Política de Protección de Datos Personales
Gonggamgak (en adelante, “la empresa”) establece y publica la presente política de protección de datos personales de acuerdo con el artículo 30 de la Ley de Protección de Información Personal, con el fin de proteger la información personal del sujeto de datos y de gestionar de manera rápida y fluida cualquier queja relacionada con el tratamiento de datos personales.
Artículo 1 (Propósitos del Tratamiento de Datos Personales)
- Registro y gestión de cuenta: identificación del usuario, vinculación de inicio de sesión social, verificación de edad, gestión de sesión, prevención de uso indebido
- Prestación del servicio: búsqueda, vista previa, compra, visualización y descarga de partituras, reproducción de audio, biblioteca, grupos, pedidos personalizados y soporte al cliente
- Contratos y pagos: pedidos, pagos, créditos, membresías, reembolsos, facturas y gestión de permisos
- Funciones de IA: procesamiento de entradas y archivos adjuntos según el consentimiento del usuario, generación de resultados, verificación de seguridad, gestión de límites de uso y registros
- Mejora y análisis del servicio: estadísticas de uso basadas en el consentimiento del usuario, flujo de uso del servicio, análisis de errores y rendimiento
- Obligaciones legales y seguridad: cumplimiento de la normativa, respuesta a incidentes de seguridad, gestión de disputas, prevención de infracciones de derechos y uso indebido
- Marketing: provisión de información sobre eventos y publicidad solo cuando se haya obtenido un consentimiento separado
Artículo 2 (Categorías de Datos Personales Tratados y Métodos de Recopilación)
| Categoría | Elementos de datos | Método de recopilación |
|---|---|---|
| Registro e inicio de sesión social | Nombre o apodo, correo electrónico, imagen de perfil, identificador del proveedor OAuth y del proveedor específico | OAuth de Google, Kakao, Naver, Apple o Meta |
| Credenciales emitidas por el administrador | Nombre de usuario, valor hash unidireccional de la contraseña | Emitido y procesado solo para cuentas aprobadas por la empresa al iniciar sesión |
| Registro y configuración de cuenta | Idioma preferido, confirmación de ser mayor de 14 años y fecha/hora de verificación, historial de aceptación y revocación de términos, política de privacidad y procesamiento de IA | Entrada del usuario y registros del servicio |
| Pedidos y pagos | Número de pedido, producto, monto, moneda, país, tipo de método de pago, estado de pago, cancelación y reembolso, historial de créditos y membresía | Proceso de pago y compra y respuesta del proveedor de pasarela de pago |
| Uso del servicio | Registros de compra, visualización, descarga, grupos, pedidos personalizados, consultas, búsquedas, interacciones UI, registros de errores y seguridad | Generado durante el uso del servicio |
| IA y herramientas de creación | Prompt, conversación, imágenes/archivos subidos, resultados generados, registro de modelo, uso y procesamiento de seguridad | Entrada o generación del usuario al utilizar la función |
| Información técnica y de análisis | Dirección IP, agente de usuario, identificadores de cookies y sesión, identificador de análisis generado aleatoriamente, identificador interno de análisis para usuarios autenticados, ruta de página, eventos de uso del servicio, configuración de idioma, hora de acceso | Recopilado automáticamente durante el uso web o de la aplicación |
Artículo 3 (Plazo de Tratamiento y Conservación)
La empresa destruirá los datos personales sin demora una vez alcanzado el propósito del tratamiento. No obstante, la siguiente información podrá conservarse por periodos necesarios para cumplir obligaciones legales, responder a disputas o prevenir usos indebidos.
| Información | Criterio de conservación |
|---|---|
| Cuenta y perfil del miembro | Hasta la finalización de la solicitud de eliminación de la cuenta. Cuando la eliminación se complete, la sesión de inicio y el acceso al servicio se terminan inmediatamente; la información que deba conservarse por ley se mantendrá durante el periodo legal correspondiente |
| Registros de contrato, desistimiento, pago y suministro | 5 años según la Ley de Comercio Electrónico |
| Registros de quejas de consumidores o gestión de disputas | 3 años según la Ley de Comercio Electrónico |
| Registros de exhibición y publicidad | 6 meses según la Ley de Comercio Electrónico |
| Registros de acceso | 3 meses cuando sea necesario según la Ley de Protección de la Privacidad de las Comunicaciones y otras normas aplicables |
| Sesiones de inicio activas | Hasta su expiración o cierre de sesión / eliminación de la cuenta |
| Historial de guardado de perfiles de IA, pósters y herramienta Vision | 90 días desde la creación o hasta que el usuario lo elimine manualmente |
| Archivo de exportación de datos personales | 24 horas después de su generación |
| Registros de consentimiento, revocación y auditoría de seguridad | Durante el periodo necesario para cumplir obligaciones legales y responder a disputas o usos indebidos |
Actualmente, la eliminación de la cuenta cierra inmediatamente el acceso al servicio y las sesiones activas. Los registros de transacciones, consentimientos y auditorías pueden permanecer de forma limitada según la legislación y la necesidad de gestión de disputas; los procedimientos de eliminación física o anonimización de la cuenta y el perfil se llevan a cabo conforme a una política de ciclo de vida de datos separada. El usuario puede solicitar la visualización, exportación o eliminación de sus datos a través del menú “Datos y Privacidad” de su cuenta.
