Contrato de procesamiento de datos (DPA)

Contrato de procesamiento de datos conforme al Art. 28 RGPD

entre el usuario del servicio BonusVoice (en adelante "Responsable del tratamiento") y

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen, Alemania Correo electrónico: info@bonusvoice.de Teléfono: +49 201-89083160

(en adelante "Encargado del tratamiento")

§ 1 – Objeto y duración del tratamiento

(1) El Encargado del tratamiento procesa datos personales por cuenta del Responsable del tratamiento en el marco del servicio BonusVoice (transcripción y resumen de archivos de audio asistidos por IA).

(2) La duración del tratamiento corresponde a la vigencia del contrato de uso. El tratamiento finaliza con la eliminación de la cuenta de usuario. Los datos personales se eliminarán en un plazo de 30 días tras la eliminación de la cuenta, salvo que existan obligaciones legales de conservación.

§ 2 – Naturaleza y finalidad del tratamiento

El tratamiento comprende las siguientes actividades:

  • Almacenamiento de grabaciones de audio, transcripciones y resúmenes
  • Procesamiento de IA para transcripción (reconocimiento de voz) y resumen
  • Gestión de usuarios (creación de cuenta, autenticación, pertenencia a organización)
  • Envío de correos electrónicos (confirmación de cuenta, notificaciones, envío de transcripciones)
  • Procesamiento de pagos (gestión de suscripciones y facturación)

§ 3 – Tipos de datos personales

Se procesan las siguientes categorías de datos:

  • Nombre y dirección de correo electrónico
  • Contraseña (almacenada cifrada)
  • Pertenencia a organización
  • Grabaciones de audio y transcripciones y resúmenes derivados
  • Metadatos (título, descripción, duración, idioma de las grabaciones)
  • Datos de pago (procesados por Stripe, no almacenados por el Encargado del tratamiento)
  • Datos de registro del servidor (dirección IP, navegador, marca de tiempo)

§ 4 – Categorías de personas afectadas

  • Usuarios registrados del servicio
  • Personas capturadas en las grabaciones de audio (hablantes)

§ 5 – Obligaciones del Encargado del tratamiento

(1) El Encargado del tratamiento solo procesará datos personales siguiendo instrucciones documentadas del Responsable del tratamiento, salvo que esté obligado por el Derecho de la Unión o de los Estados miembros.

(2) El Encargado del tratamiento garantiza que las personas autorizadas para procesar datos personales se hayan comprometido a la confidencialidad.

(3) El Encargado del tratamiento implementa todas las medidas requeridas por el Art. 32 RGPD, en particular:

  • Cifrado SSL/TLS de todas las transmisiones de datos
  • Almacenamiento cifrado de todos los archivos de audio en el almacenamiento de objetos
  • Almacenamiento cifrado de contraseñas
  • Control de acceso y concepto de autorización
  • Actualizaciones de seguridad periódicas de todos los sistemas
  • Ubicación de servidores exclusivamente en Alemania y la UE

(4) El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de las obligaciones contempladas en los Artículos 32 a 36 RGPD.

(5) Una vez finalizado el tratamiento, el Encargado del tratamiento eliminará todos los datos personales, salvo que existan obligaciones legales de conservación.

(6) El Encargado del tratamiento pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD.

§ 6 – Subencargados

(1) El Responsable del tratamiento acepta la contratación de los siguientes subencargados:

6.1 Hetzner Online GmbH

| | | |---|---| | Finalidad | Alojamiento de servidores y almacenamiento de archivos (Object Storage) | | Dirección | Industriestr. 25, 91710 Gunzenhausen, Alemania | | Ubicación de servidores | Alemania | | Datos procesados | Todos los datos de usuarios y contenido, archivos de audio, transcripciones | | DPA | Contrato de procesamiento de datos conforme al Art. 28 RGPD vigente |

6.2 Mistral AI

| | | |---|---| | Finalidad | Procesamiento de IA: transcripción (modelo Voxtral) y resumen | | Dirección | 15 Rue des Halles, 75001 París, Francia | | Ubicación de servidores | UE (Francia) | | Datos procesados | Archivos de audio (para transcripción), transcripciones (para resumen) | | Nota | Todo el procesamiento de IA tiene lugar exclusivamente en la UE. No hay transferencia de datos a terceros países. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Finalidad | Envío de correos electrónicos (confirmación de cuenta, notificaciones, envío de transcripciones) | | Dirección | Hauptstraße 68, 02742 Friedersdorf, Alemania | | Ubicación de servidores | Alemania | | Datos procesados | Dirección de correo electrónico, nombre, contenido de correos |

