Privacy Policy

Last updated: 18 May 2026 · Effective for users of Muse (lovemuse.app).

Muse ("we", "us", "our") respects your privacy. This Privacy Policy explains what personal data we collect, how we use it, who we share it with, and the rights you have. It is written to comply with the Personal Data (Privacy) Ordinance (Cap. 486) of Hong Kong ("PDPO") and the six Data Protection Principles ("DPPs") issued by the Office of the Privacy Commissioner for Personal Data, Hong Kong ("PCPD").

1. Who we are (Data User)

Muse is operated as an online service available at lovemuse.app and via mobile applications. For the purposes of the PDPO, we act as the Data User in respect of the personal data we collect from you. Contact details for privacy enquiries are set out at the end of this Policy.

2. Personal data we collect

We collect only the data we need to run the service:

• Account data: email address, display name, password (stored hashed), language preference.
• Profile data (optional): bio, city, dietary preferences, favourite cuisine, Instagram handle, website, phone, avatar.
• Content you create: restaurants you pin as "visited" or "to visit", ratings, comments, shared lists.
• Social graph: friend connections and invitations you send or accept.
• Device & technical data: IP address, device type, operating system, app version, crash logs, approximate or precise location only when you explicitly grant the permission.
• Communications: emails you send to us at info@lovemuse.app.

We do not knowingly collect data from individuals under the age of 13. If you believe a minor has provided us with personal data, contact us and we will delete it.

3. Purposes of collection (DPP 1 & 3)

We collect and use your personal data for the following purposes:

• Creating, maintaining and securing your account.
• Letting you pin, rate and share restaurants with friends.
• Showing you your friends' activity in a personalised feed.
• Sending transactional emails (invitations, password resets, security alerts).
• Improving the service, debugging, and preventing abuse.
• Complying with applicable laws and lawful requests from authorities.

We will not use your personal data for a new purpose that is materially different from those listed above without first obtaining your express and voluntary consent, as required by DPP 3.

4. How we share data (DPP 3)

We do not sell your personal data. We share it only in the following circumstances:

• With other users: your display name, avatar, city, pins, ratings and shared lists are visible to friends; shared lists you generate are accessible to anyone with the public link.
• With service providers (Data Processors): hosting (AWS, EC2/RDS in the United States), transactional email (Resend), mapping & places data (Google Maps Platform, OpenStreetMap/Nominatim via our backend proxy). They process data on our instructions under contractual safeguards.
• For legal reasons: when required by a court order, subpoena or other lawful request, including from Hong Kong authorities under the PDPO or other ordinances.

5. Cross-border transfer

Although Section 33 of the PDPO (regulating transfers of personal data outside Hong Kong) is not yet in force, we apply its spirit voluntarily. Where we transfer data to processors outside Hong Kong (for example, to AWS data centres in the United States or to Resend in the European Union / United States), we ensure that:

• the recipient is bound by written contractual terms to protect the data to a standard substantially similar to the PDPO;
• the data is transmitted using TLS encryption in transit; and
• the transfer is limited to what is necessary to provide the service.

6. Retention (DPP 2)

We keep personal data only for as long as is necessary for the purposes set out above. When you delete your account, we delete or anonymise your personal data within 30 days, except where retention is required to comply with a legal obligation, to resolve disputes or to enforce our agreements. Backups containing residual copies are purged on a rolling 90-day cycle.

7. Security (DPP 4)

We apply reasonable and practicable security measures, including TLS 1.2+ for all traffic, hashed password storage (Django's PBKDF2 default), access controls on our infrastructure, rate-limiting on sensitive endpoints, and logging. No system is perfectly secure; if we become aware of a personal data breach that is likely to result in real risk of significant harm, we will notify affected users and, where appropriate, the PCPD without undue delay.

8. Accuracy (DPP 2)

You can edit most of your personal data directly from your profile screen. If any data we hold is inaccurate, please correct it in-app or write to us.

9. Your rights (DPP 5 & 6)

Under the PDPO, you have the right to:

• be informed of our privacy policies and practices (DPP 5);
• ascertain whether we hold personal data about you and to request a copy of that data (Data Access Request, s.18 PDPO);
• request correction of inaccurate data (Data Correction Request, s.22 PDPO);
• opt out of any direct marketing (we currently send no direct marketing).

To exercise any of these rights, email info@lovemuse.app from the address linked to your account. We will respond within 40 days, as required by the PDPO. We may charge a reasonable fee for compliance with a Data Access Request, in line with PCPD guidance.

10. Complaints

If you believe we have failed to comply with the PDPO, you may lodge a complaint with the Office of the Privacy Commissioner for Personal Data, Hong Kong (PCPD), 12/F, Sunlight Tower, 248 Queen's Road East, Wanchai, Hong Kong — www.pcpd.org.hk.