Artículo 4 (Divulgación a Terceros)
En principio, la empresa no divulga los datos personales del usuario a terceros. Solo cuando exista un consentimiento separado del sujeto de datos o una base legal específica, la información se proporcionará dentro del alcance necesario. El tratamiento por parte de proveedores externos relacionado con pagos, alojamiento, autenticación, correo electrónico, análisis y funciones de IA puede constituir procesamiento delegado, divulgación a terceros o transferencia internacional, según el contrato y el propósito del tratamiento; los detalles específicos se indican en los artículos siguientes y en los apartados correspondientes.
Artículo 5 (Tratamiento a través de Proveedores Externos)
| Proveedor externo | Actividad relacionada |
|---|---|
| Toss Payments Co., Ltd. | Aprobación, liquidación, cancelación, reembolso y prevención de fraude de pagos nacionales |
| PayPal, Inc. | Aprobación, liquidación, cancelación, reembolso y prevención de fraude de pagos internacionales admitidos |
| Cloudflare, Inc. | CDN, entrega y seguridad de tráfico web, ejecución de aplicaciones Workers, almacenamiento de objetos R2, estadísticas de uso web basadas en consentimiento, intermediación de AI Gateway y procesamiento AI Workers |
| Neon, Inc. | Alojamiento de bases de datos PostgreSQL |
| Google LLC | Autenticación de inicio de sesión con cuenta Google y vinculación de cuenta |
| Google LLC | Análisis de estadísticas mediante Google Analytics 4 basado en el consentimiento del usuario |
| Google LLC | Procesamiento de entradas y resultados de funciones AI basadas en Gemini seleccionadas por el usuario |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Autenticación de inicio de sesión social y vinculación de cuenta según la selección del usuario |
| Anthropic PBC | Procesamiento de la función Claude AI seleccionada por el usuario |
| OpenAI, L.L.C. | Procesamiento de la función OpenAI AI seleccionada por el usuario |
| Resend, Inc. | Envío de correos electrónicos de transacciones, cuentas y servicios |
Artículo 6 (Transferencia Internacional de Datos Personales)
La empresa puede transferir y almacenar al exterior los siguientes datos personales durante el uso del servicio. Cuando el usuario utilice la función correspondiente o sea necesario para la ejecución del contrato, la transferencia se realiza de forma continua a través de redes cifradas TLS. La base legal de cada transferencia se determina según el artículo 28-8 de la Ley de Protección de Información Personal y otras normas aplicables, en función del consentimiento, la ejecución del contrato o la delegación del procesamiento.
| Destinatario y contacto | País/Región | Datos transferidos | Propósito de la transferencia | Momento y método | Base legal | Periodo de conservación/uso | Método de rechazo y consecuencias |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Estados Unidos y regiones de la red global de Cloudflare. La ubicación de procesamiento/almacenamiento varía según el producto, la configuración de la cuenta y la ruta de solicitud | Registros de cuenta y servicio, IP, información de dispositivo y análisis, archivos de objetos, datos ingresados por el usuario en IA | Alojamiento, seguridad, almacenamiento, análisis basado en consentimiento, intermediación de IA | Transferencia y almacenamiento continuo durante el uso del servicio, mediante TLS | Ejecución del contrato y delegación del procesamiento | Según los periodos de conservación locales o según la duración del contrato/configuración del producto | El análisis y la IA opcionales pueden rechazarse mediante revocación del consentimiento, lo que limitará esas funciones. Rechazar el alojamiento esencial dificultará la prestación del servicio |
| Neon, Inc. (privacy@neon.tech) | Singapur (AWS ap-southeast-1) | Registros de miembros, transacciones, consentimientos y uso del servicio | Almacenamiento en base de datos PostgreSQL | Transferencia y almacenamiento continuo durante el uso del servicio, mediante TLS | Ejecución del contrato y delegación del procesamiento | Según los periodos de conservación locales o hasta la terminación del contrato de delegación | Rechazar el almacenamiento esencial impedirá la provisión del servicio basado en cuenta |
| Google LLC (googlekrsupport@google.com) | Estados Unidos y otras regiones de procesamiento de Google | Identificadores OAuth, identificadores y eventos de análisis, o entradas, adjuntos y salidas de IA | Autenticación OAuth, análisis GA4 basado en consentimiento, funciones Gemini seleccionadas | Transferencia mediante TLS al utilizar la función correspondiente | Consentimiento por función o ejecución del contrato | Durante el periodo necesario para la autenticación, análisis y provisión de la función, según la política de Google | Puede optar por no usar cada función o revocar el consentimiento, lo que limitará esas funciones |