6.4 Stripe, Inc.

| | | |---|---| | Finalidad | Procesamiento de pagos (tarjetas de crédito, SEPA, gestión de suscripciones) | | Dirección | 354 Oyster Point Blvd, South San Francisco, CA 94080, EE.UU. | | Ubicación del procesamiento | UE (Stripe procesa los datos de pago europeos en la UE) | | Datos procesados | Información de pago (datos de tarjeta de crédito, datos SEPA). Estos son procesados exclusivamente por Stripe y no se almacenan por el Encargado del tratamiento. | | Nota | Stripe es exclusivamente responsable del procesamiento de pagos. No se transmiten datos de audio, transcripciones ni contenido a Stripe. | | Garantías | EU-US Data Privacy Framework, Cláusulas contractuales tipo (CCT) |

6.5 Google Ireland Limited (opcional)

| | | |---|---| | Finalidad | Autenticación (Google OAuth 2.0) — solo si el usuario elige activamente iniciar sesión con Google | | Dirección | Gordon House, Barrow Street, Dublín 4, Irlanda | | Ubicación del procesamiento | UE (Irlanda) | | Datos procesados | Nombre y dirección de correo electrónico del usuario (solo para identificación de cuenta) | | Nota | Google OAuth es completamente opcional. Los usuarios siempre pueden iniciar sesión por correo electrónico/contraseña o enlace mágico. No se transmiten grabaciones de audio, transcripciones, resúmenes ni otros datos de contenido a Google. | | Garantías | EU-US Data Privacy Framework, Cláusulas contractuales tipo (CCT) |

(2) El Encargado del tratamiento informará al Responsable del tratamiento sobre cualquier cambio previsto respecto a la incorporación o sustitución de subencargados. El Responsable del tratamiento puede oponerse a dichos cambios.

§ 7 – Transferencias a terceros países

(1) La transferencia de datos personales a terceros países (fuera del EEE) no tiene lugar como norma general.

(2) Excepciones:

  • Stripe (procesamiento de pagos): Stripe, Inc. tiene su sede en EE.UU. pero procesa los datos europeos en la UE. Se aplican el EU-US Data Privacy Framework y las cláusulas contractuales tipo.
  • Google (solo para Google OAuth): Google Ireland Limited procesa los datos en la UE. Solo cuando el usuario elige activamente el inicio de sesión con Google.

(3) El procesamiento de IA (transcripción y resumen) así como el almacenamiento de todos los datos de contenido y usuarios tiene lugar exclusivamente en Alemania y la UE.

§ 8 – Derechos de las personas afectadas

El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de los derechos de las personas afectadas conforme a los Art. 12–22 RGPD, en particular:

  • Derecho de acceso (Art. 15 RGPD)
  • Derecho de rectificación (Art. 16 RGPD)
  • Derecho de supresión (Art. 17 RGPD)
  • Derecho a la limitación del tratamiento (Art. 18 RGPD)
  • Derecho a la portabilidad de datos (Art. 20 RGPD)

Los usuarios pueden consultar, exportar y eliminar sus datos en cualquier momento a través de su cuenta de usuario.

§ 9 – Notificación de violaciones de datos

El Encargado del tratamiento informará al Responsable del tratamiento sin demora indebida, y a más tardar en un plazo de 48 horas, de cualquier violación de datos personales conforme al Art. 33 RGPD.

§ 10 – Derechos de auditoría

(1) El Responsable del tratamiento tiene derecho a verificar el cumplimiento del presente contrato de manera razonable.

(2) El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información necesaria y permitirá auditorías incluidas inspecciones.

§ 11 – Vigencia y resolución

El presente contrato se aplica durante toda la duración del uso del servicio BonusVoice. Entra en vigor con el registro y finaliza con la eliminación de la cuenta de usuario.

§ 12 – Disposiciones finales

(1) Si alguna disposición del presente contrato resultara inválida, la validez de las disposiciones restantes no se verá afectada.

(2) Se aplica el derecho de la República Federal de Alemania.

(3) El fuero competente es Essen, Alemania.

Última actualización: Marzo 2026

Contacto para consultas sobre protección de datos: info@bonusvoice.de