Versión
privacy-2026-07-20
Fecha de vigencia
2026-07-20
Historial de cambios de la política

Política de Protección de Datos Personales

Gonggamgak (en adelante, “la empresa”) establece y publica la presente política de protección de datos personales de acuerdo con el artículo 30 de la Ley de Protección de Información Personal, con el fin de proteger la información personal del sujeto de datos y de gestionar de manera rápida y fluida cualquier queja relacionada con el tratamiento de datos personales.

Artículo 1 (Propósitos del Tratamiento de Datos Personales)

  1. Registro y gestión de cuenta: identificación del usuario, vinculación de inicio de sesión social, verificación de edad, gestión de sesión, prevención de uso indebido
  2. Prestación del servicio: búsqueda, vista previa, compra, visualización y descarga de partituras, reproducción de audio, biblioteca, grupos, pedidos personalizados y soporte al cliente
  3. Contratos y pagos: pedidos, pagos, créditos, membresías, reembolsos, facturas y gestión de permisos
  4. Funciones de IA: procesamiento de entradas y archivos adjuntos según el consentimiento del usuario, generación de resultados, verificación de seguridad, gestión de límites de uso y registros
  5. Mejora y análisis del servicio: estadísticas de uso basadas en el consentimiento del usuario, flujo de uso del servicio, análisis de errores y rendimiento
  6. Obligaciones legales y seguridad: cumplimiento de la normativa, respuesta a incidentes de seguridad, gestión de disputas, prevención de infracciones de derechos y uso indebido
  7. Marketing: provisión de información sobre eventos y publicidad solo cuando se haya obtenido un consentimiento separado

Artículo 2 (Categorías de Datos Personales Tratados y Métodos de Recopilación)

CategoríaElementos de datosMétodo de recopilación
Registro e inicio de sesión socialNombre o apodo, correo electrónico, imagen de perfil, identificador del proveedor OAuth y del proveedor específicoOAuth de Google, Kakao, Naver, Apple o Meta
Credenciales emitidas por el administradorNombre de usuario, valor hash unidireccional de la contraseñaEmitido y procesado solo para cuentas aprobadas por la empresa al iniciar sesión
Registro y configuración de cuentaIdioma preferido, confirmación de ser mayor de 14 años y fecha/hora de verificación, historial de aceptación y revocación de términos, política de privacidad y procesamiento de IAEntrada del usuario y registros del servicio
Pedidos y pagosNúmero de pedido, producto, monto, moneda, país, tipo de método de pago, estado de pago, cancelación y reembolso, historial de créditos y membresíaProceso de pago y compra y respuesta del proveedor de pasarela de pago
Uso del servicioRegistros de compra, visualización, descarga, grupos, pedidos personalizados, consultas, búsquedas, interacciones UI, registros de errores y seguridadGenerado durante el uso del servicio
IA y herramientas de creaciónPrompt, conversación, imágenes/archivos subidos, resultados generados, registro de modelo, uso y procesamiento de seguridadEntrada o generación del usuario al utilizar la función
Información técnica y de análisisDirección IP, agente de usuario, identificadores de cookies y sesión, identificador de análisis generado aleatoriamente, identificador interno de análisis para usuarios autenticados, ruta de página, eventos de uso del servicio, configuración de idioma, hora de accesoRecopilado automáticamente durante el uso web o de la aplicación

Artículo 3 (Plazo de Tratamiento y Conservación)

La empresa destruirá los datos personales sin demora una vez alcanzado el propósito del tratamiento. No obstante, la siguiente información podrá conservarse por periodos necesarios para cumplir obligaciones legales, responder a disputas o prevenir usos indebidos.

InformaciónCriterio de conservación
Cuenta y perfil del miembroHasta la finalización de la solicitud de eliminación de la cuenta. Cuando la eliminación se complete, la sesión de inicio y el acceso al servicio se terminan inmediatamente; la información que deba conservarse por ley se mantendrá durante el periodo legal correspondiente
Registros de contrato, desistimiento, pago y suministro5 años según la Ley de Comercio Electrónico
Registros de quejas de consumidores o gestión de disputas3 años según la Ley de Comercio Electrónico
Registros de exhibición y publicidad6 meses según la Ley de Comercio Electrónico
Registros de acceso3 meses cuando sea necesario según la Ley de Protección de la Privacidad de las Comunicaciones y otras normas aplicables
Sesiones de inicio activasHasta su expiración o cierre de sesión / eliminación de la cuenta
Historial de guardado de perfiles de IA, pósters y herramienta Vision90 días desde la creación o hasta que el usuario lo elimine manualmente
Archivo de exportación de datos personales24 horas después de su generación
Registros de consentimiento, revocación y auditoría de seguridadDurante el periodo necesario para cumplir obligaciones legales y responder a disputas o usos indebidos

Actualmente, la eliminación de la cuenta cierra inmediatamente el acceso al servicio y las sesiones activas. Los registros de transacciones, consentimientos y auditorías pueden permanecer de forma limitada según la legislación y la necesidad de gestión de disputas; los procedimientos de eliminación física o anonimización de la cuenta y el perfil se llevan a cabo conforme a una política de ciclo de vida de datos separada. El usuario puede solicitar la visualización, exportación o eliminación de sus datos a través del menú “Datos y Privacidad” de su cuenta.

