Torna al Trust Center
FAQ
FAQ sulla privacy
Risposte alle domande più frequenti su conformità al GDPR, addestramento dell'IA, luogo di archiviazione, sub-responsabili, diritti degli interessati e sicurezza. Se la sua domanda non trova risposta qui, ci scriva pure.
GDPR e conformità
DeepScript è conforme al GDPR?
Sì. DeepScript è stato concepito per essere conforme al GDPR fin dall'inizio: trattamento in Germania, nessun trasferimento verso paesi terzi dei dati di contenuto, un DPA ai sensi dell'art. 28 disponibile, misure tecniche e organizzative documentate ai sensi dell'art. 32, un elenco trasparente dei sub-responsabili e il pieno supporto di tutti i diritti degli interessati.
DeepScript è titolare o responsabile del trattamento?
Entrambi – a seconda dei dati in questione. Per i dati di contenuto (audio, trascrizioni) siamo responsabili del trattamento ai sensi dell'art. 28 GDPR e agiamo esclusivamente su istruzione del nostro cliente. Per il trattamento dei dati di account e di fatturazione dei nostri clienti stessi siamo titolari del trattamento.
I dati dei clienti vengono utilizzati per l'addestramento dell'IA?
No. Mai. Né per addestrare i nostri modelli né per addestrare modelli di terzi. Questa garanzia è contrattualmente vincolante e tecnicamente protetta da pipeline di inferenza nettamente separate – i processi di addestramento non hanno accesso in lettura ai dati di produzione dei clienti.
Esiste un accordo sul trattamento dei dati (DPA)?
Sì. Può richiedere il DPA direttamente online nella pagina del Trust Center. Entro pochi minuti riceve via e-mail un contratto PDF precompilato e firmato da noi. Inclusi tutti e quattro gli allegati (misure tecniche e organizzative, registro delle attività di trattamento, sub-responsabili, conformità IA).
Avete ISO 27001?
Sì. DeepScript è certificato secondo le norme ISO/IEC 27001, ISO 9001 e ISO 14001. Anche il nostro partner infrastrutturale Hetzner è certificato ISO/IEC 27001.
Hosting e luogo di archiviazione
Dove vengono archiviati i miei dati?
Esclusivamente in Germania – nei data center Hetzner di Norimberga e Falkenstein. Entrambe le sedi sono certificate ISO/IEC 27001. Applicazione, database, motore di trascrizione, object storage e backup rimangono all'interno di queste sedi.
DeepScript trasferisce dati al di fuori dell'UE?
Nessun dato di contenuto. L'unico trasferimento verso un paese terzo avviene per l'elaborazione dei pagamenti tramite Stripe (UE → USA), tutelato dalle clausole contrattuali tipo dell'UE (SCC) e dalla certificazione DPF di Stripe. Non vengono trasferiti audio o trascrizioni, ma solo metadati di fatturazione (nome, indirizzo, token, importo).
Utilizzate AWS, Azure o Google Cloud?
No. Non utilizziamo alcun hyperscaler statunitense per il trattamento o l'archiviazione dei dati dei clienti. L'intera infrastruttura gira su Hetzner in Germania.
Quali servizi di IA esterni utilizzate?
Nessuno. Il nostro motore di riconoscimento vocale compatibile con Whisper gira interamente sulla nostra infrastruttura. Non inviamo audio o trascrizioni a OpenAI, Anthropic, Google o fornitori simili. I riepiloghi assistiti dall'IA avvengono esclusivamente lato client tramite il Model Context Protocol – il client IA scelto dal cliente (ad es. Claude Desktop) porta con sé la propria connessione al modello.
Sicurezza
Come sono cifrati i miei dati?
In transito: TLS 1.3 (almeno TLS 1.2) tra tutti i componenti, HSTS su tutti gli endpoint pubblici. A riposo: AES-256 per i backup; volumi di database interamente cifrati. Le password vengono memorizzate con bcrypt; le chiavi API esclusivamente come hash.
Chi nel vostro team ha accesso ai miei dati?
Nel normale funzionamento, nessuno. Gli accessi amministrativi ai sistemi di produzione richiedono l'autenticazione a due fattori e sono interamente sottoposti ad audit. Gli accessi in lettura ai dati di contenuto avvengono solo quando sono strettamente necessari per l'analisi degli errori e richiesti espressamente dal cliente.
