DeepScript

Informativa sulla privacy – Sito web

Ultimo aggiornamento: 18 maggio 2026

La presente è una traduzione fornita per comodità. In caso di discrepanze prevale la versione tedesca.

Ambito di applicazione: La presente informativa descrive il trattamento dei dati sul sito di marketing pubblico deepscript.com incluso lo strumento gratuito, i cookie e la misurazione dell'audience basata su Google (solo previo consenso esplicito). Per il trattamento dei dati nell'area riservata dell'app (account, trascrizione, fatturazione, assistenza) si applica l' informativa sulla privacy separata dell'app – che funziona senza Google e senza tracciamento.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e delle altre disposizioni in materia di protezione dei dati è:

Aliru GmbH
Julius-Hatry-Straße 1
68163 Mannheim
Germania

Amministratore delegato: Julian Kissel
Telefono: +49 621 49088670
E-mail: datenschutz@deepscript.com

Gestiamo il servizio di trascrizione con il marchio DeepScript (di seguito anche «il servizio» o «la piattaforma»). La presente informativa sulla privacy si applica al sito webdeepscript.com (compresi tutti i sottodomini) e alle interfacce associate (API REST, server MCP).

2. Responsabile della protezione dei dati

Attualmente non siamo tenuti per legge a nominare un responsabile della protezione dei dati (art. 37 GDPR in combinato disposto con il § 38 BDSG). Per qualsiasi questione relativa alla protezione dei dati, contatti: datenschutz@deepscript.com.

3. Principi generali

Per dati personali si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4 n. 1 GDPR). Trattiamo i suoi dati esclusivamente sulla base delle disposizioni di legge (GDPR, BDSG, TDDDG). Nella presente informativa la informiamo sulla natura, sull'ambito e sulla finalità del trattamento nell'ambito della nostra offerta.

Le basi giuridiche utilizzate per il trattamento sono in particolare:

  • Art. 6, par. 1, lett. a) GDPR – consenso (ad es. rinuncia espressa al diritto di recesso per l'abbonamento Pro).
  • Art. 6, par. 1, lett. b) GDPR – esecuzione di un contratto e misure precontrattuali (creazione di un account, trascrizione, fatturazione).
  • Art. 6, par. 1, lett. c) GDPR – obbligo legale (in particolare obblighi di conservazione commerciali e fiscali ai sensi del § 257 HGB, § 147 AO).
  • Art. 6, par. 1, lett. f) GDPR – interesse legittimo (sicurezza, prevenzione degli abusi, log del server, log di audit).

4. Trattamento durante l'accesso al sito web (log del server)

Quando accede a deepscript.com, il nostro reverse proxy (Caddy) raccoglie automaticamente le seguenti informazioni trasmesse dal browser del suo dispositivo:

  • Indirizzo IP (abbreviato o pseudonimizzato)
  • Data e ora dell'accesso (UTC)
  • URL richiesto / metodo HTTP / codice di stato della risposta
  • URL di provenienza (se il browser ne invia uno)
  • Identificativo user agent (tipo di browser e di sistema operativo)

Questi dati vengono conservati per un massimo di 14 giorni a fini di sicurezza e stabilità (rilevamento e prevenzione degli attacchi, analisi degli errori) e successivamente cancellati automaticamente. Non avviene alcun collegamento con altre fonti di dati né alcuna profilazione.

Base giuridica: art. 6, par. 1, lett. f) GDPR – interesse legittimo a un funzionamento sicuro e stabile.

5. Registrazione e account

Per utilizzare il servizio (oltre le prime tre trascrizioni gratuite) è necessario creare un account. Trattiamo:

  • Nome (liberamente scelto / nome visualizzato)
  • Indirizzo e-mail (verificato)
  • Password (memorizzata esclusivamente come hash bcrypt, mai in chiaro)
  • Facoltativo: ragione sociale, indirizzo di fatturazione, partita IVA (per fatture B2B)
  • Con l'autenticazione a due fattori attiva: secret TOTP cifrato + codici di backup cifrati
  • Impostazione della lingua, aspetto preferito (tema), impostazione di conservazione dei dati

Base giuridica: art. 6, par. 1, lett. b) GDPR – esecuzione di un contratto. Senza questi dati non possiamo concederle l'accesso al servizio.

