicar un alto riesgo (art. 34).

8. Exactitud (art. 5.1.d)

Podés editar la mayoría de tus datos personales directamente desde la pantalla de perfil. Si algún dato es inexacto, corregilo desde la app o escribinos.

9. Tus derechos (art. 15–22 GDPR)

Sujeto a las condiciones del GDPR, tenés derecho a:

• Acceso (art. 15): obtener confirmación de si tratamos tus datos y una copia de los mismos.
• Rectificación (art. 16): que se corrijan datos inexactos o incompletos.
• Supresión (art. 17): solicitar la eliminación de tus datos ("derecho al olvido"), sujeto a las excepciones del art. 17.3.
• Limitación (art. 18): pedir que limitemos el tratamiento en determinados supuestos.
• Portabilidad (art. 20): recibir tus datos en un formato estructurado, de uso común y lectura mecánica y transmitirlos a otro responsable.
• Oposición (art. 21): oponerte en cualquier momento al tratamiento basado en interés legítimo; cesaremos salvo que demostremos motivos imperiosos que prevalezcan.
• Retirar el consentimiento (art. 7.3): cuando el tratamiento se base en consentimiento, podés retirarlo en cualquier momento sin afectar al tratamiento previo.
• No ser objeto de decisiones automatizadas (art. 22): no tomamos decisiones sobre vos basadas únicamente en tratamiento automatizado.

Para ejercer cualquiera de estos derechos, escribinos a info@lovemuse.app desde la dirección asociada a tu cuenta. Responderemos en el plazo de un mes desde la recepción (prorrogable dos meses adicionales en solicitudes complejas, art. 12.3). El ejercicio de tus derechos es gratuito salvo que la solicitud sea manifiestamente infundada o excesiva (art. 12.5).

10. Derecho a presentar una reclamación (art. 77)

Si considerás que nuestro tratamiento de tus datos personales infringe el GDPR, tenés derecho a presentar una reclamación ante la autoridad de control de tu residencia habitual, lugar de trabajo o lugar de la presunta infracción. Un directorio de autoridades de la UE está disponible en edpb.europa.eu. Para usuarios del RU, la autoridad de control es la Information Commissioner's Office (ICO) — ico.org.uk.

11. Cambios en esta Política

Podemos actualizar esta Política. Los cambios materiales se notificarán dentro de la app o por email con al menos 14 días de antelación a su entrada en vigor. El uso continuado después de la fecha efectiva implica aceptación.

12. Contacto

Para cualquier consulta de privacidad o para ejercer tus derechos, contactanos en info@lovemuse.app.

Informativa sulla Privacy GDPR

Ultimo aggiornamento: 28 maggio 2026 · Valida per gli utenti di Muse (lovemuse.app) situati nell'Unione Europea, nello Spazio Economico Europeo o nel Regno Unito.

Questa Informativa spiega come Muse ("noi") tratta i dati personali degli utenti nell'Unione Europea ("UE"), nello Spazio Economico Europeo ("SEE") e nel Regno Unito ("UK"), in conformità al Regolamento (UE) 2016/679 ("GDPR") e, ove applicabile, al UK GDPR e al Data Protection Act 2018. Se risiedi al di fuori di queste giurisdizioni, si applica la nostra Informativa sulla Privacy PDPO.

1. Chi siamo (Titolare, art. 4(7) GDPR)

Muse opera come servizio online disponibile su lovemuse.app e tramite applicazioni mobili. Ai fini del GDPR agiamo come titolare del trattamento rispetto ai dati personali che raccogliamo. Non abbiamo nominato un Responsabile della Protezione dei Dati perché le nostre attività principali non lo richiedono ai sensi dell'art. 37 GDPR, ma puoi contattarci a info@lovemuse.app.

2. Dati personali che raccogliamo

Raccogliamo solo i dati necessari per fornire il servizio:

• Dati dell'account: indirizzo email, nome visualizzato, password (memorizzata con hash), preferenza di lingua.
• Dati del profilo (facoltativi): biografia, città, preferenze alimentari, cucina preferita, handle Instagram, sito web, telefono, avatar.
• Contenuti creati: ristoranti contrassegnati come "visitato" o "da visitare", valutazioni, commenti, liste condivise.
• Grafo sociale: connessioni di amicizia e inviti inviati o accettati.
• Dati tecnici del dispositivo: indirizzo IP, tipo di dispositivo, sistema operativo, versione dell'app, log di crash, posizione approssimativa o precisa solo se ne concedi esplicitamente il permesso.
• Comunicazioni: email che ci invii a info@lovemuse.app.

Non trattiamo categorie particolari di dati personali ai sensi dell'art. 9 GDPR (ad es. dati sulla salute, religione, opinioni politiche). Le preferenze alimentari, di per sé, non costituiscono una categoria particolare, ma le raccogliamo solo se scegli di fornirle. Non raccogliamo consapevolmente dati di persone di età inferiore a 16 anni (art. 8 GDPR); alcuni Stati membri consentono il consenso a partire dai 13 anni — ove applicabile nel tuo Paese, si osserva l'età inferiore.

3. Finalità e base giuridica (art. 6 GDPR)

Trattiamo i tuoi dati personali per le seguenti finalità, sulle seguenti basi giuridiche:

• Esecuzione di un contratto (art. 6, par. 1, lett. b): creazione e mantenimento del tuo account, possibilità di salvare, valutare e condividere ristoranti, mostrare l'attività dei tuoi amici, invio di email transazionali (inviti, reimpostazione password, avvisi di sicurezza).
• Legittimo interesse (art. 6, par. 1, lett. f): proteggere il servizio, risolvere errori, prevenire abusi e frodi, e migliorare il prodotto. Abbiamo valutato che questi interessi non prevalgono sui tuoi diritti e libertà fondamentali; puoi opporti ai sensi dell'art. 21 (vedi Sezione 9).
• Obbligo legale (art. 6, par. 1, lett. c): conservazione e divulgazione di dati ove richiesto dal diritto dell'UE o di uno Stato membro (ad es. in risposta a un ordine legittimo).
• Consenso (art. 6, par. 1, lett. a): trattamento della tua posizione precisa, se concedi esplicitamente il permesso del dispositivo. Puoi revocare il consenso in qualsiasi momento dalle impostazioni del dispositivo, senza pregiudicare il trattamento effettuato prima della revoca (art. 7, par. 3).

