Informativa sulla protezione dei dati personali
Gonggamgak (di seguito “Società”) stabilisce e pubblica la presente informativa sulla protezione dei dati personali in conformità all’articolo 30 della “Legge sulla protezione dei dati personali”, al fine di proteggere i dati personali del soggetto interessato e di gestire rapidamente e agevolmente eventuali reclami relativi al trattamento dei dati.
Articolo 1 (Finalità del trattamento dei dati personali)
- Registrazione e gestione dell’account: identificazione dell’utente, collegamento al login sociale, verifica dell’età, gestione della sessione, prevenzione di utilizzi fraudolenti
- Fornitura del servizio: ricerca, anteprima, acquisto, visualizzazione e download di spartiti, riproduzione audio, libreria, gruppi, ordini personalizzati e assistenza clienti
- Contratti e pagamenti: ordini, pagamenti, crediti, abbonamenti, rimborsi, ricevute e gestione dei permessi
- Funzionalità AI: trattamento di input e file allegati su consenso dell’utente, generazione di risultati, verifica di sicurezza, gestione dei limiti di utilizzo e dei registri
- Miglioramento e analisi del servizio: statistiche d’uso, flusso di utilizzo del servizio, analisi di errori e prestazioni, previa autorizzazione dell’utente
- Obblighi legali e sicurezza: conformità normativa, risposta a incidenti di sicurezza, gestione delle controversie, prevenzione di violazioni dei diritti e utilizzi fraudolenti
- Marketing: fornitura di informazioni su eventi e pubblicità solo previo consenso separato
Articolo 2 (Categorie di dati personali trattati e modalità di raccolta)
| Categoria | Elemento di trattamento | Metodo di raccolta |
|---|---|---|
| Registrazione e login social | Nome o nickname, email, immagine del profilo, identificatore del provider OAuth e identificatore specifico del provider | Google, Kakao, Naver, Apple o Meta OAuth |
| Credenziali rilasciate dall’amministratore | Nome utente, valore hash unidirezionale della password | Rilascio e trattamento al login solo per account approvati dalla Società |
| Registrazione e impostazioni dell’account | Lingua preferita, conferma di età superiore a 14 anni e data/ora di verifica, storico di consenso e revoca per termini, privacy e trattamento AI | Inserimento da parte dell’utente e registri del servizio |
| Ordini e pagamenti | Numero d’ordine, prodotto, importo, valuta, paese, tipo di metodo di pagamento, stato di pagamento/annullamento/rimborso, dettagli di crediti e abbonamenti | Processo di pagamento/acquisto e risposta del PSP |
| Utilizzo del servizio | Registri di acquisto, visualizzazione, download, gruppi, ordini personalizzati, richieste, ricerche, interazioni UI, errori e registri di sicurezza | Generati durante l’utilizzo del servizio |
| AI e strumenti di creazione | Prompt, conversazioni, immagini/file caricati, risultati generati, modello, utilizzo, registri di sicurezza | Input o generazione da parte dell’utente quando utilizza la funzione |
| Informazioni tecniche e di analisi | Indirizzo IP, user agent, cookie e identificatori di sessione, identificatori di analisi generati casualmente, identificatore interno di analisi per utenti loggati, percorso della pagina, eventi di utilizzo del servizio, impostazione lingua, timestamp di accesso | Raccolti automaticamente durante l’uso web/app |
Articolo 3 (Periodo di conservazione e cancellazione)
La Società distrugge i dati personali senza indugio non appena ne è raggiunta la finalità di trattamento. Tuttavia, le informazioni elencate di seguito possono essere conservate separatamente per il periodo necessario a soddisfare obblighi legali, gestire controversie o prevenire utilizzi fraudolenti.
| Informazione | Criterio di conservazione |
|---|---|
| Account e profilo dell’utente | Fino al completamento della cancellazione dell’account. Al completamento, la sessione di login e l’accesso al servizio vengono terminati immediatamente; le informazioni necessarie per legge sono conservate per il periodo legale previsto |
| Registri di contratto, recesso, pagamento e fornitura | 5 anni secondo la Legge sul commercio elettronico |
| Registri di reclami dei consumatori o gestione delle controversie | 3 anni secondo la Legge sul commercio elettronico |
| Registri di visualizzazione e pubblicità | 6 mesi secondo la Legge sul commercio elettronico |
| Log di accesso | 3 mesi secondo la Legge sulla protezione delle comunicazioni e altre leggi pertinenti |
| Sessioni di login attive | Fino alla scadenza o al logout/cancellazione dell’account |
| Storico di salvataggio di profili AI, poster e strumenti Vision | 90 giorni dalla creazione o fino a quando l’utente non elimina manualmente |
| File di esportazione dei dati personali | 24 ore dopo la generazione |
| Registri di consenso, revoca e sicurezza/audit | Per il periodo necessario a soddisfare obblighi legali e a gestire controversie o utilizzi fraudolenti |
Attualmente la cancellazione dell’account termina immediatamente l’accesso al servizio e le sessioni attive. I registri di transazioni, consensi e audit possono rimanere limitatamente per motivi legali o di gestione delle controversie; la cancellazione fisica o l’anonimizzazione dell’account e del profilo avviene secondo una politica di ciclo di vita dei dati separata. L’utente può richiedere visualizzazione, esportazione o cancellazione tramite il menu “Dati personali e privacy” dell’account.