11. Changes to this Policy

We may update this Policy. Material changes will be notified in-app or by email at least 14 days before they take effect. Continued use after the effective date constitutes acceptance.

12. Contact

For any privacy-related question or request, contact us at info@lovemuse.app.

Política de Privacidad

Última actualización: 18 de mayo de 2026 · Aplicable a los usuarios de Muse (lovemuse.app).

Muse ("nosotros") respeta tu privacidad. Esta Política de Privacidad explica qué datos personales recopilamos, cómo los usamos, con quién los compartimos y los derechos que te asisten. Está redactada para cumplir con la Personal Data (Privacy) Ordinance (Cap. 486) de Hong Kong ("PDPO") y los seis Principios de Protección de Datos ("DPP") emitidos por la Office of the Privacy Commissioner for Personal Data, Hong Kong ("PCPD").

1. Quiénes somos (Data User)

Muse opera como un servicio en línea disponible en lovemuse.app y mediante aplicaciones móviles. A los efectos de la PDPO, actuamos como Data User respecto de los datos personales que recopilamos de vos. Los datos de contacto para consultas de privacidad figuran al final de esta Política.

2. Datos personales que recopilamos

Solo recopilamos los datos necesarios para prestar el servicio:

• Datos de cuenta: dirección de email, nombre visible, contraseña (almacenada con hash), preferencia de idioma.
• Datos de perfil (opcionales): biografía, ciudad, preferencias dietarias, cocina favorita, usuario de Instagram, sitio web, teléfono, avatar.
• Contenido que generás: restaurantes que marcás como "visitado" o "para visitar", calificaciones, comentarios, listas compartidas.
• Grafo social: conexiones de amistad e invitaciones que enviás o aceptás.
• Datos técnicos del dispositivo: dirección IP, tipo de dispositivo, sistema operativo, versión de la app, registros de fallos, ubicación aproximada o precisa solo cuando otorgás el permiso explícito.
• Comunicaciones: emails que nos enviás a info@lovemuse.app.

No recopilamos datos de menores de 13 años de forma consciente. Si creés que un menor nos proporcionó datos personales, contactanos y los eliminaremos.

3. Finalidades del tratamiento (DPP 1 y 3)

Tratamos tus datos personales con los siguientes fines:

• Crear, mantener y proteger tu cuenta.
• Permitirte fijar, calificar y compartir restaurantes con tus amigos.
• Mostrarte la actividad de tus amigos en un feed personalizado.
• Enviar emails transaccionales (invitaciones, recuperación de contraseña, alertas de seguridad).
• Mejorar el servicio, depurar fallos y prevenir abusos.
• Cumplir con las leyes aplicables y con requerimientos legítimos de autoridades.

No usaremos tus datos personales con una finalidad sustancialmente distinta a las anteriores sin obtener antes tu consentimiento expreso y voluntario, conforme al DPP 3.

4. Con quién compartimos los datos (DPP 3)

No vendemos tus datos personales. Solo los compartimos en los siguientes casos:

• Con otros usuarios: tu nombre visible, avatar, ciudad, pins, calificaciones y listas compartidas son visibles para tus amigos; las listas que compartas por link público quedan accesibles a quien tenga ese link.
• Con proveedores de servicio (Data Processors): hosting (AWS, EC2/RDS en Estados Unidos), email transaccional (Resend), mapas y datos de lugares (Google Maps Platform, OpenStreetMap/Nominatim vía nuestro proxy backend). Procesan los datos por instrucción nuestra y bajo salvaguardas contractuales.
• Por motivos legales: cuando lo exija una orden judicial, citación u otro requerimiento legítimo, incluidos los de autoridades de Hong Kong bajo la PDPO u otras Ordenanzas.

5. Transferencias internacionales

Aunque la Sección 33 de la PDPO (que regula las transferencias de datos personales fuera de Hong Kong) aún no está vigente, aplicamos su espíritu de forma voluntaria. Cuando transferimos datos a procesadores fuera de Hong Kong (por ejemplo, a centros de datos de AWS en Estados Unidos o a Resend en la Unión Europea / Estados Unidos), garantizamos que:

• el destinatario esté obligado por contrato escrito a proteger los datos con un estándar sustancialmente equivalente al de la PDPO;
• los datos se transmitan con cifrado TLS en tránsito; y
• la transferencia se limite a lo necesario para prestar el servicio.

