Compliance · GDPR · RIAA · Deloy DNA

1. GDPR · Regulamento europeu de proteção de dados

Tratamos os dados de usuários europeus sob as exigências do GDPR. Isso significa:

• Base legal explícita para cada tratamento (consentimento, execução de contrato, interesse legítimo, obrigação legal).
• Minimização: coletamos apenas os dados necessários para operar o serviço.
• Direitos de acesso, retificação, exclusão, portabilidade, oposição e retirada de consentimento — exercíveis via privacy@deloymusic.com.
• Notificação de brechas em no máximo 72 horas à autoridade de controle competente e aos afetados.
• Cláusulas Contratuais Padrão (SCC) para transferências internacionais a fornecedores fora do EEE.
• DPO designado para clientes Enterprise; contato disponível no contrato assinado.

2. Recomendações da RIAA sobre IA generativa

Compartilhamos a posição da indústria musical sobre IA: a IA responsável é a que respeita a autoria humana e o catálogo existente. Por isso:

• Não treinamos modelos com catálogos de terceiros sem autorização. Os Produtores virtuais são treinados apenas com referências próprias do usuário ou com catálogos sobre os quais o cliente Enterprise tenha direitos demonstráveis.
• Rastreabilidade da contribuição de IA. Cada export leva um certificado Deloy DNA que explicita a porcentagem de IA e de contribuição humana. Isso permite que selos e plataformas distingam entre obras assistidas e obras predominantemente geradas.
• Bloqueio de uso para clonagem de voz. O Deloy não oferece features de clonagem vocal de artistas reconhecidos. As referências são usadas para captar estética, não para imitar identidades.
• Pull-down sob demanda. Se um titular de direitos identificar uso indevido de seu material, o removemos do serviço em no máximo 7 dias a partir da notificação.

3. Deloy DNA · certificados criptográficos de autoria

Cada track exportado do Deloy leva um certificado assinado com HMAC-SHA256 que registra:

• Hash SHA-256 do arquivo de áudio exportado.
• AI Score — porcentagem de contribuição de IA medida em tempo de sessão, não estimada no final.
• Timestamp UTC do momento da exportação.
• Identificador do Produtor virtual usado na sessão.
• Assinatura criptográfica validada com chave do lado do servidor.

O certificado é verificável por terceiros: qualquer selo, plataforma, distribuidor ou regulador pode consultar a API pública de verificação para confirmar autenticidade sem acessar seu conteúdo original.

Importante: o certificado cobre o que o Deloy observa dentro da sessão. Não certifica o que acontece com o track depois de exportá-lo, nem stems importados de fora do Deloy.

4. Processamento de dados por fornecedores

Mantemos acordos de tratamento de dados (DPA) com todos os nossos suboperadores. Para clientes Enterprise, o DPA específico é assinado como anexo ao contrato. Lista atualizada de suboperadores disponível sob solicitação em compliance@deloymusic.com.

5. Auditorias e reporting Enterprise

Os clientes com plano Enterprise recebem:

• Relatórios trimestrais de uso, acessos e eventos relevantes de compliance.
• Logs auditáveis de quais usuários acessaram quais Produtores virtuais e quando.
• Possibilidade de auditorias externas com aviso prévio razoável.
• Exclusão certificada de dados ao encerrar o contrato, com confirmação por escrito.

6. Solicitações de autoridades

Se recebermos requerimentos legais válidos (ordem judicial, carta rogatória) que exijam entregar dados de um usuário, avaliamos sua validade antes de cumprir. Quando legalmente possível, notificamos o usuário afetado antes de fornecer informação.

7. Contato compliance

Para questões de compliance, auditorias, DPAs, requerimentos regulatórios ou pull-downs, escreva para compliance@deloymusic.com. Respondemos em no máximo 5 dias úteis.