Articolo 4 (Fornitura dei dati personali a terzi)
In linea di principio la Società non fornisce i dati personali dell’utente a terzi. La fornitura avviene solo con il consenso separato del soggetto interessato o quando previsto da legge, limitatamente al necessario. Il trattamento da parte di fornitori esterni relativo a pagamenti, hosting, autenticazione, email, analisi e funzioni AI può configurarsi come delega del trattamento, fornitura a terzi o trasferimento all’estero, a seconda del contratto e della finalità; i dettagli sono indicati nei paragrafi successivi.
Articolo 5 (Trattamento tramite fornitori esterni)
| Fornitore esterno | Attività correlata |
|---|---|
| Toss Payments Co., Ltd. | Autorizzazione, regolamento, annullamento, rimborso e prevenzione di transazioni fraudolente in Corea |
| PayPal, Inc. | Autorizzazione, regolamento, annullamento, rimborso e prevenzione di transazioni fraudolente per pagamenti internazionali supportati |
| Cloudflare, Inc. | CDN, trasmissione e sicurezza del traffico web, esecuzione di Workers, archiviazione R2, statistiche di utilizzo web basate sul consenso, mediazione AI Gateway e processamento AI tramite Workers |
| Neon, Inc. | Hosting del database PostgreSQL |
| Google LLC | Autenticazione login con account Google e collegamento dell’account |
| Google LLC | Analisi statistica tramite Google Analytics 4 basata sul consenso dell’utente |
| Google LLC | Elaborazione di input e risultati per le funzioni AI basate su Gemini scelte dall’utente |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Autenticazione login sociale e collegamento dell’account scelti dall’utente |
| Anthropic PBC | Elaborazione delle funzioni AI Claude scelte dall’utente |
| OpenAI, L.L.C. | Elaborazione delle funzioni AI OpenAI scelte dall’utente |
| Resend, Inc. | Invio di email relative a transazioni, account e servizio |
Articolo 6 (Trasferimento dei dati personali all’estero)
Durante l’utilizzo del servizio la Società può trasferire e conservare all’estero i dati personali elencati di seguito. Il trasferimento avviene in tempo reale tramite rete TLS quando l’utente utilizza la relativa funzione o è necessario per l’esecuzione del contratto. La base giuridica per ciascun trasferimento è il consenso ai sensi dell’articolo 28‑8 della Legge sulla protezione dei dati personali, l’esecuzione del contratto o la delega del trattamento, a seconda del caso concreto.
| Destinatario e contatto | Paese/Regione | Dati trasferiti | Finalità del trasferimento | Tempistica e metodo | Base giuridica | Periodo di conservazione/utilizzo | Modalità di rifiuto e conseguenze |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Stati Uniti e regioni operative della rete globale di Cloudflare. La sede di trattamento/archiviazione varia in base al prodotto, alle impostazioni dell’account e al percorso di richiesta | Registri di account e servizio, IP, dati del dispositivo e di analisi, file oggetto, informazioni inserite dall’utente nell’AI | Hosting, sicurezza, archiviazione, analisi basata sul consenso, mediazione AI | Trasferimento e archiviazione continui durante l’utilizzo del servizio, trasmissione TLS | Esecuzione del contratto e delega del trattamento | Periodo di conservazione previsto per ciascun elemento in Corea o in base alla durata del contratto/prodotto | L’analisi opzionale e le funzioni AI possono essere rifiutate revocando il consenso, ma ciò limita le relative funzionalità. Il rifiuto dell’hosting obbligatorio rende difficile la fornitura del servizio. |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap-southeast-1) | Registri di membri, transazioni, consensi e utilizzo del servizio | Archiviazione nel database PostgreSQL | Trasferimento e archiviazione continui durante l’utilizzo del servizio, trasmissione TLS | Esecuzione del contratto e delega del trattamento | Periodo di conservazione previsto per ciascun elemento in Corea o fino alla cessazione del contratto di delega | Il rifiuto del salvataggio obbligatorio rende difficile la fornitura del servizio basato sull’account. |
| Google LLC (googlekrsupport@google.com) | Stati Uniti e altre regioni di trattamento di Google | Identificatori OAuth, identificatori/eventi di analisi, o input/attachment/output AI | Autenticazione OAuth, analisi GA4 basata sul consenso, funzioni Gemini scelte | Trasmissione TLS al momento dell’utilizzo della funzione | Consenso per ciascuna funzione o esecuzione del contratto | Periodo necessario per fornire l’autenticazione, l’analisi e la funzione, secondo le politiche di Google | È possibile non utilizzare le funzioni selezionate o revocare il consenso; ciò limita le relative funzionalità. |