Periodo di conservazione: fino alla cancellazione dell'account da parte sua. Può eliminare il suo account in qualsiasi momento nelle impostazioni – tutti i dati associati (ad eccezione dei documenti contabili da conservare per legge, indicati di seguito) vengono quindi rimossi immediatamente e integralmente.

6. Accesso tramite provider terzi (OAuth)

Facoltativamente può accedere tramite le procedure OAuth di Google o Microsoft. In questo caso vengono trasmesse solo le informazioni del profilo necessarie per la creazione dell'account (nome, indirizzo e-mail, URL dell'immagine del profilo). Non riceviamo accesso ad altri contenuti del suo account Google o Microsoft.

Il rispettivo provider OAuth (Google Ireland Limited o Microsoft Ireland Operations Limited) è titolare autonomo del trattamento ai sensi del GDPR per il trattamento nell'ambito della procedura di accesso. Le informative sulla privacy sono disponibili all'indirizzo:

Base giuridica: art. 6, par. 1, lett. b) GDPR.

7. Caricamenti audio/video e trascrizioni

Il cuore del nostro servizio è la conversione di file audio o video in testo. In tale contesto trattiamo:

  • Il file caricato (audio/video)
  • Metadati (nome del file, dimensione, durata, tipo MIME, modello scelto, lingua scelta)
  • Il risultato della trascrizione (testo, marcatori temporali delle parole, attribuzione dei parlanti, lingua rilevata)
  • Un vocabolario personalizzato eventualmente da lei impostato

Il trattamento avviene interamente sulla nostra infrastruttura server presso Hetzner Online GmbH in Germania. Il file audio/video non viene in nessun momento trasmesso a servizi esterni di elaborazione vocale (ad es. OpenAI, Google, AWS).

Periodo di conservazione: Senza un abbonamento Pro attivo, cancelliamo automaticamente le trascrizioni e i file audio sottostanti 30 giorni dopo la creazione. Con un abbonamento Pro conserviamo i dati in modo permanente fino alla disdetta o alla cancellazione espressa. Può cancellare manualmente qualsiasi trascrizione in qualsiasi momento.

Nessun utilizzo per l'addestramento dell'IA: Non utilizziamo mai i suoi dati audio/video e le trascrizioni per addestrare o migliorare i nostri modelli o quelli di terzi. Il trattamento avviene esclusivamente ai fini della prestazione di trascrizione concordata contrattualmente.

Base giuridica: art. 6, par. 1, lett. b) GDPR. Per i clienti business che fanno trattare dati personali di terzi (ad es. registrazioni di interviste), su richiesta concludiamo un accordo di responsabile del trattamento ai sensi dell'art. 28 GDPR; vedere Trust Center.

8. Strumento gratuito / trascrizioni ospite

All'indirizzo /free-transcription offriamo una possibilità di trascrizione gratuita senza registrazione. In tale contesto nel suo browser viene impostato un token di sessione anonimo (stringa casuale) come cookie HttpOnly, per consentirle l'accesso al risultato fino al completamento.

Non vengono raccolti dati personali da lei. Il file e il risultato vengono cancellati automaticamente dopo 24 ore, salvo che nel frattempo crei un account e associ la trascrizione al suo account.

Base giuridica: art. 6, par. 1, lett. b) GDPR (misura precontrattuale).

9. Elaborazione dei pagamenti (Stripe)

Per l'elaborazione delle ricariche di credito (pay-per-use) e dell'abbonamento Pro utilizziamo il fornitore di servizi Stripe. Accedendo alla pagina di checkout di Stripe o al portale clienti, lei viene reindirizzato a un'interfaccia di proprietà di Stripe; i dati di pagamento (dati di carta, banca, wallet) vengono inseriti esclusivamente direttamente presso Stripe e non vengono in alcun momento trasmessi a noi né da noi memorizzati.

