Informativa sulla privacy

Ultimo aggiornamento: 30 aprile 2026

La presente Informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 ("Codice Privacy"), e descrive le modalità con cui RY ECOM tratta i dati personali degli Utenti che visitano il sito www.notapersonal.com (di seguito, il "Sito") e dei Clienti che effettuano acquisti.

Si invita a leggere con attenzione la presente Informativa prima di fornire qualsiasi dato personale.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

RY ECOM Société par Actions Simplifiée (SAS) di diritto francese Sede legale: 12 Rue de la Part-Dieu, 69003 Lione, Francia SIREN: 884 309 261 N. P.IVA intracomunitaria: FR08 884 309 261

📧 Contatto privacy: info@notapersonal.com 🌐 Sito web: www.notapersonal.com

2. Responsabile della Protezione dei Dati (DPO)

In considerazione della natura, del contesto, delle finalità e della portata dei trattamenti effettuati, RY ECOM non è tenuta alla nomina obbligatoria di un Responsabile della Protezione dei Dati ai sensi dell'art. 37 GDPR.

Per ogni questione relativa al trattamento dei dati personali e all'esercizio dei diritti degli interessati è possibile contattare il Titolare all'indirizzo info@notapersonal.com, indicando come oggetto "Privacy".

3. Definizioni

Ai fini della presente Informativa si intende per:

  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile;
  • Trattamento: qualsiasi operazione effettuata sui dati personali (raccolta, registrazione, conservazione, modifica, comunicazione, cancellazione, ecc.);
  • Interessato: la persona fisica cui si riferiscono i dati personali (Utente, Cliente, Destinatario del regalo);
  • Titolare: RY ECOM, come identificata al punto 1;
  • Responsabile: il soggetto terzo che tratta i dati per conto del Titolare;
  • Destinatario del regalo: la persona terza a cui è destinata la canzone personalizzata acquistata da un Cliente.

4. Categorie di Dati Personali Trattati

A seconda dell'interazione dell'Utente con il Sito, il Titolare può trattare le seguenti categorie di dati personali:

4.1 Dati identificativi e di contatto (Cliente)

Nome, cognome, indirizzo email, numero di telefono (se fornito), indirizzo di fatturazione.

4.2 Dati di pagamento

Estremi della carta di pagamento o dell'account PayPal. Tali dati non sono mai conservati dal Titolare e sono trattati direttamente dai prestatori di servizi di pagamento certificati PCI DSS (vedi punto 7).

4.3 Dati relativi all'ordine

Cronologia degli acquisti, prodotti selezionati, opzioni di personalizzazione, eventuali codici sconto utilizzati, comunicazioni con il servizio clienti.

4.4 Dati di personalizzazione del prodotto

Informazioni fornite dal Cliente per la realizzazione della canzone, tra cui:

  • nome e relazione con il Destinatario del regalo;
  • occasione (compleanno, anniversario, matrimonio, ecc.);
  • aneddoti, ricordi e dettagli personali sul Destinatario;
  • preferenze stilistiche (mood, voce, genere musicale).

⚠️ Si richiama l'attenzione del Cliente sul fatto che questi dati possono includere informazioni personali su terzi (il Destinatario). Vedi punto 11 per il regime applicabile.

4.5 Dati tecnici e di navigazione

Indirizzo IP, tipo di browser, sistema operativo, dispositivo utilizzato, pagine visitate, durata della visita, referrer, identificatori di sessione e cookie (vedi Cookie Policy).

4.6 Dati di marketing e profilazione

Consensi prestati per email/SMS marketing, interazioni con le comunicazioni inviate (aperture, click), preferenze e segmentazione comportamentale.

4.7 Dati per la distribuzione streaming (servizio opzionale)

Qualora il Cliente acquisti il servizio di distribuzione su piattaforme di streaming, vengono trattati ulteriori dati richiesti dalle piattaforme partner (titolo dell'opera, nome dell'artista, eventuali dati fiscali per la riscossione delle royalty).

