Informativa sulla privacy
Come BirdSings raccoglie, tratta e protegge i tuoi dati personali — vale in tutto il mondo, con diritti aggiuntivi per residenti in UE/SEE, Regno Unito, Svizzera, California, Brasile e altri Paesi.
Ultimo aggiornamento: 2026-06-29
1. Chi siamo
BirdSings («noi», «nostro») gestisce il negozio su https://birdsings.com. Titolare del trattamento: privacy@birdsings.com. Le richieste al rappresentante UE/UK e al DPO usano lo stesso indirizzo.
2. Cosa raccogliamo
- Dati dell'ordine: e-mail, nome di fatturazione, paese, ID dei suoni acquistati, ID transazione. Base giuridica: esecuzione del contratto (art. 6(1)(b) GDPR).
- Dati operativi: lingua, tema, contenuto del carrello (nel
localStorage del browser, non sui nostri server salvo accesso). Base giuridica: legittimo interesse (art. 6(1)(f)). - Newsletter: e-mail più consenso esplicito. Base giuridica: consenso (art. 6(1)(a)). Revocabile in qualsiasi momento.
- Analytics (solo se accetti tutti i cookie): pagine viste pseudonimizzate via Google Analytics 4 con anonimizzazione IP (
anonymizeIp: true). Nessuna demografia, nessuna personalizzazione pubblicitaria. - Segnali anti-frode: IP in hash, paese derivato dall'IP, User-Agent al checkout. Base giuridica: legittimo interesse alla prevenzione delle frodi (Considerando 47 GDPR).
3. Cosa NON raccogliamo
- Non conserviamo i dati delle carte — Stripe gestisce tutte le carte nel proprio ambiente PCI-DSS Livello 1.
- Non vendiamo, affittiamo né cediamo i tuoi dati. (Per la California: né «sale» né «share» ai sensi di CCPA/CPRA.)
- Non ti tracciamo su altri siti né usiamo tracker pubblicitari.
- Non raccogliamo consapevolmente dati di minori di 16 anni. In tal caso, scrivici per la cancellazione.
4. Cookie
Tre categorie:
- Necessari (sempre attivi): carrello, lingua, tema. Il sito non funziona senza — nessun opt-out.
- Analytics (opt-in): GA4 con anonimizzazione IP. Disattivati per default in UE/SEE, Regno Unito e Svizzera.
- Marketing: al momento nessuno. Se introdotti, richiederanno consenso esplicito.
Puoi modificare la scelta in qualunque momento cancellando il cookie di consenso o scrivendoci.
5. Token anti-pirateria
All'acquisto generiamo un token di download legato al tuo ordine. Il token registra il primo indirizzo IP e lo User-Agent che effettuano con successo il download, per evitare la condivisione dell'account. L'IP è trattato esclusivamente per la prevenzione delle frodi e cancellato 30 giorni dopo la scadenza del token.
6. I tuoi diritti
Se risiedi in UE, SEE, Regno Unito o Svizzera (GDPR / UK GDPR / FADP):
- Accesso — copia dei dati.
- Rettifica.
- Cancellazione («diritto all'oblio»).
- Portabilità.
- Limitazione e opposizione ai trattamenti basati su legittimo interesse.
- Revoca del consenso alla newsletter in qualsiasi momento.
- Diritto a non essere sottoposto a decisioni unicamente automatizzate (non ne adottiamo).
Se risiedi in California (CCPA/CPRA): diritti di conoscere, cancellare, correggere, opt-out dalla vendita/condivisione (non vendiamo né condividiamo) e non discriminazione.
Se risiedi in Brasile (LGPD), Türkiye (KVKK) o altra giurisdizione comparabile: diritti equivalenti di accesso, rettifica, cancellazione, portabilità e opposizione.
Richieste a privacy@birdsings.com. Rispondiamo entro 30 giorni (45 per la California, ove ammessa la proroga).
7. Conservazione
- Documenti d'ordine: 10 anni (massimo tra gli obblighi fiscali dei paesi in cui vendiamo; i minimi locali sono più brevi). Dopo, cancellazione o anonimizzazione.
- Token di download: 12 ore attivi + 30 giorni di audit log.
- Iscritti alla newsletter: fino alla disiscrizione, poi anonimizzazione.
- Segnali anti-frode: 90 giorni; in caso di chargeback confermato 24 mesi.
8. Trasferimenti internazionali
I tuoi dati possono essere trattati al di fuori del tuo Paese, anche negli Stati Uniti. Ci basiamo sulle Clausole contrattuali standard UE (2021/914), sull'UK International Data Transfer Addendum, sulle clausole svizzere FDPIC e — per destinatari USA certificati — sul EU-US Data Privacy Framework. Stripe, Resend, Netlify e Google sono certificati DPF.
9. Responsabili del trattamento
- Stripe (pagamenti) — Irlanda/USA. SCC + DPF.
- Cloudflare R2 (archiviazione file) — regione UE.
- Resend (e-mail transazionali) — USA. SCC + DPF.
- Netlify (hosting) — USA. SCC + DPF.
- Google Analytics 4 (opzionale) — IP anonimizzato, senza remarketing. DPF.
10. Sicurezza
TLS 1.3 in transito, AES-256 a riposo. Stripe gestisce le carte. Accesso ai sistemi di produzione limitato a personale autorizzato vincolato da riservatezza scritta. Notifichiamo gli interessati e l'autorità competente entro 72 ore dalla conoscenza di una violazione, quando richiesto.
11. Reclamo
Puoi presentare reclamo all'autorità di controllo competente. Esempi:
12. Modifiche
Possiamo aggiornare l'informativa. Le modifiche sostanziali saranno annunciate nel banner del sito almeno 30 giorni prima dell'efficacia, salvo termine più breve previsto dalla legge.