Artículo 4 (Divulgación a Terceros)

En principio, la empresa no divulga los datos personales del usuario a terceros. Solo cuando exista un consentimiento separado del sujeto de datos o una base legal específica, la información se proporcionará dentro del alcance necesario. El tratamiento por parte de proveedores externos relacionado con pagos, alojamiento, autenticación, correo electrónico, análisis y funciones de IA puede constituir procesamiento delegado, divulgación a terceros o transferencia internacional, según el contrato y el propósito del tratamiento; los detalles específicos se indican en los artículos siguientes y en los apartados correspondientes.

Artículo 5 (Tratamiento a través de Proveedores Externos)

Proveedor externoActividad relacionada
Toss Payments Co., Ltd.Aprobación, liquidación, cancelación, reembolso y prevención de fraude de pagos nacionales
PayPal, Inc.Aprobación, liquidación, cancelación, reembolso y prevención de fraude de pagos internacionales admitidos
Cloudflare, Inc.CDN, entrega y seguridad de tráfico web, ejecución de aplicaciones Workers, almacenamiento de objetos R2, estadísticas de uso web basadas en consentimiento, intermediación de AI Gateway y procesamiento AI Workers
Neon, Inc.Alojamiento de bases de datos PostgreSQL
Google LLCAutenticación de inicio de sesión con cuenta Google y vinculación de cuenta
Google LLCAnálisis de estadísticas mediante Google Analytics 4 basado en el consentimiento del usuario
Google LLCProcesamiento de entradas y resultados de funciones AI basadas en Gemini seleccionadas por el usuario
Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc.Autenticación de inicio de sesión social y vinculación de cuenta según la selección del usuario
Anthropic PBCProcesamiento de la función Claude AI seleccionada por el usuario
OpenAI, L.L.C.Procesamiento de la función OpenAI AI seleccionada por el usuario
Resend, Inc.Envío de correos electrónicos de transacciones, cuentas y servicios

Artículo 6 (Transferencia Internacional de Datos Personales)

La empresa puede transferir y almacenar al exterior los siguientes datos personales durante el uso del servicio. Cuando el usuario utilice la función correspondiente o sea necesario para la ejecución del contrato, la transferencia se realiza de forma continua a través de redes cifradas TLS. La base legal de cada transferencia se determina según el artículo 28-8 de la Ley de Protección de Información Personal y otras normas aplicables, en función del consentimiento, la ejecución del contrato o la delegación del procesamiento.