5. Finalità e Basi Giuridiche del Trattamento

I dati personali sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica:

# Finalità Base giuridica (art. 6 GDPR) Conferimento
a Esecuzione del Contratto: gestione dell'ordine, realizzazione della canzone personalizzata, consegna del prodotto, fatturazione Esecuzione di un contratto (art. 6.1.b) Obbligatorio
b Adempimenti fiscali, contabili e di legge Obbligo legale (art. 6.1.c) Obbligatorio
c Gestione del servizio clienti, reclami, richieste di assistenza Esecuzione di un contratto / Legittimo interesse (art. 6.1.b / f) Obbligatorio
d Prevenzione frodi, sicurezza del Sito e dei pagamenti Legittimo interesse (art. 6.1.f) Obbligatorio
e Invio di newsletter, comunicazioni commerciali via email/SMS sui prodotti del Titolare Consenso (art. 6.1.a) Facoltativo
f Profilazione e personalizzazione delle comunicazioni di marketing Consenso (art. 6.1.a) Facoltativo
g Cookie analitici e di marketing di terze parti Consenso (art. 6.1.a + art. 122 Codice Privacy) Facoltativo
h Invio di richieste di recensione e survey post-acquisto Legittimo interesse / Consenso (art. 6.1.f / a) Facoltativo
i Difesa in giudizio e gestione di controversie Legittimo interesse (art. 6.1.f) Obbligatorio

Il Cliente può revocare in qualsiasi momento il consenso prestato per le finalità (e), (f), (g), (h) senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca, scrivendo a info@notapersonal.com o utilizzando i link di disiscrizione presenti in ogni comunicazione.

6. Modalità del Trattamento

I dati personali sono trattati con strumenti automatizzati e, in via residuale, in forma cartacea, adottando misure tecniche e organizzative adeguate (art. 32 GDPR) volte a garantire:

  • la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi;
  • la prevenzione di accessi non autorizzati, perdite, divulgazioni o distruzioni accidentali;
  • il rispetto del principio di minimizzazione e di limitazione delle finalità;
  • la cifratura dei dati in transito (HTTPS/TLS) e dei dati sensibili a riposo, ove tecnicamente applicabile.

L'accesso ai dati è limitato al personale autorizzato del Titolare e ai responsabili esterni nominati ai sensi dell'art. 28 GDPR.

7. Destinatari dei Dati (Sub-Processor)

I dati personali possono essere comunicati ai seguenti soggetti, debitamente nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR ovvero che operano in qualità di Titolari autonomi nell'ambito dei servizi resi:

7.1 Hosting e infrastruttura e-commerce

  • Shopify International Ltd. (Irlanda) e Shopify Inc. (Canada): piattaforma e-commerce e hosting del Sito.

7.2 Servizi di pagamento

  • Shopify Payments / Stripe Payments Europe Ltd. (Irlanda): elaborazione dei pagamenti con carta;
  • PayPal (Europe) S.à r.l. et Cie, S.C.A. (Lussemburgo): elaborazione dei pagamenti via PayPal;
  • altri prestatori PSP eventualmente attivi al check-out (es. Apple Pay, Google Pay).

7.3 Marketing e comunicazione

  • Klaviyo Inc. (Stati Uniti): piattaforma di email marketing e automazioni;
  • Yotpo / SMSBump (Stati Uniti / Bulgaria): piattaforma di SMS marketing.

7.4 Servizio clienti

  • Freshworks Inc. / Freshdesk (Stati Uniti / India): piattaforma di gestione del servizio clienti e ticketing;
  • Anthropic PBC (Stati Uniti): infrastruttura di intelligenza artificiale a supporto della classificazione e della redazione di risposte da parte degli operatori umani;
  • Railway Corp. (Stati Uniti): hosting del backend tecnico del servizio clienti.

7.5 Recensioni e indagini di soddisfazione

  • Trustpilot A/S (Danimarca): raccolta e pubblicazione delle recensioni dei clienti;
  • Grapevine Surveys (Stati Uniti): indagini di soddisfazione post-acquisto.

7.6 Analytics e pubblicità (solo con consenso cookie)

  • Google Ireland Ltd. (Irlanda): Google Analytics 4, Google Ads, Google Tag Manager;
  • Meta Platforms Ireland Ltd. (Irlanda): Pixel Facebook/Instagram, Conversions API;
  • TikTok Technology Ltd. (Irlanda) e gruppo ByteDance: TikTok Pixel ed Events API.

7.7 Realizzazione del prodotto

  • Anthropic PBC (Stati Uniti): generazione assistita dei testi tramite API (i dati di personalizzazione vengono inviati e trattati per la sola durata della generazione, senza essere utilizzati per addestramento);
  • Suno Inc. / fornitori API musicali (Stati Uniti): generazione assistita della componente musicale; gli operatori umani interni (artisti, supervisori) effettuano scelte artistiche, revisione e mastering del prodotto finale.

