Política de privacidad – Sitio web
Última actualización: 18 de mayo de 2026
Esta es una traducción facilitada por cortesía. En caso de discrepancias, prevalece la versión alemana.
Ámbito de aplicación: Esta política describe el tratamiento de datos en el sitio web de marketing público deepscript.com incluida la herramienta gratuita, las cookies y la medición de alcance basada en Google (solo tras consentimiento explícito). Para el tratamiento de datos en el área con sesión iniciada de la aplicación (cuenta, transcripción, facturación, soporte) se aplica la política de privacidad independiente de la aplicación – que funciona sin Google y sin seguimiento.
1. Responsable del tratamiento
El responsable del tratamiento de datos personales en el sentido del Reglamento General de Protección de Datos (RGPD) y de las demás disposiciones en materia de protección de datos es:
Aliru GmbH
Julius-Hatry-Straße 1
68163 Mannheim
Alemania
Director gerente: Julian Kissel
Teléfono: +49 621 49088670
Correo electrónico: datenschutz@deepscript.com
Operamos el servicio de transcripción bajo la marca DeepScript (en lo sucesivo, también «el servicio» o «la plataforma»). Esta política de privacidad se aplica al sitio webdeepscript.com (incluidos todos los subdominios) y a las interfaces asociadas (API REST, servidor MCP).
2. Delegado de protección de datos
Actualmente no estamos legalmente obligados a nombrar un delegado de protección de datos (art. 37 RGPD en relación con el § 38 BDSG). Para cualquier cuestión relativa a la protección de datos, póngase en contacto con: datenschutz@deepscript.com.
3. Aspectos generales
Son datos personales toda información sobre una persona física identificada o identificable (art. 4, n.º 1, RGPD). Tratamos sus datos exclusivamente sobre la base de las disposiciones legales (RGPD, BDSG, TDDDG). En esta política le informamos sobre la naturaleza, el alcance y la finalidad del tratamiento en el marco de nuestra oferta.
Las bases jurídicas aplicadas al tratamiento son, en particular:
- Art. 6, apdo. 1, letra a) RGPD – consentimiento (p. ej., renuncia expresa al derecho de desistimiento en la suscripción Pro).
- Art. 6, apdo. 1, letra b) RGPD – ejecución de un contrato y medidas precontractuales (creación de una cuenta, transcripción, facturación).
- Art. 6, apdo. 1, letra c) RGPD – obligación legal (en particular, obligaciones de conservación mercantiles y fiscales conforme al § 257 HGB, § 147 AO).
- Art. 6, apdo. 1, letra f) RGPD – interés legítimo (seguridad, prevención de abusos, registros del servidor, registros de auditoría).
4. Tratamiento al acceder al sitio web (registros del servidor)
Al acceder a deepscript.com, nuestro proxy inverso (Caddy) recopila automáticamente la siguiente información transmitida por el navegador de su dispositivo:
- Dirección IP (truncada o seudonimizada)
- Fecha y hora del acceso (UTC)
- URL solicitada / método HTTP / código de estado de la respuesta
- URL de referencia (si el navegador envía una)
- Identificador del agente de usuario (tipo de navegador y sistema operativo)
Estos datos se conservan durante un máximo de 14 días con fines de seguridad y estabilidad (detección y prevención de ataques, análisis de errores) y, a continuación, se eliminan automáticamente. No se combinan con otras fuentes de datos ni se realiza ningún perfilado.
Base jurídica: art. 6, apdo. 1, letra f) RGPD – interés legítimo en un funcionamiento seguro y estable.
5. Registro y cuenta
Para utilizar el servicio (más allá de las tres primeras transcripciones gratuitas) es necesario crear una cuenta. Tratamos:
- Nombre (de libre elección / nombre para mostrar)
- Dirección de correo electrónico (verificada)
- Contraseña (almacenada exclusivamente como hash bcrypt, nunca en texto plano)
- Opcional: razón social, dirección de facturación, NIF/IVA (para facturas B2B)
- Con la autenticación de dos factores activada: secreto TOTP cifrado + códigos de respaldo cifrados
- Configuración de idioma, apariencia preferida (tema), ajuste de conservación de datos
Base jurídica: art. 6, apdo. 1, letra b) RGPD – ejecución de un contrato. Sin estos datos no podemos concederle acceso al servicio.
