SightReader SightReader

Informativa sulla privacy

Ultimo aggiornamento: 18 June 2026

Questa traduzione è fornita per chiarezza. La versione inglese è il testo giuridicamente vincolante.

Questa informativa spiega quali dati personali SightReader raccoglie, perché li raccogliamo e cosa puoi fare al riguardo. Abbiamo cercato di tenerla breve e chiara. Se qualcosa non è chiaro, scrivi a [email protected] e te lo spiegheremo.

Chi siamo

SightReader ( sightreader.app ) è gestito da Bret Cameron, lavoratore autonomo, con sede a Londra, Regno Unito. Ai fini del UK GDPR e del Data Protection Act 2018, siamo il titolare del trattamento dei dati personali descritti di seguito.

Contatto per qualunque questione di privacy: [email protected].

Cosa raccogliamo

Informazioni dell’account

  • Il tuo indirizzo email e (quando il provider li fornisce) il nome visualizzato e la foto del profilo dal provider di accesso che scegli (Google, Microsoft o il magic link via email).
  • Un ID utente interno che generiamo, oltre al ruolo (la maggior parte degli utenti è semplicemente user).
  • Le risposte di onboarding (livello, obiettivo settimanale) se completi il flusso introduttivo.

Dati di pratica

  • Le sessioni che completi: quale brano, precisione, tempi, valutazione a stelle, le note che hai suonato.
  • Le impostazioni che modifichi (tempo, trasposizione, armature di chiave).
  • I brani che carichi (file MusicXML), se presenti. Sono salvati sotto il tuo account.
  • I nomi del dispositivo MIDI collegato (es. "Yamaha P-45") per mostrarli nel selettore. Non registriamo audio.

Dati di pagamento

Se passi a Pro, la fatturazione è gestita da Stripe. Non vediamo mai i dati della tua carta: Stripe ci invia solo l’ID cliente, lo stato dell’abbonamento e la valuta. Al loro trattamento si applica l’informativa sulla privacy di Stripe.

Dati tecnici

  • Indirizzo IP e posizione approssimativa (paese/città) al momento della richiesta.
  • Browser, sistema operativo e tipo di dispositivo dallo User-Agent.
  • Le pagine che visualizzi, i pulsanti che clicchi e gli errori che incontri.

Comunicazioni

Quando ti inviamo un’email (benvenuto, sequenza di onboarding, riepilogo settimanale se sei un amministratore) registriamo l’invio ed eventuali successivi rimbalzi o reclami. Se rispondi a una nostra email, conserviamo la conversazione.

Basi giuridiche del trattamento

Ai sensi dell’articolo 6 del UK GDPR, le basi giuridiche su cui ci affidiamo sono:

  • Contratto — per fornire il servizio a cui ti sei iscritto: gestione dell’account, monitoraggio della pratica, fatturazione, accesso.
  • Legittimi interessi — per mantenere il servizio sicuro, correggere bug (Sentry), capire quali funzionalità vengono usate (PostHog) e contattarti su modifiche significative del prodotto. Abbiamo bilanciato questo con i tuoi diritti e riteniamo l’impatto minimo.
  • Consenso — per le email di marketing non essenziali oltre agli aggiornamenti del servizio. Ogni email di marketing include un link per disiscriverti. Puoi revocare il consenso in qualsiasi momento da il tuo account o tramite il link di disiscrizione.
  • Obbligo legale — per conservare i registri di fatturazione (Stripe) per finalità fiscali presso HMRC.

Come usiamo i tuoi dati

  • Per creare il tuo account e permetterti di accedere.
  • Per salvare i progressi della tua pratica e proporti selezioni quotidiane adatte al tuo livello.
  • Per riscuotere i pagamenti di Pro e ricordare se hai diritto alle funzionalità Pro.
  • Per inviarti email transazionali (link di accesso, ricevute, modifiche dell’account).
  • Per inviarti email di onboarding e di prodotto (benvenuto, sequenza), da cui puoi disiscriverti in qualsiasi momento.
  • Per analizzare i crash, monitorare le prestazioni e rilevare abusi.
  • Per produrre statistiche aggregate e non identificative sull’uso del prodotto (es. "quanti utenti hanno completato il Grade 1 la settimana scorsa").

Non vendiamo i tuoi dati personali. Non mostriamo pubblicità di terze parti e non condividiamo mai i tuoi dati con inserzionisti.

Sub-responsabili

Ci avvaliamo di un piccolo numero di fornitori per erogare il servizio. Ciascuno è vincolato da un contratto (Data Processing Addendum) che li obbliga a trattare i tuoi dati solo secondo le nostre istruzioni e ad applicare misure di sicurezza adeguate.

  • Supabase (database e archiviazione per l’autenticazione) — ospitato nell’UE.
  • Cloudflare (hosting, DNS, WAF) — rete globale, con traffico solitamente servito dal Regno Unito o dall’UE per i visitatori britannici.
  • Amazon Web Services — S3 (archiviazione della libreria MusicXML), CloudFront (CDN davanti alla libreria) e SES (email transazionali e di marketing; vengono trattati l’indirizzo email e il corpo del messaggio). Usiamo la regione eu-west-2 (Londra).
  • Stripe — elaborazione dei pagamenti (Regno Unito e mondiale).
  • Google e Microsoft — solo quando scegli quei provider per accedere. Loro vedono che hai effettuato l’accesso a SightReader; noi riceviamo la tua email, il nome visualizzato e l’avatar.
  • PostHog (analitica di prodotto) — cloud UE (eu.i.posthog.com).
  • Sentry (monitoraggio errori) — Francoforte, Germania (de.sentry.io).