6. Retención (DPP 2)

Conservamos los datos personales solo durante el tiempo necesario para las finalidades indicadas. Cuando eliminás tu cuenta, borramos o anonimizamos tus datos personales dentro de los 30 días, salvo cuando la retención sea requerida para cumplir una obligación legal, resolver disputas o hacer cumplir nuestros acuerdos. Las copias residuales en backups se purgan en un ciclo rotativo de 90 días.

7. Seguridad (DPP 4)

Aplicamos medidas de seguridad razonables y prácticas, incluyendo TLS 1.2+ para todo el tráfico, almacenamiento de contraseñas con hash (PBKDF2 por defecto de Django), controles de acceso sobre la infraestructura, rate-limiting en endpoints sensibles y logging. Ningún sistema es perfectamente seguro; si detectamos una violación de datos personales que probablemente implique un riesgo real de daño significativo, notificaremos a los usuarios afectados y, cuando corresponda, a la PCPD sin demora indebida.

8. Exactitud (DPP 2)

Podés editar la mayoría de tus datos personales directamente desde la pantalla de perfil. Si algún dato que mantenemos resulta inexacto, corregilo desde la app o escribinos.

9. Tus derechos (DPP 5 y 6)

Bajo la PDPO, tenés derecho a:

• estar informado de nuestras políticas y prácticas de privacidad (DPP 5);
• verificar si tenemos datos personales tuyos y solicitar una copia de los mismos (Data Access Request, art. 18 PDPO);
• solicitar la corrección de datos inexactos (Data Correction Request, art. 22 PDPO);
• oponerte a cualquier marketing directo (actualmente no enviamos marketing directo).

Para ejercer estos derechos, escribinos a info@lovemuse.app desde la dirección asociada a tu cuenta. Responderemos dentro de los 40 días, conforme exige la PDPO. Podemos cobrar una tarifa razonable por cumplir un Data Access Request, en línea con las pautas de la PCPD.

10. Reclamos

Si considerás que no hemos cumplido con la PDPO, podés presentar un reclamo ante la Office of the Privacy Commissioner for Personal Data, Hong Kong (PCPD), 12/F, Sunlight Tower, 248 Queen's Road East, Wanchai, Hong Kong — www.pcpd.org.hk.

11. Cambios en esta Política

Podemos actualizar esta Política. Los cambios materiales se notificarán dentro de la app o por email con al menos 14 días de antelación a su entrada en vigor. El uso continuado después de la fecha efectiva implica aceptación.

12. Contacto

Para cualquier consulta o solicitud de privacidad, contactanos en info@lovemuse.app.

Informativa sulla Privacy

Ultimo aggiornamento: 18 maggio 2026 · Valida per gli utenti di Muse (lovemuse.app).

Muse ("noi") rispetta la tua privacy. Questa Informativa spiega quali dati personali raccogliamo, come li utilizziamo, con chi li condividiamo e quali diritti hai. È redatta in conformità alla Personal Data (Privacy) Ordinance (Cap. 486) di Hong Kong ("PDPO") e ai sei Data Protection Principles ("DPP") emanati dall'Office of the Privacy Commissioner for Personal Data, Hong Kong ("PCPD").

1. Chi siamo (Data User)

Muse opera come servizio online disponibile su lovemuse.app e tramite applicazioni mobili. Ai fini della PDPO, agiamo come Data User rispetto ai dati personali che raccogliamo. I contatti per richieste sulla privacy sono indicati alla fine di questa Informativa.

2. Dati personali che raccogliamo

Raccogliamo solo i dati necessari per fornire il servizio:

• Dati dell'account: indirizzo email, nome visualizzato, password (memorizzata con hash), preferenza di lingua.
• Dati del profilo (facoltativi): biografia, città, preferenze alimentari, cucina preferita, handle Instagram, sito web, telefono, avatar.
• Contenuti creati: ristoranti contrassegnati come "visitato" o "da visitare", valutazioni, commenti, liste condivise.
• Grafo sociale: connessioni di amicizia e inviti inviati o accettati.
• Dati tecnici del dispositivo: indirizzo IP, tipo di dispositivo, sistema operativo, versione dell'app, log di crash, posizione approssimativa o precisa solo se ne concedi esplicitamente il permesso.
• Comunicazioni: email che ci invii a info@lovemuse.app.

Non raccogliamo consapevolmente dati di persone di età inferiore a 13 anni. Se ritieni che un minore ci abbia fornito dati personali, contattaci e li elimineremo.

3. Finalità del trattamento (DPP 1 e 3)

Trattiamo i tuoi dati personali per le seguenti finalità:

• Creazione, mantenimento e sicurezza del tuo account.
• Permetterti di salvare, valutare e condividere ristoranti con gli amici.
• Mostrarti l'attività dei tuoi amici in un feed personalizzato.
• Inviare email transazionali (inviti, reimpostazione password, avvisi di sicurezza).
• Migliorare il servizio, risolvere errori e prevenire abusi.
• Rispettare le leggi applicabili e le richieste legittime delle autorità.