Período de conservación: hasta que usted elimine la cuenta. Puede eliminar su cuenta en cualquier momento en los ajustes – todos los datos asociados (salvo los documentos contables que deben conservarse por ley, indicados a continuación) se eliminan entonces de forma inmediata y completa.
6. Inicio de sesión a través de proveedores externos (OAuth)
Opcionalmente, puede iniciar sesión mediante los procedimientos OAuth de Google o Microsoft. En este caso solo se transmite la información de perfil necesaria para crear la cuenta (nombre, dirección de correo electrónico, URL de la imagen de perfil). No obtenemos acceso a ningún otro contenido de su cuenta de Google o Microsoft.
El correspondiente proveedor de OAuth (Google Ireland Limited o Microsoft Ireland Operations Limited) es responsable independiente del tratamiento en el sentido del RGPD respecto del tratamiento en el marco del proceso de inicio de sesión. Las políticas de privacidad están disponibles en:
Base jurídica: art. 6, apdo. 1, letra b) RGPD.
7. Cargas de audio/vídeo y transcripciones
El núcleo de nuestro servicio es la conversión de archivos de audio o vídeo en texto. Para ello tratamos:
- El archivo cargado (audio/vídeo)
- Metadatos (nombre del archivo, tamaño, duración, tipo MIME, modelo elegido, idioma elegido)
- El resultado de la transcripción (texto, marcas de tiempo de palabras, atribución de hablantes, idioma detectado)
- Vocabulario personalizado que usted haya guardado, de forma opcional
El tratamiento se ejecuta íntegramente en nuestra propia infraestructura de servidores en Hetzner Online GmbH en Alemania. El archivo de audio/vídeo no se transmite en ningún momento a servicios externos de procesamiento del habla (p. ej., OpenAI, Google, AWS).
Período de conservación: Sin una suscripción Pro activa, eliminamos automáticamente las transcripciones y los archivos de audio subyacentes 30 días después de su creación. Con una suscripción Pro conservamos los datos de forma permanente hasta su cancelación o eliminación expresa. Puede eliminar manualmente cualquier transcripción en cualquier momento.
Sin uso para el entrenamiento de IA: Nunca utilizamos sus datos de audio/vídeo ni las transcripciones para entrenar o mejorar nuestros modelos o los de terceros. El tratamiento se realiza exclusivamente con la finalidad de la prestación de transcripción acordada contractualmente.
Base jurídica: art. 6, apdo. 1, letra b) RGPD. Para los clientes empresariales que hacen tratar datos personales de terceros (p. ej., grabaciones de entrevistas), celebramos a petición un contrato de encargo del tratamiento conforme al art. 28 RGPD; véase Trust Center.
8. Herramienta gratuita / transcripciones de invitado
En /free-transcription ofrecemos una opción de transcripción gratuita sin registro. Para ello se establece en su navegador un token de sesión anónimo (cadena aleatoria) como cookie HttpOnly, a fin de permitirle acceder al resultado hasta su finalización.
No se recopilan datos personales de usted. El archivo y el resultado se eliminan automáticamente tras 24 horas, salvo que entretanto cree una cuenta y asigne la transcripción a su cuenta.
Base jurídica: art. 6, apdo. 1, letra b) RGPD (medida precontractual).
9. Procesamiento de pagos (Stripe)
Para la tramitación de las recargas de saldo (pago por uso) y de la suscripción Pro utilizamos el proveedor Stripe. Al acceder a la página de pago de Stripe o al portal del cliente, se le redirige a una interfaz propia de Stripe; los datos de pago (datos de tarjeta, banco, monedero) los introduce exclusivamente de forma directa en Stripe y no se nos transmiten ni se almacenan en nuestros sistemas en ningún momento.