Trasferimenti internazionali

La maggior parte del nostro trattamento avviene nel Regno Unito o nell’UE. Quando un sub-responsabile ha sede al di fuori del Regno Unito (es. Stripe, parti di AWS, Google, Microsoft), i trasferimenti si basano sul UK International Data Transfer Agreement, sulle Clausole Contrattuali Standard dell’UE con l’addendum britannico o su una decisione di adeguatezza (come il UK–US Data Bridge), a seconda dei casi. Puoi chiederci una copia del meccanismo di trasferimento applicabile scrivendo a [email protected].

Conservazione

  • Dati di account e di pratica — conservati finché il tuo account è attivo. Se elimini il tuo account, rimuoviamo i campi identificativi entro 30 giorni; le statistiche di pratica aggregate e anonime possono persistere.
  • Log email — conservati per 12 mesi a fini diagnostici di consegna, poi eliminati.
  • Registri di pagamento — conservati per almeno 6 anni per rispettare le regole di conservazione di HMRC.
  • Token di magic link — monouso, scadono dopo 30 minuti, salvati in forma di hash.
  • Eventi di crash e analitica — conservati rispettivamente 90 giorni (Sentry) e 12 mesi (PostHog), poi eliminati.

I tuoi diritti

In base al UK GDPR hai il diritto di:

  • Richiedere una copia dei dati personali che abbiamo su di te (diritto di accesso).
  • Correggere ciò che è errato (rettifica).
  • Chiederci di eliminare i tuoi dati, incluso l’account (cancellazione / "diritto all’oblio").
  • Limitare o opporti a determinati trattamenti.
  • Ricevere i tuoi dati in un formato portabile (portabilità dei dati).
  • Revocare il consenso in qualsiasi momento, quando ci siamo basati sul consenso.
  • Presentare un reclamo all’ Information Commissioner’s Office (ICO) del Regno Unito se ritieni che abbiamo gestito male i tuoi dati. Apprezzeremmo l’opportunità di affrontare la questione prima — scrivi a [email protected].

Puoi esercitare la maggior parte di questi diritti direttamente dalla tua pagina account (elimina account, esporta dati, modifica profilo). Per tutto ciò che non è self-service, scrivici — puntiamo a rispondere entro 30 giorni.

Per eliminare tu stesso il tuo account e tutti i dati associati, vai alla pagina di eliminazione dell’account. L’eliminazione è permanente dopo un periodo di tolleranza di 30 giorni.

Cookie e tecnologie simili

Raggruppiamo i cookie in tre categorie. Puoi cambiare le tue scelte in qualsiasi momento nella pagina Impostazioni dei cookie .

Strettamente necessari

Sempre attivi. Il sito non funziona senza di loro, quindi sono esenti dal consenso.

  • Autenticazione — un cookie di sessione impostato da Auth.js così non devi accedere ad ogni caricamento di pagina.
  • Protezione CSRF — un cookie di breve durata per impedire richieste falsificate.
  • Preferenza della lingua — un cookie che ricorda la lingua scelta così il sito si presenta nella lingua giusta alla prossima visita.
  • Registrazione del consenso ai cookie — archiviazione locale con le tue scelte per categoria, per non chiedertele ad ogni visita.
  • Preferenze — archiviazione locale per ricordare scelte di interfaccia come il volume o la chiave preferita.
  • Monitoraggio degli errori — Sentry imposta un ID di sessione per collegare errori correlati. Nessun dato personale; necessario per la salute del sito.

Analitica

Impostati solo se acconsenti. PostHog inserisce un cookie di prima parte e una voce in localStorage per contare gli utenti unici e misurare l’uso delle funzionalità. Ospitato in UE, IP mascherato.

Marketing

Oggi non ci sono cookie di marketing attivi. Li elencheremo qui man mano che li aggiungiamo, e la categoria rimane disattivata per impostazione predefinita finché non acconsenti.

Per cambiare le tue scelte, vai su Impostazioni dei cookie (linkato anche nel piè di pagina del sito).

Minori

SightReader è adatto a studenti di pianoforte di tutte le età, ma non raccogliamo consapevolmente dati personali da bambini sotto i 13 anni. In linea con l’ Age Appropriate Design Codedell’ICO, chiunque abbia meno di 13 anni nel Regno Unito dovrebbe chiedere a un genitore o tutore di creare l’account per suo conto. Se ritieni che un minore si sia iscritto senza permesso, scrivi a [email protected] ed elimineremo l’account.

Sicurezza

Proteggiamo i tuoi dati con misure standard del settore: TLS in transito, cifratura a riposo presso i nostri provider di database e archiviazione, token di magic link salvati in hash (non in chiaro), sicurezza a livello di riga nel database affinché ogni utente possa leggere solo i propri record, aggiornamenti regolari delle dipendenze e credenziali di servizio con privilegi minimi. Nessun sistema è inattaccabile — se rileviamo una violazione che riguarda i tuoi dati, lo notificheremo a te e all’ICO senza ingiustificato ritardo, come previsto dalla legge.

Modifiche a questa informativa

Possiamo aggiornare questa informativa quando il prodotto o i nostri fornitori cambiano. La data di "Ultimo aggiornamento" in cima alla pagina è il riferimento valido. Per modifiche sostanziali (nuove categorie di dati, nuovi sub-responsabili che alterano in modo significativo il quadro della privacy) avviseremo gli utenti attivi via email almeno 14 giorni prima dell’entrata in vigore.

Contatti

Domande, richieste o reclami: [email protected]. Cerchiamo di rispondere entro tre giorni lavorativi (ora del Regno Unito).

Se non riusciamo a risolvere il tuo reclamo, puoi contattare l’ Information Commissioner’s Office — l’autorità britannica per la protezione dei dati — su ico.org.uk/make-a-complaint.