Destinatario y contactoPaís/RegiónDatos transferidosPropósito de la transferenciaMomento y métodoBase legalPeriodo de conservación/usoMétodo de rechazo y consecuencias
Cloudflare, Inc. (privacyquestions@cloudflare.com)Estados Unidos y regiones de la red global de Cloudflare. La ubicación de procesamiento/almacenamiento varía según el producto, la configuración de la cuenta y la ruta de solicitudRegistros de cuenta y servicio, IP, información de dispositivo y análisis, archivos de objetos, datos ingresados por el usuario en IAAlojamiento, seguridad, almacenamiento, análisis basado en consentimiento, intermediación de IATransferencia y almacenamiento continuo durante el uso del servicio, mediante TLSEjecución del contrato y delegación del procesamientoSegún los periodos de conservación locales o según la duración del contrato/configuración del productoEl análisis y la IA opcionales pueden rechazarse mediante revocación del consentimiento, lo que limitará esas funciones. Rechazar el alojamiento esencial dificultará la prestación del servicio
Neon, Inc. (privacy@neon.tech)Singapur (AWS ap-southeast-1)Registros de miembros, transacciones, consentimientos y uso del servicioAlmacenamiento en base de datos PostgreSQLTransferencia y almacenamiento continuo durante el uso del servicio, mediante TLSEjecución del contrato y delegación del procesamientoSegún los periodos de conservación locales o hasta la terminación del contrato de delegaciónRechazar el almacenamiento esencial impedirá la provisión del servicio basado en cuenta
Google LLC (googlekrsupport@google.com)Estados Unidos y otras regiones de procesamiento de GoogleIdentificadores OAuth, identificadores y eventos de análisis, o entradas, adjuntos y salidas de IAAutenticación OAuth, análisis GA4 basado en consentimiento, funciones Gemini seleccionadasTransferencia mediante TLS al utilizar la función correspondienteConsentimiento por función o ejecución del contratoDurante el periodo necesario para la autenticación, análisis y provisión de la función, según la política de GooglePuede optar por no usar cada función o revocar el consentimiento, lo que limitará esas funciones
Apple Inc., Meta Platforms, Inc.Estados Unidos y regiones de procesamiento de cada proveedorIdentificadores del proveedor, nombre, correo electrónico, información de perfilAutenticación OAuth y vinculación de cuenta seleccionadaTransferencia mediante TLS al iniciar sesión o conectar la cuentaEjecución del contratoHasta la desvinculación de la cuenta, eliminación o según la política del proveedorPuede no seleccionar este método de inicio de sesión; en tal caso, no podrá usar esa forma de autenticación
PayPal, Inc. (privacy@paypal.com)Estados Unidos y regiones de procesamiento de PayPalIdentificadores del pagador, número de pedido, monto, moneda, estado de pago, cancelación y reembolsoProcesamiento de pagos internacionales seleccionados por el usuarioTransferencia mediante TLS al solicitar el pagoEjecución del contratoSegún los periodos de conservación de la Ley de Comercio Electrónico y la política de PayPalPuede optar por no usar pagos internacionales; esa forma de pago no estará disponible
Anthropic PBC (privacy@anthropic.com)Estados UnidosDatos de entrada y salida de IA y registros de procesamiento de seguridadProcesamiento de la función Claude seleccionada por el usuarioTransferencia mediante TLS al utilizar la funciónConsentimiento opcional para procesamiento de IADurante el periodo necesario para la provisión de la función y según el contrato/política de AnthropicPuede no usar la función de IA o revocar el consentimiento, lo que limitará esa función
OpenAI, L.L.C. (privacy@openai.com)Estados UnidosDatos de entrada y salida de IA y registros de procesamiento de seguridadProcesamiento de la función OpenAI seleccionada por el usuarioTransferencia mediante TLS al utilizar la funciónConsentimiento opcional para procesamiento de IADurante el periodo necesario para la provisión de la función y según el contrato/política de OpenAIPuede no usar la función de IA o revocar el consentimiento, lo que limitará esa función
Resend, Inc. (privacy@resend.com)Estados UnidosCorreo electrónico de destino, nombre, mensaje y registro de envíoEnvío de correos electrónicos de transacciones, cuentas y serviciosTransferencia mediante TLS al enviarEjecución del contrato y delegación del procesamientoDurante el periodo necesario para el envío y la gestión de incidentes, según el contrato/política de ResendRechazar el envío de correos electrónicos de transacciones y cuentas puede dificultar la provisión de los servicios relacionados

El usuario puede rechazar la transferencia internacional al no utilizar funciones de IA opcionales, análisis opcional o pagos internacionales, o revocando el consentimiento correspondiente. Rechazar procesos esenciales como autenticación, alojamiento, bases de datos o envío de correos electrónicos obligatorios puede dificultar la provisión de esas funciones o del servicio completo. Las consultas y solicitudes de eliminación de cuenta se pueden realizar a través del menú “Datos y Privacidad” de la cuenta o enviando un correo a support@sheetmusic.kr.

Artículo 7 (Tratamiento de Datos Personales en Funciones de IA)

  1. Las funciones de IA procesan el texto, imágenes y archivos ingresados por el usuario, así como los resultados generados, con fines de provisión del servicio, verificación de seguridad, respuesta a errores y gestión de límites de uso.
  2. El usuario no debe ingresar información sensible, como número de identificación nacional u otra información de identificación única bajo la Ley de Protección de Información Personal de Corea del Sur, ni datos personales de terceros sin autorización.
  3. El servicio no utiliza las entradas o salidas de IA del usuario como datos de entrenamiento para modelos genéricos. La empresa emplea APIs de proveedores externos de IA o configuraciones empresariales; cuando la configuración lo permite, se asegura de que ni la entrada ni la salida se utilicen para entrenar modelos genéricos del proveedor. Los periodos de retención y los métodos de revisión de seguridad varían según el modelo seleccionado y los términos contractuales.
  4. El consentimiento para el procesamiento de IA puede revocarse en cualquier momento desde el menú “Datos y Privacidad” de la cuenta. La revocación no afecta la legalidad del procesamiento previo, pero limitará el uso futuro de las funciones de IA.
  5. Las quejas sobre resultados inadecuados de IA o sobre datos personales pueden enviarse a support@sheetmusic.kr.