Recibimos de Stripe la siguiente información:
- ID de cliente de Stripe (seudónimo)
- Estado del pago / de la suscripción
- Dirección de facturación + NIF/IVA en su caso (si se indica en el pago)
- En la suscripción Pro: inicio del contrato, próxima fecha de facturación, estado de cancelación
El proveedor de Stripe en el ámbito de la UE es Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublín, Irlanda. Stripe es responsable independiente del tratamiento para el procesamiento de pagos; la política de privacidad está disponible en stripe.com/de/privacy. Una transferencia de datos a EE. UU. tiene lugar en el marco de operaciones de pago concretas sobre la base de la certificación de Stripe conforme al EU-US Data Privacy Framework, así como sobre la base de las cláusulas contractuales tipo de la UE.
Base jurídica: art. 6, apdo. 1, letra b) RGPD (ejecución de un contrato) así como art. 6, apdo. 1, letra c) RGPD (conservación de justificantes de factura conforme al § 147 AO, 10 años).
10. Envío de correos electrónicos
Para los correos electrónicos transaccionales (confirmación del registro, restablecimiento de contraseña, notificaciones, facturas) utilizamos Microsoft Graph de Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublín 18, Irlanda) a través de un acceso a buzón compartido. Los correos se envían a través de la infraestructura de Microsoft 365 en la UE.
Base jurídica: art. 6, apdo. 1, letra b) RGPD (ejecución de un contrato) o art. 6, apdo. 1, letra f) RGPD (interés legítimo en un envío correcto).
11. Tickets de soporte
Cuando abre un ticket de soporte, tratamos el asunto, la descripción, la categoría, la prioridad, en su caso la referencia a una transcripción, así como el posterior historial de mensajes. Los datos se utilizan exclusivamente para la tramitación de la solicitud y permanecen vinculados a la cuenta hasta que elimine el ticket o la cuenta.
Base jurídica: art. 6, apdo. 1, letra b) RGPD.
12. Registro de seguridad / auditoría
Registramos los eventos relevantes para la seguridad de su cuenta (inicio de sesión, cierre de sesión, cambio de la configuración de 2FA, creación/revocación de claves API, exportaciones de datos, eliminación de la cuenta) junto con la dirección IP y el agente de usuario. Estos registros sirven exclusivamente para la trazabilidad de los accesos a la cuenta y usted puede consultarlos en cualquier momento en los ajustes.
Base jurídica: art. 6, apdo. 1, letra f) RGPD – interés legítimo en la trazabilidad y seguridad de los accesos a la cuenta.
13. Cookies y tecnologías comparables
Utilizamos exclusivamente cookies técnicamente necesarias o entradas de almacenamiento local:
| Nombre | Finalidad | Período de conservación |
|---|---|---|
authjs.session-token | Sesión de autenticación (NextAuth) | 30 días / hasta el cierre de sesión |
authjs.csrf-token | Protección CSRF | Sesión |
ds_guest_session | Token anónimo para /free-transcription | 24 horas |
ds_cookie_consent | Almacena la toma de conocimiento del banner de cookies | 12 meses (almacenamiento local) |
ds_locale | Idioma preferido (interfaz) | 12 meses (almacenamiento local) |
No establecemos ninguna cookie de marketing o de perfilado y no utilizamos ningún Meta Pixel, Hotjar, Mixpanel o similar. Para las cookies mencionadas anteriormente no se requiere consentimiento en el sentido del § 25, apdo. 2, TDDDG, ya que son técnicamente necesarias.
Opcional – Google Tag Manager / Google Analytics 4
En deepscript.com (entorno de producción) utilizamos, tras su consentimiento explícito, Google Tag Manager (ID de contenedorGTM-WJVPJMDT). El Tag Manager carga Google Analytics 4 (GA4) para analizar el uso de forma anonimizada (páginas vistas, rutas de clic, estabilidad técnica). La activación se produce exclusivamente tras hacer clic en «Aceptar» en el banner de cookies. Antes de ello no se establece ninguna conexión con Google.