7.8 Distribuzione streaming (solo se il servizio è acquistato)

  • partner di distribuzione musicale (es. distributori aggregatori autorizzati per Spotify, Apple Music, Deezer, Amazon Music, ecc.): trasmissione del brano e dei metadati richiesti dalle piattaforme di streaming.

7.9 Strumenti operativi e amministrativi

  • Google Workspace / Google Ireland Ltd. (Irlanda): posta elettronica e strumenti di produttività interni;
  • consulenti contabili, fiscali e legali del Titolare, nei limiti delle finalità contrattuali e degli obblighi di legge;
  • corrieri e prestatori logistici (esclusivamente per la distribuzione streaming, in caso di obblighi documentali fisici);
  • autorità giudiziarie e di controllo, su loro legittima richiesta.

L'elenco aggiornato dei Responsabili del trattamento può essere richiesto in qualsiasi momento scrivendo a info@notapersonal.com.

8. Trasferimenti di Dati Extra-UE

Alcuni dei sub-processor indicati al punto 7 hanno sede o effettuano trattamenti al di fuori dello Spazio Economico Europeo (in particolare Stati Uniti, Canada, India).

In tali casi, il Titolare garantisce che il trasferimento avvenga nel rispetto degli artt. 44 e seguenti del GDPR, sulla base di:

  • Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework per i fornitori statunitensi certificati);
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione (UE) 2021/914;
  • ulteriori misure supplementari tecniche e organizzative ove necessarie a garantire un livello di protezione sostanzialmente equivalente a quello UE.

Gli interessati possono richiedere copia delle garanzie adottate scrivendo a info@notapersonal.com.

9. Periodi di Conservazione

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono raccolti, secondo i seguenti criteri:

Categoria di dati Periodo di conservazione
Dati di account e profilo cliente Per tutta la durata del rapporto + 24 mesi dall'ultimo acquisto o interazione
Dati relativi agli ordini, fatture e documenti contabili 10 anni dalla data di emissione (art. 2220 c.c. e D.P.R. 600/1973)
Dati di personalizzazione (testo canzone, file audio) Fino a 24 mesi dalla consegna, ai fini di assistenza post-vendita; successivamente anonimizzati o cancellati
Comunicazioni con il servizio clienti 24 mesi dalla chiusura del ticket
Dati per finalità di marketing (consenso) Fino alla revoca del consenso e comunque non oltre 24 mesi dall'ultima interazione (in linea con le Linee Guida del Garante)
Dati di navigazione e cookie analitici Secondo quanto indicato nella Cookie Policy (massimo 14 mesi per i cookie analitici, salvo diverso periodo specificato)
Dati relativi a controversie e contenzioso Per tutta la durata del contenzioso e fino al decorso dei termini di prescrizione applicabili

Decorsi i suddetti termini, i dati saranno cancellati o resi anonimi in modo irreversibile.

10. Diritti degli Interessati

In qualità di interessato, l'Utente ha il diritto di esercitare in qualsiasi momento i seguenti diritti, ai sensi degli artt. 15-22 GDPR:

  • Diritto di accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e ricevere copia dei dati;
  • Diritto di rettifica (art. 16): correggere dati inesatti o incompleti;
  • Diritto alla cancellazione (art. 17, "diritto all'oblio"): ottenere la cancellazione dei dati nei casi previsti dalla legge;
  • Diritto di limitazione (art. 18): limitare il trattamento in determinate circostanze;
  • Diritto alla portabilità (art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare;
  • Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento basato sul legittimo interesse o per finalità di marketing diretto;
  • Diritto di revocare il consenso (art. 7.3): in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
  • Diritto di non essere sottoposto a decisioni automatizzate (art. 22): si veda il punto 12.

Modalità di esercizio dei diritti

L'interessato può esercitare i propri diritti scrivendo a:

📧 info@notapersonal.com

Il Titolare si impegna a fornire riscontro entro un mese dalla ricezione della richiesta, prorogabile di ulteriori due mesi in caso di particolare complessità (art. 12.3 GDPR), comunicando all'interessato la motivazione della proroga.

L'esercizio dei diritti è gratuito, salvo che le richieste siano manifestamente infondate o eccessive (art. 12.5 GDPR).

Reclamo all'Autorità di Controllo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato ha diritto di proporre reclamo a un'Autorità di controllo, in particolare:

  • Garante per la protezione dei dati personali (Italia) Piazza Venezia 11, 00187 Roma Tel: +39 06 696771 www.garanteprivacy.it

  • ovvero l'autorità di controllo dello Stato membro UE in cui l'interessato risiede o lavora.

