Alojamiento y subencargados del tratamiento
Trabajamos con el menor número posible de proveedores externos. Esta página es la lista de referencia de todos los terceros que tratan datos personales por cuenta de DeepScript – con finalidad, ubicación y garantías.
Resumen
Operamos toda nuestra infraestructura – aplicación, base de datos, motor de transcripción, almacenamiento de objetos, copias de seguridad – en los centros de datos de Hetzner en Alemania. Así, los datos de contenido permanecen sujetos al Derecho alemán y no se transfieren a terceros países. Un proveedor de nube estadounidense (AWS, Azure, GCP) no tiene acceso en ningún momento al audio ni a las transcripciones.
La única transferencia a un tercer país se produce para el procesamiento de pagos a través de Stripe – garantizada mediante las cláusulas contractuales tipo de la UE y el Data Privacy Framework (DPF).
Lista de subencargados del tratamiento
Hetzner Online GmbH
Ver el DPA →Industriestr. 25, 91710 Gunzenhausen, Alemania
- Finalidad
- Alojamiento de la aplicación, almacenamiento de datos, infraestructura de copias de seguridad
- Categorías de datos
- Todos los datos tratados en el marco del servicio (audio, transcripciones, datos de la cuenta, copias de seguridad)
- Lugar de tratamiento
- Núremberg y Falkenstein, Alemania
- Transferencia a tercer país
- Sin transferencia a terceros países
- Garantías
- Certificado ISO/IEC 27001; contrato de encargo del tratamiento (DPA) suscrito conforme al art. 28 RGPD
Stripe Payments Europe Ltd.
Ver el DPA →1 Grand Canal Street Lower, Dublín 2, Irlanda
- Finalidad
- Procesamiento de pagos, facturación, portal de clientes para la gestión de tarjetas y SEPA
- Categorías de datos
- Nombre, dirección, NIF/IVA, correo electrónico, tokens de medios de pago, datos de transacciones – sin acceso a los datos de contenido
- Lugar de tratamiento
- UE (Irlanda); grupo matriz: EE. UU.
- Transferencia a tercer país
- UE → EE. UU.: cláusulas contractuales tipo de la UE (CCT) + certificación DPF
- Garantías
- DPA conforme al art. 28 RGPD; certificado PCI-DSS nivel 1
Google Ireland Limited (Google Tag Manager / Analytics 4)
Ver el DPA →Gordon House, Barrow Street, Dublín 4, Irlanda
- Finalidad
- Medición del alcance del sitio de marketing – visitas a páginas, rutas de clics, estabilidad técnica. SIN acceso al área de acceso, a los datos de audio ni a las transcripciones. Activación solo tras consentimiento explícito (banner).
- Categorías de datos
- Dirección IP (truncada por GA4), ID de dispositivo seudónimo (cookie _ga), URL solicitada, referente, user agent
- Lugar de tratamiento
- UE (Irlanda); grupo matriz: Google LLC, EE. UU.
- Transferencia a tercer país
- UE → EE. UU.: cláusulas contractuales tipo de la UE (CCT) + certificación DPF
- Garantías
- DPA conforme al art. 28 RGPD; activo solo en el entorno de producción deepscript.com (no en dev.deepscript.com); desactivable en cualquier momento mediante el enlace de pie de página «Configuración de cookies»
Cambios y derecho de oposición
Los clientes empresariales con un contrato de encargo del tratamiento activo son informados por correo electrónico al menos 30 días antes de la incorporación de un nuevo subencargado del tratamiento con acceso a datos personales. En tal caso, el cliente dispone de un derecho de oposición por causa justificada en un plazo de 14 días – si persiste el desacuerdo, tiene derecho a la rescisión extraordinaria del contrato principal.
Esta página es la fuente de referencia de la lista vigente en cada momento. Se actualiza sin demora ante cualquier cambio y forma parte de cada DPA (anexo 3).
Lo que deliberadamente NO utilizamos
Los siguientes proveedores no se utilizan en DeepScript – como decisión arquitectónica deliberada en favor de la soberanía de los datos:
- · AWS, Azure, Google Cloud – sin hiperescaladores estadounidenses para el procesamiento de contenidos
- · OpenAI, Anthropic, Google Gemini – sin API de IA externas para la transcripción o el resumen
- · Meta Pixel, Hotjar, Mixpanel – sin seguimiento de marketing, sin grabación de sesiones
- · Intercom, Zendesk, Drift – sin chat de soporte externo con flujo de datos
- · Mailchimp, HubSpot, Marketo – sin stack de marketing externo con datos de la cuenta
Usamos Google Tag Manager + Google Analytics 4 únicamente en el sitio de marketing de acceso público, exclusivamente tras el consentimiento en el banner de cookies. Para la propia aplicación (área de acceso, transcripciones, editor) no se realiza ningún seguimiento web.
¿Preguntas?
Escríbenos a datenschutz@deepscript.com – respondemos en un día laborable.