Da Stripe riceviamo le seguenti informazioni:

  • ID cliente Stripe (pseudonimo)
  • Stato del pagamento / dell'abbonamento
  • Indirizzo di fatturazione + eventuale partita IVA (se indicata nel checkout)
  • Per l'abbonamento Pro: inizio del contratto, prossima data di fatturazione, stato di disdetta

Il fornitore Stripe nell'area UE è Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublino, Irlanda. Stripe è titolare autonomo del trattamento per l'elaborazione dei pagamenti; l'informativa sulla privacy è disponibile su stripe.com/de/privacy. Un trasferimento di dati negli USA avviene nell'ambito di singole operazioni di pagamento sulla base della certificazione di Stripe ai sensi dell'EU-US Data Privacy Framework nonché sulla base delle clausole contrattuali tipo dell'UE.

Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto) nonché art. 6, par. 1, lett. c) GDPR (conservazione dei documenti di fatturazione ai sensi del § 147 AO, 10 anni).

10. Invio di e-mail

Per le e-mail transazionali (conferma della registrazione, reimpostazione della password, notifiche, fatture) utilizziamo Microsoft Graph di Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlanda) tramite un accesso a casella di posta condivisa. Le e-mail vengono inviate tramite l'infrastruttura Microsoft 365 nell'UE.

Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto) o art. 6, par. 1, lett. f) GDPR (interesse legittimo a un invio regolare).

11. Ticket di assistenza

Quando apre un ticket di assistenza, trattiamo l'oggetto, la descrizione, la categoria, la priorità, eventualmente il riferimento a una trascrizione nonché il successivo scambio di messaggi. I dati vengono utilizzati esclusivamente per la gestione della richiesta e restano collegati all'account fino a quando non elimina il ticket o l'account.

Base giuridica: art. 6, par. 1, lett. b) GDPR.

12. Log di sicurezza / audit

Registriamo gli eventi rilevanti per la sicurezza del suo account (login, logout, modifica della configurazione 2FA, creazione/revoca di chiavi API, esportazioni di dati, cancellazione dell'account) insieme all'indirizzo IP e allo user agent. Questi log servono esclusivamente a garantire la tracciabilità degli accessi all'account e possono essere consultati da lei in qualsiasi momento nelle impostazioni.

Base giuridica: art. 6, par. 1, lett. f) GDPR – interesse legittimo alla tracciabilità e alla sicurezza degli accessi all'account.

13. Cookie e tecnologie analoghe

Utilizziamo esclusivamente cookie tecnicamente necessari o voci di local storage:

NomeFinalitàDurata di conservazione
authjs.session-tokenSessione di autenticazione (NextAuth)30 giorni / fino al logout
authjs.csrf-tokenProtezione CSRFSessione
ds_guest_sessionToken anonimo per /free-transcription24 ore
ds_cookie_consentMemorizza la presa visione del banner dei cookie12 mesi (local storage)
ds_localeLingua preferita (interfaccia)12 mesi (local storage)

Non impostiamo alcun cookie di marketing o di profilazione e non utilizziamo alcun Meta Pixel, Hotjar, Mixpanel o simili. Per i cookie sopra indicati non è necessario un consenso ai sensi del § 25, par. 2, TDDDG, poiché sono tecnicamente necessari.

Facoltativo – Google Tag Manager / Google Analytics 4

Su deepscript.com (ambiente di produzione) utilizziamo, previo il suo consenso esplicito, Google Tag Manager (ID containerGTM-WJVPJMDT). Il Tag Manager carica Google Analytics 4 (GA4) per analizzare l'utilizzo in forma anonimizzata (visualizzazioni di pagina, percorsi di clic, stabilità tecnica). L'attivazione avviene esclusivamente dopo aver fatto clic su «Accetta» nel banner dei cookie. Prima di ciò non avviene alcuna connessione a Google.

All'accettazione, Google imposta i seguenti cookie (esempi; l'elenco esatto dipende dai tag attivi nel Tag Manager):

  • _ga, _ga_* – ID dispositivo pseudonimo, conservazione 24 mesi
  • _gid – ID sessione pseudonimo, conservazione 24 ore
  • _gat – limita la frequenza delle richieste verso i server di Google, conservazione 1 minuto

Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso) in combinato disposto con il § 25, par. 1, TDDDG. Destinatario: Google Ireland Limited, Gordon House, Barrow Street, Dublino 4, Irlanda (controparte contrattuale UE); trasferimento di dati subordinato a Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Base del trasferimento verso un paese terzo: clausole contrattuali tipo ai sensi dell'art. 46, par. 2, lett. c) GDPR nonché la certificazione di Google ai sensi dell'EU-US Data Privacy Framework.