| Apple Inc., Meta Platforms, Inc. | Stati Uniti e altre regioni di trattamento dei fornitori | Identificatori del fornitore, nome, email, informazioni del profilo | Autenticazione OAuth e collegamento dell’account scelti | Trasmissione TLS al momento del login/collegamento | Esecuzione del contratto | Periodo determinato dalla disconnessione dell’account, cancellazione o politiche del fornitore | È possibile non scegliere questo metodo di login; in tal caso l’autenticazione non sarà disponibile. |
| PayPal, Inc. (privacy@paypal.com) | Stati Uniti e altre regioni di trattamento di PayPal | Identificatori del pagatore, numero d’ordine, importo, valuta, stato di pagamento/annullamento/rimborso | Gestione dei pagamenti internazionali scelti dall’utente | Trasmissione TLS al momento della richiesta di pagamento | Esecuzione del contratto | Periodo di conservazione previsto dalla Legge sul commercio elettronico e dalle politiche di PayPal | È possibile non scegliere il pagamento internazionale; tale metodo non sarà disponibile. |
| Anthropic PBC (privacy@anthropic.com) | Stati Uniti | Input/output AI e dati di sicurezza del trattamento | Elaborazione delle funzioni Claude scelte dall’utente | Trasmissione TLS al momento dell’utilizzo della funzione | Consenso opzionale al trattamento AI | Periodo necessario per fornire la funzione, secondo il contratto e le politiche di Anthropic | È possibile non utilizzare la funzione AI o revocare il consenso; ciò limita la funzione. |
| OpenAI, L.L.C. (privacy@openai.com) | Stati Uniti | Input/output AI e dati di sicurezza del trattamento | Elaborazione delle funzioni OpenAI scelte dall’utente | Trasmissione TLS al momento dell’utilizzo della funzione | Consenso opzionale al trattamento AI | Periodo necessario per fornire la funzione, secondo il contratto e le politiche di OpenAI | È possibile non utilizzare la funzione AI o revocare il consenso; ciò limita la funzione. |
| Resend, Inc. (privacy@resend.com) | Stati Uniti | Email ricevute, nome, messaggi e registri di invio | Invio di email relative a transazioni, account e servizio | Trasmissione TLS al momento dell’invio | Esecuzione del contratto e delega del trattamento | Periodo necessario per l’invio e la gestione degli incidenti, secondo il contratto e le politiche di Resend | Il rifiuto del trattamento email obbligatorio per transazioni e account può rendere difficile la fornitura del servizio correlato. |
L’utente può rifiutare il trasferimento all’estero revocando il consenso per le funzioni AI opzionali, l’analisi opzionale o i pagamenti internazionali. Il rifiuto di processi essenziali come l’autenticazione, l’hosting, il database o l’invio di email obbligatorie può rendere difficile o impossibile la fornitura del servizio. Le richieste di informazioni o di cancellazione dell’account possono essere effettuate tramite il menu “Dati personali e privacy” dell’account o all’indirizzo support@sheetmusic.kr.
Articolo 7 (Trattamento dei dati personali nelle funzioni AI)
- Le funzioni AI trattano testo, immagini, file inseriti dall’utente e i risultati generati per fornire la funzione, verificare la sicurezza, gestire errori e controllare i limiti di utilizzo.
- L’utente non deve inserire informazioni sensibili, numeri di registrazione residentale o altri dati identificativi unici secondo la Legge coreana sulla protezione dei dati personali, né informazioni private di terzi senza autorizzazione.
- Il servizio non utilizza gli input o gli output AI dell’utente come dati di addestramento per modelli generali. La Società utilizza le API dei fornitori AI esterni o configurazioni aziendali; quando supportato, le impostazioni impediscono l’utilizzo di input e output per l’addestramento dei modelli generali del fornitore. I periodi di conservazione e le modalità di verifica della sicurezza variano in base al modello scelto e alle condizioni contrattuali.
- Il consenso al trattamento AI può essere revocato in qualsiasi momento nella sezione “Dati personali e privacy” dell’account. La revoca non influisce sulla liceità del trattamento effettuato prima della revoca, ma le funzioni AI saranno limitate successivamente.
