Política de Privacidade
A Gonggamgak (doravante “Empresa”) estabelece e divulga a presente política de privacidade de acordo com o Art. 30 da Lei de Proteção de Dados Pessoais, a fim de proteger os dados pessoais do titular e tratar rapidamente e de forma eficaz quaisquer questões relacionadas ao tratamento de dados pessoais.
Art. 1 (Finalidade do Tratamento de Dados Pessoais)
- Cadastro de membro e gerenciamento de conta: identificação do usuário, conexão de login social, verificação de idade, gerenciamento de sessão, prevenção de uso indevido
- Prestação de serviço: busca de partituras, visualização, compra, leitura, download, reprodução de áudio, biblioteca, grupos, pedidos personalizados e suporte ao cliente
- Contratos e pagamentos: pedidos, pagamentos, créditos, assinaturas, reembolsos, recibos e gerenciamento de permissões
- Funções de IA: tratamento de entradas e arquivos anexados mediante consentimento do usuário, geração de resultados, verificação de segurança, gerenciamento de limites de uso e registros
- Melhoria e análise de serviço: estatísticas de uso, fluxo de uso do serviço, análise de erros e desempenho, baseadas no consentimento do usuário
- Obrigações legais e segurança: conformidade legal, resposta a incidentes de segurança, resolução de disputas, prevenção de violação de direitos e uso indevido
- Marketing: fornecimento de informações sobre eventos e publicidade somente com consentimento separado
Art. 2 (Categorias de Dados Pessoais Tratados e Métodos de Coleta)
| Categoria | Itens de Dados | Método de Coleta |
|---|---|---|
| Cadastro e login social | Nome ou apelido, e‑mail, imagem de perfil, identificador do provedor OAuth e identificador específico do provedor | Google, Kakao, Naver, Apple ou Meta OAuth |
| Credenciais emitidas por administrador | Nome de usuário, valor hash unidirecional da senha | Emitido e processado apenas para contas aprovadas pela empresa no momento do login |
| Configurações de cadastro e conta | Idioma preferido, confirmação de maior de 14 anos e data/hora da verificação, histórico de consentimento e revogação de termos, política de privacidade e tratamento de IA | Entrada do usuário e registros de serviço |
| Pedidos e pagamentos | Número do pedido, produto, valor, moeda, país, tipo de método de pagamento, status de pagamento, cancelamento e reembolso, histórico de créditos e assinaturas | Processo de pagamento/compra e respostas do provedor de pagamento (PG) |
| Uso do serviço | Registros de compra, leitura, download, grupos, pedidos personalizados, consultas, buscas, interações de UI, registros de erros e segurança | Gerado durante a utilização do serviço |
| IA e ferramentas de criação | Prompt, conversas, imagens/arquivos enviados, resultados gerados, modelo, uso, registros de tratamento de segurança | Entrada ou geração quando o usuário utiliza a funcionalidade |
| Informações técnicas e de análise | Endereço IP, agente de usuário, identificadores de cookie e sessão, identificador analítico gerado aleatoriamente, identificador interno analítico para usuários logados, caminho da página, eventos de uso do serviço, configuração de idioma, horário de acesso | Coletado automaticamente durante o uso da web/app |
Art. 3 (Período de Retenção e Destruição)
A Empresa destruirá os dados pessoais sem demora quando a finalidade do tratamento for alcançada. Contudo, as informações listadas a seguir podem ser armazenadas separadamente pelo período necessário para cumprir obrigações legais, responder a disputas ou prevenir uso indevido.
| Informação | Critério de Retenção |
|---|---|
| Conta e perfil do membro | Até a conclusão da exclusão da conta. Quando a exclusão for concluída, a sessão de login e o acesso ao serviço são encerrados imediatamente; informações que devam ser preservadas por lei são mantidas pelo período legalmente exigido |
| Registros de contrato, desistência, pagamento e fornecimento | 5 anos conforme a Lei de Comércio Eletrônico |
| Registros de reclamações de consumidores ou resolução de disputas | 3 anos conforme a Lei de Comércio Eletrônico |
| Registros de exibição e publicidade | 6 meses conforme a Lei de Comércio Eletrônico |
| Registros de acesso | 3 meses conforme a Lei de Proteção de Comunicações e outras leis aplicáveis |
| Sessões de login ativas | Até o vencimento ou logout/exclusão da conta |
| Histórico de armazenamento de perfis de IA, pôsteres e ferramenta Vision | 90 dias a partir da data de criação ou até que o usuário exclua manualmente |
| Arquivo de exportação de dados pessoais | 24 horas após a geração |
| Registros de consentimento, revogação e auditoria de segurança | Pelo período necessário para cumprir obrigações legais e responder a disputas ou uso indevido |
Atualmente, a exclusão de membro encerra imediatamente o acesso ao serviço e sessões ativas. Registros de transações, consentimentos e auditorias podem permanecer de forma limitada conforme a lei e necessidades de disputa; a exclusão física ou anonimização de conta e perfil segue políticas de ciclo de vida de dados separadas. O usuário pode solicitar visualização, exportação ou exclusão dos seus dados na seção “Privacidade e Dados” da conta.