Al aceptar, Google establece las siguientes cookies (ejemplos; la lista exacta depende de las etiquetas activas en el Tag Manager):
_ga,_ga_*– ID de dispositivo seudónimo, conservación 24 meses_gid– ID de sesión seudónimo, conservación 24 horas_gat– limita la frecuencia de solicitudes a los servidores de Google, conservación 1 minuto
Base jurídica: art. 6, apdo. 1, letra a) RGPD (consentimiento) en relación con el § 25, apdo. 1, TDDDG. Destinatario: Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda (parte contratante en la UE); transferencia de datos subsidiaria a Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, EE. UU. Base de la transferencia a un tercer país: cláusulas contractuales tipo conforme al art. 46, apdo. 2, letra c) RGPD así como la certificación de Google conforme al EU-US Data Privacy Framework.
Retirada del consentimiento: posible en cualquier momento a través del enlace «Configuración de cookies» en el pie de página. Tras la retirada no se transfieren nuevos puntos de datos a Google; los datos ya recopilados en Google durante la sesión de navegación en curso siguen sujetos a las propias políticas de conservación de Google (predeterminado: 14 meses). Endev.deepscript.com Google Tag Manager no está activo en absoluto – el contenedor no se incorpora deliberadamente en el proceso de compilación.
14. Atribución de marketing y medición de conversiones
Para poder medir la eficacia de nuestros propios canales de marketing de pago (en particular Google Ads), registramos al acceder al sitio web de marketing determinados parámetros de URL que las plataformas publicitarias nos transmiten, así como el referente (referrer). En este proceso no se produce ninguna comunicación con Google ni con otras plataformas publicitarias – únicamente leemos los valores transmitidos y los almacenamos en su navegador (almacenamiento local).
Se registran los siguientes parámetros, siempre que figuren en la URL consultada:
- Google Ads:
gclid,gad_source,gbraid,wbraid(ID de clic) - Parámetros UTM (identificación de campaña):
utm_source,utm_medium,utm_campaign,utm_term,utm_content - Otras redes publicitarias:
msclkid(Microsoft Ads),fbclid(Meta),ttclid(TikTok),li_fat_id(LinkedIn) - Contexto: referente (página anterior), página de destino, agente de usuario (identificador del navegador)
Lugar de almacenamiento: en un primer momento exclusivamente en el almacenamiento local de su navegador (clave ds_attribution_v1, conservación 30 días renovables). No se establecen cookies. Si crea una cuenta después de este período, el contenido se incorpora una sola vez a nuestra base de datos y se vincula a su cuenta (tabla UserAttribution).
Carga manual de conversiones a Google Ads: Para medir el éxito del marketing, cargamos periódicamente (con una frecuencia de semanal a mensual) un archivo CSV en la interfaz de Google Ads que contiene los siguientes campos: nombre de la conversión, momento de la conversión (UTC), valor de la conversión en €, ID de clic (gclid), hash SHA-256 de la dirección de correo electrónico. El hash del correo permite a Google una correspondencia anónima con el clic asociado («Enhanced Conversions for Leads»). Google no recibe la dirección de correo sin cifrar. Esta carga la realiza manualmente nuestro equipo de marketing y no automáticamente su navegador.
Base jurídica: art. 6, apdo. 1, letra f) RGPD – interés legítimo en la gestión económica de nuestros propios canales de marketing de pago. Los datos no se utilizan para perfilado, remarketing ni inserción de anuncios.
Derecho de oposición: Puede oponerse al tratamiento en cualquier momento, sin formalidades, por correo electrónico a datenschutz@deepscript.com. A petición, eliminamos los datos de atribución asignados a su cuenta y le excluimos de futuras cargas CSV. El almacenamiento local en su navegador puede eliminarlo usted mismo en cualquier momento a través de la configuración del navegador → «Borrar datos de este sitio web».
15. Resumen de los encargados del tratamiento
Los siguientes proveedores de servicios tratan datos personales por encargo nuestro sobre la base de un contrato de encargo del tratamiento (art. 28 RGPD). Encontrará una lista siempre actualizada también en el Trust Center.
