RGPD / GDPR
Cumplimiento RGPD completo con bases legales documentadas, audit log de consents, contacto DPO y endpoints DSR.
Política de privacidad →Centro de confianza
Privacidad como arquitectura, no como feature
Todo lo que tu DPO necesita para evaluar AudioMap, en un solo sitio. Sin NDA, sin llamada de ventas. Si la documentación no está aquí, pregúntala — la escribimos.
Residencia datos
🇪🇺 EU
Infra primaria
Hetzner DE
Proveedor LLM
Vertex EU
Embeddings
bge-m3 on-prem
Fundada
2024
Constitución
🇪🇸 España
Estado de compliance
Guía AEPD abril 2026
Cumplimiento de los 4 requisitos de la guía AEPD del 20 abril 2026 sobre transcripción IA: consent específico, right of access multi-speaker, due diligence vendor, transcripción como procesamiento.
Página AEPD compliance →Residencia EU de datos
Todos los datos (audio, transcripciones, embeddings, AI Notes, entregables) se quedan en la Unión Europea. Infraestructura primaria en Hetzner DE; sub-procesadores cloud limitados a regiones EU.
Página residencia datos →Lista pública de sub-procesadores
Lista completa de cada entidad que puede procesar datos de cliente, con ubicación, propósito y link al DPA. Actualizada cuando cambian sub-procesadores.
Sub-procesadores →DPIA público
Análisis de impacto sobre la protección de datos publicado abiertamente. Sin negociar acceso — tu DPO puede pegarlo directamente en tu documentación interna.
DPIA →TIA público
Evaluación de impacto de transferencia para sub-procesadores no-EU (solo Stripe para pagos, con scope estricto). Verificable por tu equipo legal.
TIA →Endpoint público de borrado por terceros
Endpoint público donde alguien que aparece en una grabación — sin ser usuario AudioMap — puede pedir el borrado de su voz y segmentos transcritos. Requisito AEPD abril 2026 que la mayoría de competidores no implementan.
Solicitar borrado →Audit log inmutable de consents
Cada aceptación de consent queda registrada con timestamp, IP, user agent y versión del contenido. Sobrevive 6 años tras cierre de cuenta. Defendible en auditoría.
Cifrado en reposo (AES-256) + en tránsito (TLS 1.2+)
Todos los datos persistentes cifrados en reposo. Todo el tráfico de red cifrado en tránsito. Postgres + R2 + filesystem.
Plantilla DPA formal (revisada por abogado)
Plantilla DPA estándar cubriendo jurisdicciones España + UE, revisada por abogado externo. Disponible bajo petición mientras tanto.
SOC 2 Type II
Auditoría SOC 2 Type II en roadmap para 2027. No es bloqueante para clientes europeos — el cumplimiento AEPD-grade es el estándar aplicable.
HIPAA
Certificación HIPAA en roadmap para expansión sanitaria USA (2027+). Para profesionales sanitarios españoles/europeos, RGPD art. 9 + AEPD abril 2026 es lo aplicable.
ENS (Esquema Nacional de Seguridad)
Certificación del Esquema Nacional de Seguridad — evaluando para clientes del sector público.
Prácticas de seguridad
Penetration testingAuditoría externa anual (en progreso)
Divulgación de vulnerabilidadesPrograma público en /security
2FADisponible para todos los usuarios
Acceso producciónRestringido a 2 ingenieros, audit-logged
Retención de backups7 días rolling, cifrados en reposo
Respuesta a incidentesCobertura on-call, SLA respuesta inicial 4h
Notificación brecha de datos72h a AEPD + usuarios afectados (RGPD art. 33)
Compromisos de transparencia
🚫
No entrenamos con tus datos
Tus transcripciones, audio y AI Notes nunca se usan para entrenar modelos — ni nuestros ni de terceros.
📤
Exporta todo, cuando quieras
Export en 1 clic a JSON, TXT, SRT, Markdown. Sin lock-in.
🔔
Cambios de sub-procesadores notificados con 30 días
Si añadimos o reemplazamos un sub-procesador, los clientes de pago reciben aviso con 30 días y pueden optar por salir cancelando sin penalización.
🔍
Invitación a audit con código abierto
Para clientes enterprise, damos acceso lectura a las partes relevantes de nuestro código bajo NDA. Verifica lo que afirmamos.
¿Tienes una pregunta que te hace tu DPO?
Escribe a [email protected] — respondemos en 48h.