Con quale rapidità veniamo informati in caso di violazione dei dati?
Entro 24 ore dalla scoperta. La notifica contiene la natura della violazione, le categorie interessate, le misure adottate e un punto di contatto. L'obbligo di notifica alle autorità di controllo (art. 33 GDPR, termine di 72 ore) resta in capo al titolare del trattamento; noi forniamo tutte le informazioni necessarie.
DeepScript esegue test di penetrazione?
Sì. Ogni anno incarichiamo un fornitore di sicurezza esterno indipendente di eseguire un test di penetrazione sull'applicazione web e sulla REST API pubblica. Mettiamo a disposizione dei clienti business un riepilogo esecutivo su richiesta sotto NDA.
Periodi di conservazione ed eliminazione
Per quanto tempo vengono conservati i miei dati?
Audio: eliminato immediatamente dopo la trascrizione. Trascrizioni: eliminazione automatica dopo 30 giorni per impostazione predefinita, configurabile tra 7 e 365 giorni – oppure conservazione permanente con il piano Pro. Dati di fatturazione: 10 anni (obbligo legale di conservazione ai sensi del § 147 AO / § 257 HGB). Log di audit: 12 mesi dopo l'eliminazione dell'account.
Posso richiedere la cancellazione dei miei dati?
Sì. In Impostazioni → Dati e privacy troverà i pulsanti per un'esportazione completa dei dati e l'eliminazione dell'account. L'eliminazione ha effetto immediato. Nei backup i dati scompaiono entro 14 giorni con la rotazione dei backup.
Cosa succede al termine del contratto?
Tutti i dati dei clienti vengono eliminati entro 30 giorni. Se il contratto termina con un piano Pro attivo, l'eliminazione automatica viene reimpostata a 30 giorni. Su richiesta riceve una conferma scritta dell'eliminazione.
Interessati
Come supporta DeepScript le richieste degli interessati?
Self-service tramite le impostazioni (esportazione, eliminazione) – con effetto immediato. Rispondiamo alle richieste via e-mail a datenschutz@deepscript.com entro 5 giorni lavorativi. Se il titolare del trattamento è un cliente business, coordiniamo le richieste tramite il suo responsabile della protezione dei dati.
Come informo gli interlocutori della registrazione?
È responsabilità del titolare del trattamento (= lei o il suo datore di lavoro). Gli obblighi di informazione derivano dagli art. 13/14 GDPR nonché dall'art. 50 del Regolamento UE sull'IA per il trattamento assistito dall'IA. Su richiesta forniamo testi modello per le informative sulla privacy.
E le registrazioni che menzionano persone non interpellate?
Il titolare del trattamento deve disporre di una base giuridica (consenso, legittimo interesse, ecc.) per il trattamento – anche per i terzi semplicemente menzionati. DeepScript non lo verifica nel merito; trattiamo esclusivamente su istruzione. In caso di dubbio: anonimizzare o oscurare i dati prima del caricamento.
Sub-responsabili e documenti
Quali sub-responsabili utilizza DeepScript?
L'elenco aggiornato è disponibile su /datenschutz/subprozessoren. Attualmente: Hetzner (hosting, Germania) e Stripe (pagamento, UE + USA con SCC).
Verrò informato prima di una modifica all'elenco dei sub-responsabili?
Sì. I clienti business con un DPA attivo vengono informati via e-mail almeno 30 giorni prima dell'aggiunta di un nuovo sub-responsabile con accesso ai dati personali e possono opporsi entro 14 giorni per giustificato motivo.
Quali documenti sulla privacy sono disponibili?
DPA (con 4 allegati) su richiesta online. Misure tecniche e organizzative come parte del DPA (allegato 1). Elenco dei sub-responsabili su questo sito. Informativa sulla privacy su /datenschutzerklaerung. Riepilogo del test di penetrazione su richiesta sotto NDA.
Chi è il referente per la protezione dei dati?
Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim. E-mail: datenschutz@deepscript.com. Amministratore: Julian Kissel.
Domande?
Scrivici un'email a datenschutz@deepscript.com – rispondiamo entro un giorno lavorativo.