Art. 4 (Fornecimento de Dados Pessoais a Terceiros)
A Empresa, em princípio, não fornece os dados pessoais do usuário a terceiros. O fornecimento ocorre apenas com consentimento separado do titular ou quando houver base legal específica, dentro do escopo necessário. O tratamento por fornecedores externos relacionado a pagamentos, hospedagem, autenticação, e‑mail, análise e funções de IA pode constituir terceirização de tratamento, fornecimento a terceiros ou transferência internacional, conforme contrato e finalidade; detalhes são apresentados nos artigos subsequentes.
Art. 5 (Tratamento por Fornecedores Externos)
| Fornecedor Externo | Atividades Relacionadas |
|---|---|
| Toss Payments Co., Ltd. | Autorização, liquidação, cancelamento, reembolso e prevenção de fraudes em pagamentos domésticos |
| PayPal, Inc. | Autorização, liquidação, cancelamento, reembolso e prevenção de fraudes em pagamentos internacionais suportados |
| Cloudflare, Inc. | CDN, entrega e segurança de tráfego web, execução de Workers, armazenamento de objetos R2, estatísticas de uso web baseadas em consentimento, mediação de AI Gateway e processamento de Workers AI |
| Neon, Inc. | Hospedagem de banco de dados PostgreSQL |
| Google LLC | Autenticação de login via conta Google e conexão de conta |
| Google LLC | Análise de estatísticas de uso via Google Analytics 4 baseada em consentimento do usuário |
| Google LLC | Processamento de entradas e resultados da funcionalidade de IA baseada em Gemini escolhida pelo usuário |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Autenticação e conexão de conta via login social escolhido pelo usuário |
| Anthropic PBC | Processamento da funcionalidade Claude AI escolhida pelo usuário |
| OpenAI, L.L.C. | Processamento da funcionalidade OpenAI AI escolhida pelo usuário |
| Resend, Inc. | Envio de e‑mails transacionais de conta e serviço |
Art. 6 (Transferência Internacional de Dados Pessoais)
A Empresa pode transferir e armazenar os dados pessoais listados abaixo para fora da Coreia durante a utilização do serviço. Quando o usuário utiliza a funcionalidade ou quando a execução do contrato requer, a transferência ocorre continuamente por rede criptografada TLS. A base legal para cada transferência segue o Art. 28‑8 da Lei de Proteção de Dados Pessoais, consentimento, execução de contrato ou terceirização, conforme a relação de tratamento.
| Destinatário / Contato | País/Região | Itens Transferidos | Finalidade da Transferência | Momento / Método | Base Legal | Período de Retenção / Uso | Método de Recusa e Impacto |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Estados Unidos e regiões de operação global da Cloudflare. Local de processamento/armazenamento varia conforme produto, configuração de conta e caminho de solicitação | Registros de conta e serviço, IP, dispositivo, informações de análise, arquivos de objeto, informações inseridas pelo usuário na IA | Hospedagem, segurança, armazenamento, análise baseada em consentimento, mediação de IA | Transferência e armazenamento contínuos durante o uso do serviço, via TLS | Execução de contrato e terceirização de tratamento | Período de retenção doméstico aplicável ou conforme contrato/configuração do produto | Análises e IA opcionais podem ser recusadas mediante revogação de consentimento, porém a recusa de hospedagem essencial pode impedir a prestação do serviço |
| Neon, Inc. (privacy@neon.tech) | Singapura (AWS ap-southeast-1) | Registros de membro, transação, consentimento e uso do serviço | Armazenamento em banco de dados PostgreSQL | Transferência e armazenamento contínuos durante o uso do serviço, via TLS | Execução de contrato e terceirização de tratamento | Período de retenção doméstico aplicável ou até o término do contrato de terceirização | Recusar o armazenamento essencial inviabiliza a prestação de serviços baseados em conta |
| Google LLC (googlekrsupport@google.com) | Estados Unidos e demais regiões de processamento da Google | Informações de identificação OAuth, identificadores e eventos de análise, ou entradas/saídas de IA | Autenticação OAuth, análise GA4 baseada em consentimento, funcionalidade Gemini selecionada | Transferência via TLS quando a funcionalidade é utilizada | Consentimento específico por funcionalidade ou execução de contrato | Período necessário para fornecimento da autenticação/análise/função e conforme políticas da Google | É possível não utilizar a funcionalidade ou revogar o consentimento, o que limitará a respectiva função |