4. Come condividiamo i dati

Non vendiamo i tuoi dati personali e non effettuiamo profilazione a fini pubblicitari. Li condividiamo solo nei seguenti casi:

• Con altri utenti: nome visualizzato, avatar, città, pin, valutazioni e liste condivise sono visibili agli amici; le liste pubbliche generate sono accessibili a chiunque abbia il link.
• Con responsabili del trattamento (art. 28 GDPR): hosting (AWS, EC2/RDS negli Stati Uniti), email transazionale (Resend), mappe e dati di luoghi (Google Maps Platform, OpenStreetMap/Nominatim tramite il nostro proxy backend). Ogni responsabile è vincolato da un contratto scritto conforme all'art. 28, par. 3.
• Per motivi legali: quando richiesto da un ordine del tribunale, da una richiesta legittima di un'autorità competente o per difendere i nostri diritti.

5. Trasferimenti internazionali (Capo V, art. 44–49 GDPR)

Alcuni dei nostri responsabili si trovano fuori dal SEE/UK, in particolare negli Stati Uniti, che non beneficiano di una decisione di adeguatezza che copra tutti i settori. In tali casi facciamo affidamento sulle Clausole Contrattuali Tipo della Commissione Europea ("SCC", Decisione di esecuzione 2021/914) o sull'UK Addendum, insieme a misure supplementari (cifratura TLS in transito, controlli di accesso, minimizzazione dei dati). Una copia delle SCC applicabili è disponibile su richiesta.

6. Conservazione (art. 5, par. 1, lett. e)

Conserviamo i dati personali solo per il tempo necessario alle finalità indicate. Quando elimini il tuo account, cancelliamo o anonimizziamo i tuoi dati personali entro 30 giorni, salvo quando la conservazione sia richiesta per adempiere obblighi legali, risolvere controversie o far valere i nostri accordi. Le copie residue nei backup vengono eliminate in un ciclo rotativo di 90 giorni.

7. Sicurezza (art. 32)

Applichiamo misure tecniche e organizzative adeguate al rischio, tra cui TLS 1.2+ per tutto il traffico, conservazione delle password con hash (PBKDF2 di default di Django), controlli di accesso sull'infrastruttura, rate-limiting sugli endpoint sensibili e logging. Se veniamo a conoscenza di una violazione di dati personali che possa comportare un rischio per i tuoi diritti e libertà, notificheremo l'autorità di controllo competente entro 72 ore ove possibile (art. 33) e informeremo gli utenti interessati senza indebito ritardo qualora la violazione possa comportare un rischio elevato (art. 34).

8. Esattezza (art. 5, par. 1, lett. d)

Puoi modificare la maggior parte dei tuoi dati personali direttamente dalla schermata del profilo. Se qualche dato non è accurato, correggilo dall'app o scrivici.

9. I tuoi diritti (art. 15–22 GDPR)

Fatte salve le condizioni del GDPR, hai il diritto di:

• Accesso (art. 15): ottenere conferma che trattiamo i tuoi dati e una copia degli stessi.
• Rettifica (art. 16): ottenere la correzione di dati inesatti o incompleti.
• Cancellazione (art. 17): richiedere la cancellazione dei tuoi dati ("diritto all'oblio"), salve le eccezioni dell'art. 17, par. 3.
• Limitazione (art. 18): chiederci di limitare il trattamento in determinati casi.
• Portabilità (art. 20): ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli a un altro titolare.
• Opposizione (art. 21): opporti in qualsiasi momento al trattamento basato sul legittimo interesse; ci asterremo salvo che dimostriamo motivi cogenti prevalenti.
• Revoca del consenso (art. 7, par. 3): ove il trattamento si basi sul consenso, puoi revocarlo in qualsiasi momento senza pregiudicare il trattamento precedente.
• Non essere soggetto a decisioni automatizzate (art. 22): non prendiamo decisioni su di te basate unicamente su trattamento automatizzato.

Per esercitare uno qualsiasi di questi diritti, scrivi a info@lovemuse.app dall'indirizzo associato al tuo account. Risponderemo entro un mese dalla ricezione (prorogabile di ulteriori due mesi per richieste complesse, art. 12, par. 3). L'esercizio dei diritti è gratuito salvo che la richiesta sia manifestamente infondata o eccessiva (art. 12, par. 5).

10. Diritto di proporre reclamo (art. 77)

Se ritieni che il nostro trattamento dei tuoi dati personali violi il GDPR, hai il diritto di proporre reclamo all'autorità di controllo dello Stato membro in cui risiedi abitualmente, lavori o dove si è verificata la presunta violazione. Per l'Italia, l'autorità è il Garante per la Protezione dei Dati Personali — garanteprivacy.it. Un elenco delle autorità UE è disponibile su edpb.europa.eu.

11. Modifiche all'Informativa

Possiamo aggiornare questa Informativa. I cambiamenti sostanziali saranno notificati in app o via email almeno 14 giorni prima dell'entrata in vigore. L'uso continuato dopo la data di efficacia comporta accettazione.

12. Contatto

Per qualsiasi domanda sulla privacy o per esercitare i tuoi diritti, contattaci a info@lovemuse.app.