11. Trattamento dei Dati di Terzi (Destinatari del Regalo)

Quando il Cliente acquista una canzone destinata a un'altra persona, fornisce al Titolare dati personali relativi al Destinatario del regalo (nome, occasione, aneddoti, ecc.).

Tali dati sono trattati ai sensi dell'art. 14 GDPR, sulla base dell'esecuzione del contratto richiesto dal Cliente e del legittimo interesse del Titolare alla realizzazione del prodotto, e sono conservati nei termini indicati al punto 9.

Garanzia del Cliente

Il Cliente, fornendo dati personali di terzi, dichiara e garantisce:

  • di avere il diritto di condividere tali informazioni con il Titolare ai fini della realizzazione del prodotto;
  • che le informazioni fornite non sono di natura sensibile, lesive della reputazione, riservate o coperte da segreto;
  • di sollevare il Titolare da ogni responsabilità derivante da un uso improprio o non autorizzato dei dati di terzi.

Diritti del Destinatario

Il Destinatario del regalo, in qualità di interessato, può esercitare i diritti di cui al punto 10 scrivendo a info@notapersonal.com. Il Titolare si riserva, nell'interpello legittimo del rapporto contrattuale con il Cliente acquirente, di concordare con il Destinatario le modalità più appropriate per l'esercizio di tali diritti.

12. Decisioni Automatizzate e Profilazione

Il Titolare può effettuare attività di profilazione ai fini della personalizzazione delle comunicazioni di marketing (segmentazione per acquisti, interessi, comportamento di navigazione), sulla base del consenso dell'interessato.

L'utilizzo di strumenti di intelligenza artificiale generativa nell'ambito della realizzazione del prodotto non costituisce un processo decisionale automatizzato ai sensi dell'art. 22 GDPR: l'output dell'IA è sempre supervisionato, modificato e validato da operatori umani prima della consegna al Cliente. La decisione finale sul prodotto consegnato è quindi sempre umana.

L'interessato ha in ogni caso diritto di opporsi alle attività di profilazione scrivendo a info@notapersonal.com.

13. Sicurezza dei Dati

Il Titolare adotta misure tecniche e organizzative idonee a proteggere i dati personali, tra cui:

  • protocolli di cifratura HTTPS/TLS per le trasmissioni;
  • controlli di accesso basati sui privilegi minimi necessari;
  • autenticazione a due fattori per gli accessi ai sistemi critici;
  • backup periodici e test di ripristino;
  • monitoraggio degli accessi e dei tentativi di intrusione;
  • formazione periodica del personale sulla protezione dei dati;
  • accordi sulla protezione dei dati (DPA) con tutti i Responsabili esterni.

In caso di violazione dei dati personali (data breach) che presenti un rischio per i diritti e le libertà delle persone fisiche, il Titolare provvederà a notificare l'evento all'Autorità di controllo competente entro 72 ore e, ove richiesto dalla legge, a comunicarlo agli interessati senza ingiustificato ritardo (artt. 33-34 GDPR).

14. Cookie

Il Sito utilizza cookie tecnici e, previo consenso dell'Utente espresso tramite l'apposito banner, cookie analitici e di marketing.

Per informazioni dettagliate sulle tipologie di cookie utilizzate, sulle finalità e sui terzi coinvolti, e per gestire le proprie preferenze, si rinvia alla Cookie Policy disponibile all'indirizzo:

🔗 www.notapersonal.com/policies/cookie-policy

15. Minori

Il Sito non è destinato a minori di età inferiore ai 16 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora un genitore o tutore ritenga che il proprio minore abbia fornito dati personali al Sito, è invitato a contattare info@notapersonal.com per la cancellazione dei dati.

16. Modifiche all'Informativa

Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, in particolare per adeguarla a sopravvenute esigenze normative, organizzative o operative.

La data dell'ultimo aggiornamento è indicata in apertura del documento. Si invita a consultare periodicamente questa pagina.

In caso di modifiche sostanziali, gli interessati saranno informati con comunicazione dedicata via email o tramite avviso pubblicato sul Sito.

17. Contatti

Per qualsiasi domanda o richiesta relativa al trattamento dei dati personali, l'interessato può rivolgersi a:

RY ECOM 12 Rue de la Part-Dieu, 69003 Lione, Francia 📧 info@notapersonal.com