| Proveedor de servicios | Sede / lugar de tratamiento | Finalidad |
|---|---|---|
| Hetzner Online GmbH | Núremberg / Falkenstein, Alemania | Alojamiento de servidores, base de datos, almacenamiento de objetos, motor de transcripción |
| Stripe Payments Europe Ltd. | Dublín, Irlanda (subcontratista en EE. UU.) | Procesamiento de pagos, facturación, gestión de suscripciones |
| Microsoft Ireland Operations Ltd. | Dublín, Irlanda | Envío de correos transaccionales a través de Microsoft Graph |
| Google Ireland LimitedGTM solo con consentimiento | Dublín, Irlanda (subcontratista en EE. UU.) | (a) Google Tag Manager + Google Analytics 4 para la medición de alcance del sitio de marketing – solo tras consentimiento explícito; (b) carga manual de CSV de eventos de conversión (gclid + correo con hash SHA-256) a Google Ads para medir la eficacia publicitaria de nuestras propias campañas de pago – base jurídica art. 6, apdo. 1, letra f) RGPD (interés legítimo). |
16. Transferencia de datos a terceros países
Sus datos se tratan, en principio, exclusivamente dentro de la Unión Europea. Una transferencia a EE. UU. tiene lugar en los dos casos siguientes:
- Procesamiento de pagos a través de Stripe (siempre, ejecución de un contrato) – base: la certificación de Stripe conforme al EU-US Data Privacy Framework así como, con carácter complementario, las cláusulas contractuales tipo de la UE conforme al art. 46, apdo. 2, letra c) RGPD.
- Medición de alcance a través de Google Tag Manager / GA4 – solo tras su consentimiento explícito (art. 6, apdo. 1, letra a) RGPD). Base: la certificación DPF de Google + las CCT. Sin hacer clic en «Aceptar» en el banner de cookies no se produce ninguna transferencia.
17. Plazos de almacenamiento y conservación
- Datos maestros de la cuenta: hasta que usted elimine la cuenta
- Transcripciones + archivos de audio sin suscripción Pro: 30 días, luego eliminación automática
- Transcripciones + archivos de audio con suscripción Pro: hasta la eliminación manual o la eliminación de la cuenta
- Registros del servidor: 14 días
- Registros de auditoría: 12 meses
- Documentos de facturación y contables: 10 años (§ 147 AO, § 257 HGB)
- Transcripciones de invitado (herramienta gratuita sin cuenta): 24 horas
18. Sus derechos conforme al RGPD
- Art. 15 – Derecho de acceso: qué datos tratamos sobre usted.
- Art. 16 – Rectificación: corrección de datos inexactos o incompletos.
- Art. 17 – Supresión («derecho al olvido»). Puede eliminar su cuenta junto con todos los datos asociados en cualquier momento en los ajustes.
- Art. 18 – Limitación del tratamiento.
- Art. 20 – Portabilidad de los datos: una exportación JSON completa de sus datos está disponible en cualquier momento en los ajustes.
- Art. 21 – Oposición a los tratamientos basados en intereses legítimos.
- Art. 7, apdo. 3 – Retirada de los consentimientos otorgados con efectos para el futuro.
- Art. 77 – Reclamación ante una autoridad de control.
Para el ejercicio de sus derechos basta con un correo electrónico sin formalidades a datenschutz@deepscript.com. Respondemos dentro del plazo legal de un mes (art. 12, apdo. 3, RGPD).
19. Autoridad de control
Tiene derecho a presentar una reclamación ante una autoridad de control de protección de datos de su elección. La autoridad territorialmente competente para Aliru GmbH es:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Teléfono: +49 711 615541-0
Web: baden-wuerttemberg.datenschutz.de
20. Decisiones automatizadas
No utilizamos procedimientos automatizados en el sentido del art. 22 RGPD que produzcan efectos jurídicos sobre usted o que le afecten significativamente de modo similar.
21. Cambios en esta política de privacidad
Adaptamos esta política de privacidad cuando cambia el marco técnico o jurídico. La versión vigente en cada momento está disponible en esta URL. En caso de cambios sustanciales, informamos a los usuarios activos por correo electrónico.
22. Encargo del tratamiento para clientes empresariales
Los clientes empresariales que, bajo su propia responsabilidad, transmiten datos personales de terceros (p. ej., empleados, entrevistados) para su transcripción celebran con nosotros un contrato de encargo del tratamiento conforme al art. 28 RGPD. El contrato puede firmarse digitalmente en el Trust Center.