Non utilizzeremo i tuoi dati personali per finalità materialmente diverse senza prima ottenere il tuo consenso esplicito e volontario, come richiesto dal DPP 3.

4. Come condividiamo i dati (DPP 3)

Non vendiamo i tuoi dati personali. Li condividiamo solo nelle seguenti circostanze:

• Con altri utenti: il tuo nome visualizzato, avatar, città, pin, valutazioni e liste condivise sono visibili agli amici; le liste pubbliche che generi sono accessibili a chiunque abbia il link.
• Con fornitori di servizio (Data Processors): hosting (AWS, EC2/RDS negli Stati Uniti), email transazionale (Resend), mappe e dati di luoghi (Google Maps Platform, OpenStreetMap/Nominatim tramite il nostro proxy backend). Trattano i dati su nostre istruzioni e con garanzie contrattuali.
• Per motivi legali: quando richiesto da un'ordinanza del tribunale, citazione o altra richiesta legittima, comprese le autorità di Hong Kong ai sensi della PDPO o di altre Ordinanze.

5. Trasferimenti internazionali

Sebbene la Sezione 33 della PDPO (che regola i trasferimenti di dati personali al di fuori di Hong Kong) non sia ancora in vigore, ne applichiamo lo spirito volontariamente. Quando trasferiamo dati a processori fuori da Hong Kong (ad esempio, ai data centre AWS negli Stati Uniti o a Resend nell'Unione Europea / Stati Uniti), garantiamo che:

• il destinatario sia vincolato da contratto scritto a proteggere i dati con uno standard sostanzialmente equivalente alla PDPO;
• i dati siano trasmessi con cifratura TLS in transito; e
• il trasferimento sia limitato a quanto necessario per fornire il servizio.

6. Conservazione (DPP 2)

Conserviamo i dati personali solo per il tempo necessario alle finalità indicate. Quando elimini il tuo account, cancelliamo o anonimizziamo i tuoi dati personali entro 30 giorni, salvo quando la conservazione sia richiesta per adempiere obblighi legali, risolvere controversie o far valere i nostri accordi. Le copie residue nei backup vengono eliminate in un ciclo rotativo di 90 giorni.

7. Sicurezza (DPP 4)

Applichiamo misure di sicurezza ragionevoli e praticabili, tra cui TLS 1.2+ per tutto il traffico, conservazione delle password con hash (PBKDF2 di default di Django), controlli di accesso sull'infrastruttura, rate-limiting sugli endpoint sensibili e logging. Nessun sistema è perfettamente sicuro; se veniamo a conoscenza di una violazione di dati personali che possa comportare un rischio reale di danno significativo, notificheremo gli utenti interessati e, ove opportuno, la PCPD senza indebito ritardo.

8. Accuratezza (DPP 2)

Puoi modificare la maggior parte dei tuoi dati personali direttamente dalla schermata del profilo. Se qualche dato in nostro possesso non è accurato, correggilo dall'app o scrivici.

9. I tuoi diritti (DPP 5 e 6)

Ai sensi della PDPO, hai il diritto di:

• essere informato delle nostre politiche e prassi sulla privacy (DPP 5);
• verificare se conserviamo i tuoi dati personali e richiederne copia (Data Access Request, art. 18 PDPO);
• richiedere la correzione dei dati inesatti (Data Correction Request, art. 22 PDPO);
• opporti a qualsiasi marketing diretto (attualmente non inviamo marketing diretto).

Per esercitare questi diritti, scrivi a info@lovemuse.app dall'indirizzo associato al tuo account. Risponderemo entro 40 giorni, come richiesto dalla PDPO. Possiamo richiedere una tariffa ragionevole per un Data Access Request, in linea con le indicazioni della PCPD.

10. Reclami

Se ritieni che non abbiamo rispettato la PDPO, puoi presentare un reclamo all'Office of the Privacy Commissioner for Personal Data, Hong Kong (PCPD), 12/F, Sunlight Tower, 248 Queen's Road East, Wanchai, Hong Kong — www.pcpd.org.hk.

11. Modifiche all'Informativa

Possiamo aggiornare questa Informativa. I cambiamenti sostanziali saranno notificati in app o via email almeno 14 giorni prima dell'entrata in vigore. L'uso continuato dopo la data di efficacia comporta accettazione.

12. Contatto

Per qualsiasi domanda o richiesta sulla privacy, contattaci a info@lovemuse.app.