| Apple Inc., Meta Platforms, Inc. | Estados Unidos y regiones de procesamiento de cada proveedor | Identificadores del proveedor, nombre, correo electrónico, información de perfil | Autenticación OAuth y vinculación de cuenta seleccionada | Transferencia mediante TLS al iniciar sesión o conectar la cuenta | Ejecución del contrato | Hasta la desvinculación de la cuenta, eliminación o según la política del proveedor | Puede no seleccionar este método de inicio de sesión; en tal caso, no podrá usar esa forma de autenticación |
| PayPal, Inc. (privacy@paypal.com) | Estados Unidos y regiones de procesamiento de PayPal | Identificadores del pagador, número de pedido, monto, moneda, estado de pago, cancelación y reembolso | Procesamiento de pagos internacionales seleccionados por el usuario | Transferencia mediante TLS al solicitar el pago | Ejecución del contrato | Según los periodos de conservación de la Ley de Comercio Electrónico y la política de PayPal | Puede optar por no usar pagos internacionales; esa forma de pago no estará disponible |
| Anthropic PBC (privacy@anthropic.com) | Estados Unidos | Datos de entrada y salida de IA y registros de procesamiento de seguridad | Procesamiento de la función Claude seleccionada por el usuario | Transferencia mediante TLS al utilizar la función | Consentimiento opcional para procesamiento de IA | Durante el periodo necesario para la provisión de la función y según el contrato/política de Anthropic | Puede no usar la función de IA o revocar el consentimiento, lo que limitará esa función |
| OpenAI, L.L.C. (privacy@openai.com) | Estados Unidos | Datos de entrada y salida de IA y registros de procesamiento de seguridad | Procesamiento de la función OpenAI seleccionada por el usuario | Transferencia mediante TLS al utilizar la función | Consentimiento opcional para procesamiento de IA | Durante el periodo necesario para la provisión de la función y según el contrato/política de OpenAI | Puede no usar la función de IA o revocar el consentimiento, lo que limitará esa función |
| Resend, Inc. (privacy@resend.com) | Estados Unidos | Correo electrónico de destino, nombre, mensaje y registro de envío | Envío de correos electrónicos de transacciones, cuentas y servicios | Transferencia mediante TLS al enviar | Ejecución del contrato y delegación del procesamiento | Durante el periodo necesario para el envío y la gestión de incidentes, según el contrato/política de Resend | Rechazar el envío de correos electrónicos de transacciones y cuentas puede dificultar la provisión de los servicios relacionados |
El usuario puede rechazar la transferencia internacional al no utilizar funciones de IA opcionales, análisis opcional o pagos internacionales, o revocando el consentimiento correspondiente. Rechazar procesos esenciales como autenticación, alojamiento, bases de datos o envío de correos electrónicos obligatorios puede dificultar la provisión de esas funciones o del servicio completo. Las consultas y solicitudes de eliminación de cuenta se pueden realizar a través del menú “Datos y Privacidad” de la cuenta o enviando un correo a support@sheetmusic.kr.
Artículo 7 (Tratamiento de Datos Personales en Funciones de IA)
- Las funciones de IA procesan el texto, imágenes y archivos ingresados por el usuario, así como los resultados generados, con fines de provisión del servicio, verificación de seguridad, respuesta a errores y gestión de límites de uso.
- El usuario no debe ingresar información sensible, como número de identificación nacional u otra información de identificación única bajo la Ley de Protección de Información Personal de Corea del Sur, ni datos personales de terceros sin autorización.
- El servicio no utiliza las entradas o salidas de IA del usuario como datos de entrenamiento para modelos genéricos. La empresa emplea APIs de proveedores externos de IA o configuraciones empresariales; cuando la configuración lo permite, se asegura de que ni la entrada ni la salida se utilicen para entrenar modelos genéricos del proveedor. Los periodos de retención y los métodos de revisión de seguridad varían según el modelo seleccionado y los términos contractuales.
- El consentimiento para el procesamiento de IA puede revocarse en cualquier momento desde el menú “Datos y Privacidad” de la cuenta. La revocación no afecta la legalidad del procesamiento previo, pero limitará el uso futuro de las funciones de IA.