Revoca del consenso: possibile in qualsiasi momento tramite il link «Impostazioni cookie» nel piè di pagina. Dopo la revoca non vengono più trasmessi nuovi dati a Google; i dati già raccolti presso Google nella sessione di navigazione in corso restano soggetti alle politiche di conservazione di Google (impostazione predefinita: 14 mesi). Sudev.deepscript.com Google Tag Manager è generalmente non attivo – il container non viene volutamente incorporato nel processo di build.

14. Attribuzione marketing e misurazione delle conversioni

Affinché possiamo misurare l'efficacia dei nostri canali di marketing a pagamento (in particolare Google Ads), durante l'accesso al sito di marketing rileviamo determinati parametri URL che le piattaforme pubblicitarie ci trasmettono, nonché il referrer. In tale contesto non avviene alcuna comunicazione con Google o altre piattaforme pubblicitarie – ci limitiamo a leggere i valori trasmessi e a memorizzarli nel suo browser (local storage).

Vengono rilevati i seguenti parametri, se contenuti nell'URL richiamato:

  • Google Ads: gclid, gad_source, gbraid, wbraid (ID di clic)
  • Parametri UTM (identificazione della campagna): utm_source, utm_medium, utm_campaign, utm_term, utm_content
  • Altri network pubblicitari: msclkid (Microsoft Ads), fbclid (Meta), ttclid (TikTok), li_fat_id (LinkedIn)
  • Contesto: referrer (pagina precedente), landing page, user agent (identificativo del browser)

Luogo di memorizzazione: inizialmente esclusivamente nel local storage del suo browser (chiave ds_attribution_v1, conservazione 30 giorni rolling). Non vengono impostati cookie. Se dopo tale periodo crea un account, il contenuto viene acquisito una sola volta nel nostro database e collegato al suo account (tabella UserAttribution).

Caricamento manuale delle conversioni su Google Ads: Per misurare il successo del marketing carichiamo periodicamente (con cadenza da settimanale a mensile) un file CSV nell'interfaccia di Google Ads contenente i seguenti campi: nome conversione, data/ora conversione (UTC), valore di conversione in €, ID di clic (gclid), hash SHA-256 dell'indirizzo e-mail. L'hash dell'e-mail consente a Google un abbinamento anonimo con il clic corrispondente («Enhanced Conversions for Leads»). Google non riceve l'indirizzo e-mail non cifrato. Questo caricamento viene effettuato manualmente dal nostro team di marketing e non automaticamente dal suo browser.

Base giuridica: art. 6, par. 1, lett. f) GDPR – interesse legittimo alla gestione economica dei nostri canali di marketing a pagamento. I dati non vengono utilizzati per profilazione, retargeting o inserzioni pubblicitarie.

Diritto di opposizione: Può opporsi al trattamento in qualsiasi momento, in forma libera, via e-mail a datenschutz@deepscript.com. Su richiesta cancelliamo i dati di attribuzione associati al suo account e la escludiamo dai futuri caricamenti CSV. Può rimuovere autonomamente la memoria locale nel suo browser in qualsiasi momento tramite le impostazioni del browser → «Cancella i dati di questo sito web».

15. Panoramica dei responsabili del trattamento

I seguenti fornitori di servizi trattano dati personali per nostro conto sulla base di un accordo di responsabile del trattamento (art. 28 GDPR). Un elenco sempre aggiornato è disponibile anche nel Trust Center.