Artículo 8 (Información de comportamiento, cookies y almacenamiento local)

  1. El servicio utiliza cookies y almacenamiento local o de sesión del navegador para mantener el inicio de sesión, la seguridad, la configuración de idioma, el carrito de compras y el estado de las funciones.
  2. Google Analytics 4, cuando el usuario ha dado su consentimiento, puede procesar identificadores de análisis generados aleatoriamente, identificadores internos de análisis para usuarios autenticados, rutas de página, eventos de uso del servicio, configuración de idioma, información de dispositivo/navegador y hora de acceso.
  3. Cloudflare Web Analytics y las funciones de análisis de rendimiento del servicio pueden procesar información de solicitudes de página, dispositivo, navegador y red; el método de identificación real y el alcance de la retención dependen de la configuración del producto aplicado.
  4. El consentimiento para el análisis puede rechazarse o revocarse mediante el banner o desde el menú “Datos y Privacidad” de la cuenta. El rechazo no impide el uso de los servicios esenciales.
  5. Los usuarios pueden bloquear cookies desde la configuración del navegador, pero bloquear cookies esenciales puede impedir el funcionamiento de inicio de sesión, pagos y otras funciones.

Artículo 9 (Derechos del Sujeto de Datos y del Representante Legal)

  1. El sujeto de datos puede solicitar, dentro del alcance permitido por la legislación aplicable, la visualización, corrección, eliminación, suspensión del procesamiento y revocación del consentimiento de sus datos personales. Asimismo, puede obtener una copia de sus datos mediante la función de exportación proporcionada por la empresa.
  2. Las solicitudes pueden realizarse a través del menú “Datos y Privacidad” de la cuenta, por correo electrónico o por teléfono; la empresa verificará la identidad del solicitante o de su representante legítimo y procesará la solicitud conforme a la legislación aplicable.
  3. Cuando exista una obligación legal de conservación o exista riesgo de vulnerar los derechos de terceros, la empresa podrá limitar parcialmente la solicitud y notificará las razones.
  4. El servicio no permite el registro de menores de 14 años. Si la empresa descubre que un menor ha creado una cuenta, llevará a cabo la verificación de edad, restringirá el uso de la cuenta y eliminará los datos personales según sea necesario. No obstante, la información que deba conservarse por ley se mantendrá durante el periodo correspondiente.

Artículo 10 (Destrucción de Datos Personales)

  1. Los datos cuyo periodo de conservación haya expirado o cuyo propósito de tratamiento haya sido alcanzado se destruirán sin demora.
  2. La información que deba conservarse por obligación legal se mantendrá bajo estrictas restricciones de acceso y se destruirá al finalizar el periodo de conservación.
  3. Los datos personales en formato electrónico se eliminarán de manera segura o se anonimizarán de forma que su recuperación o recreación sea imposible.

Artículo 11 (Medidas de Seguridad)

  1. Medidas administrativas: limitar el acceso a datos personales al personal necesario y gestionar procedimientos y estándares de protección.
  2. Medidas técnicas: gestión de permisos de acceso, autenticación y control de acceso, cifrado TLS en tránsito, almacenamiento separado de información crítica y revisión de vulnerabilidades.
  3. Medidas físicas: aplicar la seguridad física y control de acceso de los proveedores de nube y centros de datos utilizados por la empresa.
  4. Medidas de respuesta a incidentes: detección de incidentes de seguridad, revisión de registros, respaldo y recuperación, y procedimientos de evaluación y respuesta.

Artículo 12 (Responsable de Protección de Datos y Recepción de Ejercicios de Derechos)

Responsable de Protección de Datos: Cho Chang-hyun (representante)

Correo electrónico: support@sheetmusic.kr

Teléfono: 070-4617-6352

Artículo 13 (Remedios por Violación de Derechos)

  1. Centro de Reporte de Violaciones de Datos Personales: 118, privacy.kisa.or.kr
  2. Comisión de Mediación de Disputas de Datos Personales: 1833-6972, www.kopico.go.kr
  3. Fiscalía General: 1301, www.spo.go.kr
  4. Policía Nacional: 182, ecrm.police.go.kr

Artículo 14 (Modificaciones a la Política de Tratamiento)

Cuando la política de tratamiento sea modificada, la fecha de entrada en vigor y los principales cambios se publicarán en el historial de servicios y políticas. Los cambios que afecten significativamente los derechos u obligaciones del sujeto de datos se notificarán por separado con antelación, de acuerdo con los plazos establecidos por la legislación aplicable o un periodo razonable.

Disposiciones suplementarias

Esta política de protección de datos personales entra en vigor a partir del 20 de julio de 2026.

Nombre comercial: Gonggamgak | Representante: Cho Chang-hyun

Número de registro empresarial: 872-49-00248 | Registro de venta por correo: No. 2021-GoyangDeokyang-gu-1669

Dirección: 27, Hwajeong-ro, 403 (Hwajeong-dong), Distrito Deokyang, Ciudad de Goyang, Provincia de Gyeonggi

Teléfono: 070-4617-6352 | Correo electrónico: support@sheetmusic.kr