- Eventuali risultati AI inappropriati o reclami relativi a dati personali possono essere segnalati a support@sheetmusic.kr.
Articolo 8 (Informazioni comportamentali, cookie e storage locale)
- Il servizio utilizza cookie e storage locale/sessione del browser per gestire login, sicurezza, impostazioni lingua, carrello e stato delle funzioni.
- Google Analytics 4, previo consenso dell’utente, può trattare identificatori di analisi generati casualmente, identificatori interni di analisi per utenti loggati, percorsi di pagina, eventi di utilizzo del servizio, impostazioni lingua, informazioni sul dispositivo/browser e timestamp di accesso.
- Cloudflare Web Analytics e le funzioni di analisi delle prestazioni del servizio possono trattare richieste di pagina, informazioni sul dispositivo/browser e sulla rete; il metodo di identificazione e l’estensione della conservazione dipendono dalle impostazioni del prodotto.
- Il consenso all’analisi può essere rifiutato o revocato tramite il banner o la sezione “Dati personali e privacy” dell’account. Il rifiuto non impedisce l’utilizzo dei servizi essenziali.
- È possibile bloccare i cookie nelle impostazioni del browser, ma il blocco dei cookie essenziali può impedire il funzionamento di login, pagamenti e altre funzioni.
Articolo 9 (Diritti del soggetto interessato e del rappresentante legale)
- Il soggetto interessato può richiedere, nei limiti previsti dalla legge, l’accesso, la correzione, la cancellazione, la sospensione del trattamento e la revoca del consenso dei propri dati personali. Può inoltre ottenere una copia dei propri dati tramite la funzione di esportazione fornita dal servizio.
- Le richieste possono essere effettuate tramite la sezione “Dati personali e privacy” dell’account, via email o telefono; la Società verificherà l’identità del richiedente o del rappresentante legittimo e procederà secondo la legge applicabile.
- Se vi è un obbligo legale di conservazione o il rischio di violare i diritti di terzi, alcune richieste possono essere limitate, con comunicazione delle ragioni.
- Il servizio non consente la registrazione di minori di 14 anni. Se la Società scopre che un minore di 14 anni si è registrato, effettuerà verifica dell’età, limiterà l’uso dell’account e cancellerà i dati personali, salvo le informazioni che devono essere conservate per legge per il periodo previsto.
Articolo 10 (Distruzione dei dati personali)
- Le informazioni il cui periodo di conservazione è scaduto o la cui finalità di trattamento è stata raggiunta vengono distrutte senza indugio.
- Le informazioni che devono essere conservate per legge sono protette da accessi non autorizzati e distrutte al termine del periodo di conservazione.
- I dati personali in formato elettronico sono cancellati o anonimizzati con metodi sicuri che ne impediscono il recupero o la ricostruzione.
Articolo 11 (Misure di sicurezza)
- Misure amministrative: limitazione dell’accesso ai dati personali al personale strettamente necessario e gestione delle procedure operative e degli standard di protezione.
- Misure tecniche: gestione dei diritti di accesso, autenticazione e controllo degli accessi, crittografia TLS durante la trasmissione, separazione e protezione delle informazioni sensibili e verifica delle vulnerabilità.
- Misure fisiche: applicazione delle misure di sicurezza fisica e controllo degli accessi presso i fornitori di cloud e data center utilizzati dalla Società.
- Misure di risposta agli incidenti: rilevamento di incidenti di sicurezza, revisione dei log, backup e ripristino, nonché procedure di valutazione e risposta agli incidenti.
Articolo 12 (Responsabile della protezione dei dati personali e ricezione delle richieste)
Responsabile della protezione dei dati personali: Jo Chang-hyun (CEO)
Email: support@sheetmusic.kr
Telefono: 070-4617-6352
Articolo 13 (Rimedi per violazioni dei diritti)
- Centro di segnalazione violazioni dei dati personali: 118, privacy.kisa.or.kr
- Commissione di mediazione per controversie sui dati personali: 1833-6972, www.kopico.go.kr
- Procura generale: 1301, www.spo.go.kr
- Polizia nazionale: 182, ecrm.police.go.kr
Articolo 14 (Modifiche all’informativa)
Le modifiche all’informativa saranno pubblicate con la data di entrata in vigore e i principali cambiamenti nella cronologia del servizio e delle politiche. Le modifiche che incidono in modo significativo sui diritti o sugli obblighi del soggetto interessato saranno comunicate separatamente con un preavviso conforme ai termini di legge o ragionevole.
Disposizioni supplementari
La presente informativa sulla protezione dei dati personali è efficace dal 20 luglio 2026.