Fornitore di serviziSede / luogo del trattamentoFinalità
Hetzner Online GmbHNorimberga / Falkenstein, GermaniaHosting server, database, object storage, motore di trascrizione
Stripe Payments Europe Ltd.Dublino, Irlanda (subappaltatore negli USA)Elaborazione dei pagamenti, fatturazione, gestione degli abbonamenti
Microsoft Ireland Operations Ltd.Dublino, IrlandaInvio di e-mail transazionali tramite Microsoft Graph
Google Ireland LimitedGTM solo con consensoDublino, Irlanda (subappaltatore negli USA)(a) Google Tag Manager + Google Analytics 4 per la misurazione dell'audience del sito di marketing – solo previo consenso esplicito; (b) caricamento manuale CSV di eventi di conversione (gclid + e-mail con hash SHA-256) su Google Ads per misurare l'efficacia pubblicitaria delle nostre campagne a pagamento – base giuridica art. 6, par. 1, lett. f) GDPR (interesse legittimo).

16. Trasferimento di dati verso paesi terzi

I suoi dati vengono di norma trattati esclusivamente all'interno dell'Unione europea. Un trasferimento negli USA avviene nei seguenti due casi:

  • Elaborazione dei pagamenti tramite Stripe (sempre, esecuzione di un contratto) – base: la certificazione di Stripe ai sensi dell' EU-US Data Privacy Framework nonché, in via integrativa, le clausole contrattuali tipo dell'UE ai sensi dell'art. 46, par. 2, lett. c) GDPR.
  • Misurazione dell'audience tramite Google Tag Manager / GA4 – solo previo suo consenso esplicito (art. 6, par. 1, lett. a) GDPR). Base: la certificazione DPF di Google + le SCC. Senza fare clic su «Accetta» nel banner dei cookie non avviene alcun trasferimento.

17. Periodi di archiviazione e conservazione

  • Dati anagrafici dell'account: fino alla cancellazione dell'account da parte sua
  • Trascrizioni + file audio senza abbonamento Pro: 30 giorni, poi cancellazione automatica
  • Trascrizioni + file audio con abbonamento Pro: fino alla cancellazione manuale o alla cancellazione dell'account
  • Log del server: 14 giorni
  • Log di audit: 12 mesi
  • Documenti di fatturazione e contabili: 10 anni (§ 147 AO, § 257 HGB)
  • Trascrizioni ospite (strumento gratuito senza account): 24 ore

18. I suoi diritti ai sensi del GDPR

  • Art. 15 – Diritto di accesso: quali dati trattiamo sul suo conto.
  • Art. 16 – Rettifica: correzione di dati inesatti o incompleti.
  • Art. 17 – Cancellazione («diritto all'oblio»). Può cancellare il suo account con tutti i dati associati in qualsiasi momento nelle impostazioni.
  • Art. 18 – Limitazione del trattamento.
  • Art. 20 – Portabilità dei dati: un'esportazione JSON completa dei suoi dati è disponibile in qualsiasi momento nelle impostazioni.
  • Art. 21 – Opposizione ai trattamenti basati su interessi legittimi.
  • Art. 7, par. 3 – Revoca dei consensi prestati con effetto per il futuro.
  • Art. 77 – Reclamo a un'autorità di controllo.

Per l'esercizio dei suoi diritti è sufficiente un'e-mail in forma libera a datenschutz@deepscript.com. Rispondiamo entro il termine di legge di un mese (art. 12, par. 3, GDPR).

19. Autorità di controllo

Ha il diritto di proporre reclamo a un'autorità di controllo per la protezione dei dati a sua scelta. L'autorità territorialmente competente per Aliru GmbH è:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefono: +49 711 615541-0
Web: baden-wuerttemberg.datenschutz.de

20. Processo decisionale automatizzato

Non utilizziamo procedure automatizzate ai sensi dell'art. 22 GDPR che producano effetti giuridici nei suoi confronti o che incidano in modo analogo significativamente sulla sua persona.

21. Modifiche alla presente informativa sulla privacy

Adattiamo la presente informativa sulla privacy quando cambiano le condizioni tecniche o giuridiche. La versione di volta in volta aggiornata è disponibile a questo URL. In caso di modifiche sostanziali informiamo gli utenti attivi via e-mail.

22. Trattamento per conto di clienti business

I clienti business che, sotto la propria responsabilità, trasmettono dati personali di terzi (ad es. dipendenti, partner di intervista) per la trascrizione concludono con noi un accordo di responsabile del trattamento ai sensi dell'art. 28 GDPR. L'accordo può essere firmato digitalmente nel Trust Center.

Informativa sulla privacy – DeepScript | DeepScript