DeepScript
Volver al Trust Center
Subencargados

Alojamiento y subencargados del tratamiento

Trabajamos con el menor número posible de proveedores externos. Esta página es la lista de referencia de todos los terceros que tratan datos personales por cuenta de DeepScript – con finalidad, ubicación y garantías.

Resumen

Operamos toda nuestra infraestructura – aplicación, base de datos, motor de transcripción, almacenamiento de objetos, copias de seguridad – en los centros de datos de Hetzner en Alemania. Así, los datos de contenido permanecen sujetos al Derecho alemán y no se transfieren a terceros países. Un proveedor de nube estadounidense (AWS, Azure, GCP) no tiene acceso en ningún momento al audio ni a las transcripciones.

La única transferencia a un tercer país se produce para el procesamiento de pagos a través de Stripe – garantizada mediante las cláusulas contractuales tipo de la UE y el Data Privacy Framework (DPF).

Lista de subencargados del tratamiento

Hetzner Online GmbH

Ver el DPA →

Industriestr. 25, 91710 Gunzenhausen, Alemania

Finalidad
Alojamiento de la aplicación, almacenamiento de datos, infraestructura de copias de seguridad
Categorías de datos
Todos los datos tratados en el marco del servicio (audio, transcripciones, datos de la cuenta, copias de seguridad)
Lugar de tratamiento
Núremberg y Falkenstein, Alemania
Transferencia a tercer país
Sin transferencia a terceros países
Garantías
Certificado ISO/IEC 27001; contrato de encargo del tratamiento (DPA) suscrito conforme al art. 28 RGPD

Stripe Payments Europe Ltd.

Ver el DPA →

1 Grand Canal Street Lower, Dublín 2, Irlanda

Finalidad
Procesamiento de pagos, facturación, portal de clientes para la gestión de tarjetas y SEPA
Categorías de datos
Nombre, dirección, NIF/IVA, correo electrónico, tokens de medios de pago, datos de transacciones – sin acceso a los datos de contenido
Lugar de tratamiento
UE (Irlanda); grupo matriz: EE. UU.
Transferencia a tercer país
UE → EE. UU.: cláusulas contractuales tipo de la UE (CCT) + certificación DPF
Garantías
DPA conforme al art. 28 RGPD; certificado PCI-DSS nivel 1

Google Ireland Limited (Google Tag Manager / Analytics 4)

Ver el DPA →

Gordon House, Barrow Street, Dublín 4, Irlanda

Finalidad
Medición del alcance del sitio de marketing – visitas a páginas, rutas de clics, estabilidad técnica. SIN acceso al área de acceso, a los datos de audio ni a las transcripciones. Activación solo tras consentimiento explícito (banner).
Categorías de datos
Dirección IP (truncada por GA4), ID de dispositivo seudónimo (cookie _ga), URL solicitada, referente, user agent
Lugar de tratamiento
UE (Irlanda); grupo matriz: Google LLC, EE. UU.
Transferencia a tercer país
UE → EE. UU.: cláusulas contractuales tipo de la UE (CCT) + certificación DPF
Garantías
DPA conforme al art. 28 RGPD; activo solo en el entorno de producción deepscript.com (no en dev.deepscript.com); desactivable en cualquier momento mediante el enlace de pie de página «Configuración de cookies»

Cambios y derecho de oposición

Los clientes empresariales con un contrato de encargo del tratamiento activo son informados por correo electrónico al menos 30 días antes de la incorporación de un nuevo subencargado del tratamiento con acceso a datos personales. En tal caso, el cliente dispone de un derecho de oposición por causa justificada en un plazo de 14 días – si persiste el desacuerdo, tiene derecho a la rescisión extraordinaria del contrato principal.

Esta página es la fuente de referencia de la lista vigente en cada momento. Se actualiza sin demora ante cualquier cambio y forma parte de cada DPA (anexo 3).

Lo que deliberadamente NO utilizamos

Los siguientes proveedores no se utilizan en DeepScript – como decisión arquitectónica deliberada en favor de la soberanía de los datos:

  • · AWS, Azure, Google Cloud – sin hiperescaladores estadounidenses para el procesamiento de contenidos
  • · OpenAI, Anthropic, Google Gemini – sin API de IA externas para la transcripción o el resumen
  • · Meta Pixel, Hotjar, Mixpanel – sin seguimiento de marketing, sin grabación de sesiones
  • · Intercom, Zendesk, Drift – sin chat de soporte externo con flujo de datos
  • · Mailchimp, HubSpot, Marketo – sin stack de marketing externo con datos de la cuenta

Usamos Google Tag Manager + Google Analytics 4 únicamente en el sitio de marketing de acceso público, exclusivamente tras el consentimiento en el banner de cookies. Para la propia aplicación (área de acceso, transcripciones, editor) no se realiza ningún seguimiento web.

¿Preguntas?

Escríbenos a datenschutz@deepscript.com – respondemos en un día laborable.

Subencargados del tratamiento – DeepScript Trust Center