- Las quejas sobre resultados inadecuados de IA o sobre datos personales pueden enviarse a support@sheetmusic.kr.
Artículo 8 (Información de comportamiento, cookies y almacenamiento local)
- El servicio utiliza cookies y almacenamiento local o de sesión del navegador para mantener el inicio de sesión, la seguridad, la configuración de idioma, el carrito de compras y el estado de las funciones.
- Google Analytics 4, cuando el usuario ha dado su consentimiento, puede procesar identificadores de análisis generados aleatoriamente, identificadores internos de análisis para usuarios autenticados, rutas de página, eventos de uso del servicio, configuración de idioma, información de dispositivo/navegador y hora de acceso.
- Cloudflare Web Analytics y las funciones de análisis de rendimiento del servicio pueden procesar información de solicitudes de página, dispositivo, navegador y red; el método de identificación real y el alcance de la retención dependen de la configuración del producto aplicado.
- El consentimiento para el análisis puede rechazarse o revocarse mediante el banner o desde el menú “Datos y Privacidad” de la cuenta. El rechazo no impide el uso de los servicios esenciales.
- Los usuarios pueden bloquear cookies desde la configuración del navegador, pero bloquear cookies esenciales puede impedir el funcionamiento de inicio de sesión, pagos y otras funciones.
Artículo 9 (Derechos del Sujeto de Datos y del Representante Legal)
- El sujeto de datos puede solicitar, dentro del alcance permitido por la legislación aplicable, la visualización, corrección, eliminación, suspensión del procesamiento y revocación del consentimiento de sus datos personales. Asimismo, puede obtener una copia de sus datos mediante la función de exportación proporcionada por la empresa.
- Las solicitudes pueden realizarse a través del menú “Datos y Privacidad” de la cuenta, por correo electrónico o por teléfono; la empresa verificará la identidad del solicitante o de su representante legítimo y procesará la solicitud conforme a la legislación aplicable.
- Cuando exista una obligación legal de conservación o exista riesgo de vulnerar los derechos de terceros, la empresa podrá limitar parcialmente la solicitud y notificará las razones.
- El servicio no permite el registro de menores de 14 años. Si la empresa descubre que un menor ha creado una cuenta, llevará a cabo la verificación de edad, restringirá el uso de la cuenta y eliminará los datos personales según sea necesario. No obstante, la información que deba conservarse por ley se mantendrá durante el periodo correspondiente.
Artículo 10 (Destrucción de Datos Personales)
- Los datos cuyo periodo de conservación haya expirado o cuyo propósito de tratamiento haya sido alcanzado se destruirán sin demora.
- La información que deba conservarse por obligación legal se mantendrá bajo estrictas restricciones de acceso y se destruirá al finalizar el periodo de conservación.
- Los datos personales en formato electrónico se eliminarán de manera segura o se anonimizarán de forma que su recuperación o recreación sea imposible.
Artículo 11 (Medidas de Seguridad)
- Medidas administrativas: limitar el acceso a datos personales al personal necesario y gestionar procedimientos y estándares de protección.
- Medidas técnicas: gestión de permisos de acceso, autenticación y control de acceso, cifrado TLS en tránsito, almacenamiento separado de información crítica y revisión de vulnerabilidades.
- Medidas físicas: aplicar la seguridad física y control de acceso de los proveedores de nube y centros de datos utilizados por la empresa.
- Medidas de respuesta a incidentes: detección de incidentes de seguridad, revisión de registros, respaldo y recuperación, y procedimientos de evaluación y respuesta.
Artículo 12 (Responsable de Protección de Datos y Recepción de Ejercicios de Derechos)
Responsable de Protección de Datos: Cho Chang-hyun (representante)
Correo electrónico: support@sheetmusic.kr
Teléfono: 070-4617-6352
Artículo 13 (Remedios por Violación de Derechos)
- Centro de Reporte de Violaciones de Datos Personales: 118, privacy.kisa.or.kr
- Comisión de Mediación de Disputas de Datos Personales: 1833-6972, www.kopico.go.kr
- Fiscalía General: 1301, www.spo.go.kr
- Policía Nacional: 182, ecrm.police.go.kr
Artículo 14 (Modificaciones a la Política de Tratamiento)
Cuando la política de tratamiento sea modificada, la fecha de entrada en vigor y los principales cambios se publicarán en el historial de servicios y políticas. Los cambios que afecten significativamente los derechos u obligaciones del sujeto de datos se notificarán por separado con antelación, de acuerdo con los plazos establecidos por la legislación aplicable o un periodo razonable.
Disposiciones suplementarias
Esta política de protección de datos personales entra en vigor a partir del 20 de julio de 2026.