| Apple Inc., Meta Platforms, Inc. | Estados Unidos e demais regiões de processamento dos provedores | Identificadores do provedor, nome, e‑mail, informações de perfil | Autenticação OAuth e conexão de conta selecionada | Transferência via TLS no momento de login/conexão | Execução de contrato | Até a desconexão da conta, exclusão ou conforme política do provedor | O usuário pode optar por não usar esse método de login; nesse caso, a autenticação correspondente não estará disponível |
| PayPal, Inc. (privacy@paypal.com) | Estados Unidos e demais regiões de processamento da PayPal | Informações de identificação do pagador, número do pedido, valor, moeda, status de pagamento/cancelamento/reembolso | Processamento de pagamento internacional escolhido pelo usuário | Transferência via TLS no momento da solicitação de pagamento | Execução de contrato | Período de retenção conforme a Lei de Comércio Eletrônico e política da PayPal | O usuário pode optar por não usar pagamento internacional; nesse caso, o método não estará disponível |
| Anthropic PBC (privacy@anthropic.com) | Estados Unidos | Informações de entrada/saída de IA e tratamento de segurança | Processamento da funcionalidade Claude escolhida pelo usuário | Transferência via TLS quando a funcionalidade é utilizada | Consentimento opcional para tratamento de IA | Período necessário para fornecimento da funcionalidade e conforme contrato/política da Anthropic | É possível não usar a funcionalidade de IA ou revogar o consentimento, o que limitará a respectiva função |
| OpenAI, L.L.C. (privacy@openai.com) | Estados Unidos | Informações de entrada/saída de IA e tratamento de segurança | Processamento da funcionalidade OpenAI escolhida pelo usuário | Transferência via TLS quando a funcionalidade é utilizada | Consentimento opcional para tratamento de IA | Período necessário para fornecimento da funcionalidade e conforme contrato/política da OpenAI | É possível não usar a funcionalidade de IA ou revogar o consentimento, o que limitará a respectiva função |
| Resend, Inc. (privacy@resend.com) | Estados Unidos | E‑mails recebidos, nome, mensagem e registros de envio | Envio de e‑mails transacionais de conta e serviço | Transferência via TLS no momento do envio | Execução de contrato e terceirização de tratamento | Período necessário para envio e resposta a incidentes, conforme contrato/política da Resend | Recusar o envio de e‑mails transacionais essenciais pode dificultar a prestação de serviços relacionados |
O usuário pode recusar a transferência internacional ao não utilizar funções de IA opcionais, análises opcionais ou pagamentos internacionais, ou revogando o consentimento correspondente. Recusar processos essenciais como autenticação, hospedagem, banco de dados ou envio de e‑mails transacionais pode tornar inviável a prestação de determinadas funcionalidades ou do serviço como um todo. Solicitações de contato e de exclusão de membro podem ser feitas no menu “Privacidade e Dados” da conta ou pelo e‑mail support@sheetmusic.kr.
Art. 7 (Tratamento de Dados Pessoais nas Funções de IA)
- As funções de IA tratam textos, imagens e arquivos inseridos pelo usuário, bem como os resultados gerados, para fornecimento da funcionalidade, verificação de segurança, resposta a erros e gerenciamento de limites de uso.
- O usuário não deve inserir informações sensíveis, como número de registro civil ou outros dados de identificação únicos previstos na Lei de Proteção de Dados Pessoais da Coreia, nem informações pessoais de terceiros sem autorização.
- O serviço não utiliza as entradas ou saídas de IA do usuário como dados de treinamento de modelos genéricos. A Empresa utiliza APIs de provedores externos de IA ou configurações corporativas; quando suportado, as entradas e saídas são configuradas para não serem usadas no treinamento dos modelos genéricos do provedor. Os períodos de retenção e os procedimentos de segurança variam conforme o modelo escolhido e os termos contratuais.
- O consentimento para o tratamento de IA pode ser revogado a qualquer momento na seção “Privacidade e Dados” da conta. A revogação não afeta a licitude do tratamento realizado antes da revogação, mas limita o uso futuro da funcionalidade de IA.
