DeepScript
Volver al Trust Center
FAQ

FAQ de privacidad

Respuestas a las preguntas más frecuentes sobre el cumplimiento del RGPD, el entrenamiento de IA, la ubicación de almacenamiento, los subencargados, los derechos de los interesados y la seguridad. Si su pregunta no tiene respuesta aquí, escríbanos sin más.

RGPD y cumplimiento

¿DeepScript cumple con el RGPD?
Sí. DeepScript está diseñado para cumplir con el RGPD desde el primer día: tratamiento en Alemania, sin transferencia a terceros países de los datos de contenido, un DPA conforme al art. 28 disponible, medidas técnicas y organizativas documentadas conforme al art. 32, una lista transparente de subencargados y soporte completo de todos los derechos de los interesados.
¿DeepScript es responsable o encargado del tratamiento?
Ambos – según los datos a los que se refiera. Para los datos de contenido (audio, transcripciones) somos encargado del tratamiento conforme al art. 28 RGPD y actuamos exclusivamente siguiendo las instrucciones de nuestro cliente. Para el tratamiento de los datos de cuenta y de facturación de nuestros propios clientes somos responsable del tratamiento.
¿Se utilizan los datos de los clientes para el entrenamiento de IA?
No. Nunca. Ni para entrenar nuestros propios modelos ni para entrenar modelos de terceros. Esta garantía es contractualmente vinculante y está técnicamente protegida mediante canalizaciones de inferencia claramente separadas: los procesos de entrenamiento no tienen acceso de lectura a los datos de producción de los clientes.
¿Existe un acuerdo de tratamiento de datos (DPA)?
Sí. Puede solicitar el DPA directamente en línea en la página del Trust Center. En pocos minutos recibirá por correo electrónico un contrato PDF cumplimentado y firmado por nosotros. Incluye los cuatro anexos (medidas técnicas y organizativas, registro de actividades de tratamiento, subencargados, cumplimiento de IA).
¿Tienen ISO 27001?
Sí. DeepScript cuenta con las certificaciones ISO/IEC 27001, ISO 9001 e ISO 14001. Nuestro socio de infraestructura Hetzner también cuenta con la certificación ISO/IEC 27001.

Alojamiento y ubicación de almacenamiento

¿Dónde se almacenan mis datos?
Exclusivamente en Alemania – en los centros de datos de Hetzner en Núremberg y Falkenstein. Ambas ubicaciones cuentan con la certificación ISO/IEC 27001. La aplicación, la base de datos, el motor de transcripción, el almacenamiento de objetos y las copias de seguridad permanecen dentro de estas ubicaciones.
¿DeepScript transfiere datos fuera de la UE?
Ningún dato de contenido. La única transferencia a un tercer país se produce para el procesamiento de pagos a través de Stripe (UE → EE. UU.), protegida por las cláusulas contractuales tipo de la UE (CCT) y la certificación DPF de Stripe. No se transfieren audios ni transcripciones, sino únicamente metadatos de facturación (nombre, dirección, token, importe).
¿Usan AWS, Azure o Google Cloud?
No. No utilizamos ningún hiperescalador estadounidense para procesar o almacenar datos de clientes. Toda la infraestructura se ejecuta en Hetzner en Alemania.
¿Qué servicios de IA externos utilizan?
Ninguno. Nuestro motor de voz a texto compatible con Whisper se ejecuta íntegramente en nuestra propia infraestructura. No enviamos audios ni transcripciones a OpenAI, Anthropic, Google ni proveedores similares. Los resúmenes asistidos por IA se realizan exclusivamente del lado del cliente a través del Model Context Protocol: el cliente de IA elegido por el cliente (p. ej. Claude Desktop) aporta su propia conexión al modelo.

