Compliance · GDPR · RIAA · Deloy DNA

1. GDPR · Reglamento europeo de protección de datos

Tratamos los datos de usuarios europeos bajo las exigencias del GDPR. Esto significa:

• Base legal explícita para cada tratamiento (consentimiento, ejecución de contrato, interés legítimo, obligación legal).
• Minimización: solo recogemos los datos necesarios para operar el servicio.
• Derechos de acceso, rectificación, borrado, portabilidad, oposición y retirada de consentimiento — ejercibles vía privacy@deloymusic.com.
• Notificación de brechas en máximo 72 horas a la autoridad de control competente y a los afectados.
• Cláusulas Contractuales Estándar (SCC) para transferencias internacionales a proveedores fuera del EEE.
• DPO designado para clientes Enterprise; contacto disponible en contrato firmado.

2. Recomendaciones RIAA sobre IA generativa

Compartimos la posición de la industria musical sobre IA: la IA responsable es la que respeta la autoría humana y el catálogo existente. Por eso:

• No entrenamos modelos con catálogos de terceros sin autorización. Los Productores virtuales se entrenan solo con referencias propias del usuario o con catálogos sobre los que el cliente Enterprise tenga derechos demostrables.
• Trazabilidad de contribución de IA. Cada export lleva certificado Deloy DNA que explicita el porcentaje de IA y de contribución humana. Esto permite a sellos y plataformas distinguir entre obras asistidas y obras predominantemente generadas.
• Bloqueo de uso para clonación de voz. Deloy no ofrece features de clonación vocal de artistas reconocidos. Las referencias se usan para captar estética, no para imitar identidades.
• Pull-down a pedido. Si un titular de derechos identifica uso indebido de su material, lo retiramos del servicio en un plazo máximo de 7 días desde la notificación.

3. Deloy DNA · certificados criptográficos de autoría

Cada track exportado desde Deloy lleva un certificado firmado con HMAC-SHA256 que registra:

• Hash SHA-256 del archivo de audio exportado.
• AI Score — porcentaje de contribución de IA medido en tiempo de sesión, no estimado al final.
• Timestamp UTC del momento de la exportación.
• Identificador del Productor virtual usado en la sesión.
• Firma criptográfica validada con clave del lado del servidor.

El certificado es verificable por terceros: cualquier sello, plataforma, distribuidor o regulador puede consultar la API pública de verificación para confirmar autenticidad sin acceder a tu contenido original.

Importante: el certificado cubre lo que Deloy observa dentro de la sesión. No certifica lo que ocurre con el track después de exportarlo, ni stems importados desde fuera de Deloy.

4. Procesamiento de datos por proveedores

Mantenemos acuerdos de tratamiento de datos (DPA) con todos nuestros subprocesadores. Para clientes Enterprise, el DPA específico se firma como anexo al contrato. Lista actualizada de subprocesadores disponible bajo pedido a compliance@deloymusic.com.

5. Auditorías y reporting Enterprise

Los clientes con plan Enterprise reciben:

• Reportes trimestrales de uso, accesos y eventos relevantes de compliance.
• Logs auditables de qué usuarios accedieron a qué Productores virtuales y cuándo.
• Posibilidad de auditorías externas con aviso previo razonable.
• Borrado certificado de datos al cerrar el contrato, con confirmación escrita.

6. Solicitudes de autoridades

Si recibimos requerimientos legales válidos (orden judicial, exhorto) que exijan entregar datos de un usuario, evaluamos su validez antes de cumplir. Cuando legalmente podemos, notificamos al usuario afectado antes de proveer información.

7. Contacto compliance

Para temas de compliance, auditorías, DPAs, requerimientos regulatorios o pull-downs, escribe a compliance@deloymusic.com. Respondemos en máximo 5 días hábiles.