- Resultados inadequados ou questões relacionadas a dados pessoais podem ser denunciados para support@sheetmusic.kr.
Art. 8 (Informações de Comportamento, Cookies e Armazenamento Local)
- O serviço utiliza cookies e armazenamento local/sessão do navegador para login, segurança, configuração de idioma, carrinho de compras e manutenção do estado de funcionalidades.
- O Google Analytics 4 pode, mediante consentimento do usuário, processar identificadores analíticos gerados aleatoriamente, identificadores internos analíticos de usuários logados, caminho da página, eventos de uso do serviço, configuração de idioma, informações de dispositivo/navegador e horário de acesso.
- O Cloudflare Web Analytics e as funcionalidades de análise de desempenho do serviço podem processar informações de requisição de página, dispositivo, navegador e rede; os métodos de identificação e o escopo de retenção seguem as configurações do produto aplicado.
- O consentimento para análise pode ser recusado ou revogado via banner ou na seção “Privacidade e Dados” da conta. A recusa não impede o uso dos serviços essenciais.
- Os usuários podem bloquear cookies nas configurações do navegador, porém bloquear cookies essenciais pode impedir login, pagamento e outras funcionalidades.
Art. 9 (Direitos do Titular e de Representantes Legais)
- O titular pode, dentro dos limites estabelecidos pela legislação aplicável, solicitar acesso, correção, exclusão, interrupção do tratamento e revogação de consentimento dos seus dados pessoais. Também pode obter uma cópia dos seus dados por meio da funcionalidade de exportação fornecida pela Empresa.
- As solicitações podem ser feitas na seção “Privacidade e Dados” da conta, por e‑mail ou telefone; a Empresa verificará a identidade do solicitante ou de seu representante legal antes de atender conforme a legislação.
- Quando houver obrigação legal de retenção ou risco de violação de direitos de terceiros, alguns pedidos podem ser limitados, sendo fornecida a justificativa.
- O serviço não permite o cadastro de menores de 14 anos. Caso a Empresa tome conhecimento de que um menor de 14 anos se cadastrou, realizará verificação de idade, restrição de uso da conta e exclusão dos dados pessoais, exceto quando a lei exigir a retenção por período específico.
Art. 10 (Destruição de Dados Pessoais)
- Informações cujo período de retenção expirou ou cuja finalidade foi cumprida serão destruídas sem demora.
- Informações que devam ser preservadas por obrigação legal serão armazenadas de forma segura, com acesso restrito, e destruídas ao término do período exigido.
- Dados pessoais em formato eletrônico serão apagados ou anonimados de maneira segura, de modo que sua recuperação ou reconstrução seja inviável.
Art. 11 (Medidas de Segurança)
- Medidas administrativas: limitar o acesso a dados pessoais ao pessoal necessário e gerenciar procedimentos operacionais e padrões de proteção.
- Medidas técnicas: gerenciamento de permissões de acesso, autenticação e controle de acesso, criptografia TLS em trânsito, segregação e proteção de informações críticas, e verificação de vulnerabilidades.
- Medidas físicas: aplicar segurança física e controle de acesso nos data centers e provedores de nuvem utilizados pela Empresa.
- Medidas de resposta a incidentes: detecção de incidentes de segurança, monitoramento de logs, backup e recuperação, e procedimentos de avaliação e resposta a incidentes.
Art. 12 (Encarregado de Proteção de Dados e Recebimento de Exercício de Direitos)
Encarregado de Proteção de Dados: Jo Chang-hyun (CEO)
E‑mail: support@sheetmusic.kr
Telefone: 070-4617-6352
Art. 13 (Remédios para Violação de Direitos)
- Centro de Denúncia de Violação de Dados Pessoais: 118, privacy.kisa.or.kr
- Comissão de Mediação de Disputas de Dados Pessoais: 1833-6972, www.kopico.go.kr
- Ministério Público: 1301, www.spo.go.kr
- Polícia: 182, ecrm.police.go.kr
Art. 14 (Alteração da Política de Tratamento)
Quando a política de tratamento for alterada, a data de vigência e as principais mudanças serão divulgadas no histórico de políticas e alterações do serviço. Alterações que impactem significativamente os direitos ou obrigações do titular serão notificadas separadamente com antecedência razoável ou conforme o prazo estabelecido pela legislação aplicável.
Disposições suplementares
Esta política de privacidade entra em vigor a partir de 20 de julho de 2026.