Seguridad

¿Cómo se cifran mis datos?
En tránsito: TLS 1.3 (como mínimo TLS 1.2) entre todos los componentes, HSTS en todos los endpoints públicos. En reposo: AES-256 para las copias de seguridad; volúmenes de base de datos totalmente cifrados. Las contraseñas se almacenan con bcrypt; las claves API exclusivamente como hash.
¿Quién de su equipo tiene acceso a mis datos?
En funcionamiento normal, nadie. Los accesos administrativos a los sistemas de producción requieren autenticación de dos factores y se auditan por completo. Los accesos de lectura a los datos de contenido solo se producen cuando son estrictamente necesarios para el análisis de errores y los solicita expresamente el cliente.
¿Con qué rapidez se nos informa de una violación de datos?
En un plazo de 24 horas tras tener conocimiento. La notificación contiene la naturaleza de la violación, las categorías afectadas, las medidas adoptadas y un punto de contacto. La obligación de notificar a las autoridades de control (art. 33 RGPD, plazo de 72 horas) recae en el responsable del tratamiento; nosotros proporcionamos toda la información necesaria.
¿DeepScript realiza pruebas de penetración?
Sí. Cada año encargamos a un proveedor de seguridad externo e independiente la realización de una prueba de penetración contra la aplicación web y la API REST pública. Ponemos a disposición de los clientes empresariales un resumen ejecutivo, previa solicitud y bajo acuerdo de confidencialidad (NDA).

Plazos de conservación y eliminación

¿Cuánto tiempo se conservan mis datos?
Audio: eliminado inmediatamente después de la transcripción. Transcripciones: eliminación automática a los 30 días de forma predeterminada, configurable entre 7 y 365 días, o conservación permanente con el plan Pro. Datos de facturación: 10 años (obligación legal de conservación según el § 147 AO / § 257 HGB). Registros de auditoría: 12 meses tras la eliminación de la cuenta.
¿Puedo solicitar la eliminación de mis datos?
Sí. En Configuración → Datos y privacidad encontrará botones para una exportación completa de datos y la eliminación de la cuenta. La eliminación surte efecto de inmediato. En las copias de seguridad, los datos desaparecen en un plazo de 14 días con la rotación de copias de seguridad.
¿Qué ocurre al finalizar el contrato?
Todos los datos del cliente se eliminan en un plazo de 30 días. Si el contrato finaliza con un plan Pro activo, la eliminación automática se restablece a 30 días. Si lo desea, recibirá una confirmación escrita de la eliminación.

Interesados

¿Cómo gestiona DeepScript las solicitudes de los interesados?
Autoservicio a través de la configuración (exportación, eliminación), con efecto inmediato. Respondemos a las solicitudes por correo electrónico a datenschutz@deepscript.com en un plazo de 5 días laborables. Si el responsable del tratamiento es un cliente empresarial, coordinamos las solicitudes a través de su delegado de protección de datos.
¿Cómo informo a los interlocutores sobre la grabación?
Esa es responsabilidad del responsable del tratamiento (= usted o su empleador). Las obligaciones de información derivan de los art. 13/14 RGPD, así como del art. 50 del Reglamento de IA de la UE para el tratamiento asistido por IA. Si lo solicita, le proporcionamos textos modelo para avisos de privacidad.
¿Qué ocurre con las grabaciones que mencionan a personas a las que no se ha preguntado?
El responsable del tratamiento debe contar con una base lícita (consentimiento, interés legítimo, etc.) para el tratamiento, incluso respecto a terceros simplemente mencionados. DeepScript no revisa el contenido; tratamos los datos exclusivamente siguiendo instrucciones. En caso de duda: anonimice u oculte los datos antes de subirlos.

Subencargados y documentos

¿Qué subencargados utiliza DeepScript?
Encontrará la lista actualizada en /datenschutz/subprozessoren. Actualmente: Hetzner (alojamiento, Alemania) y Stripe (pago, UE + EE. UU. con CCT).
¿Se me informará antes de un cambio en la lista de subencargados?
Sí. Los clientes empresariales con un DPA activo son informados por correo electrónico al menos 30 días antes de la incorporación de un nuevo subencargado con acceso a datos personales, y pueden oponerse en un plazo de 14 días por causa justificada.
¿Qué documentos de privacidad están disponibles?
DPA (con 4 anexos) previa solicitud en línea. Medidas técnicas y organizativas como parte del DPA (anexo 1). Lista de subencargados en este sitio web. Política de privacidad en /datenschutzerklaerung. Resumen de la prueba de penetración a petición y bajo NDA.
¿Quién es el contacto para la protección de datos?
Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim. Correo electrónico: datenschutz@deepscript.com. Director gerente: Julian Kissel.

¿Preguntas?

Escríbenos a datenschutz@deepscript.com – respondemos en un día laborable.

FAQ de privacidad – DeepScript Trust Center