Evaluación de Impacto de Protección de Datos
Conclusión principal: Dado que el audio se procesa en memoria volátil y se elimina de inmediato — y no quedan datos personales en nuestros servidores tras el procesamiento — todos los riesgos identificados se reducen a Bajo tras aplicar las medidas de mitigación. El tratamiento puede realizarse bajo las bases legales y salvaguardas documentadas.
Sección 1
Descripción del Tratamiento
Qué tratamos y por qué
| Finalidad | Datos tratados | Base legal (RGPD) | Base KVKK (Turquía) |
|---|---|---|---|
| Transcripción de audio | Archivo de audio (solo RAM, eliminado tras el procesamiento) | Art. 6(1)(b) — Ejecución de contrato | Consentimiento explícito |
| Cuenta y facturación | Identificador seudónimo, saldo, metadatos de uso | Art. 6(1)(b) — Ejecución de contrato | Consentimiento explícito |
| Autenticación | Identificador OIDC (hasheado, original descartado) | Art. 6(1)(b) — Ejecución de contrato | Ejecución de contrato |
| Compra integrada | Recibo IAP del App Store / Play Store | Art. 6(1)(b) — Ejecución de contrato | Ejecución de contrato |
| Confirmación de edad | Confirmación de edad declarada (17+) | Art. 8 RGPD / Art. 6 KVKK | Obligación legal |
| Informes de fallos | Informes de error anonimizados (opt-in, DCP eliminadas) | Art. 6(1)(a) — Consentimiento | Consentimiento explícito |
Inventario de datos
| Datos | Retención en servidor |
|---|---|
| Archivo de audio | Solo RAM — eliminado tras la transcripción |
| Texto de transcripción | Hasta confirmación del cliente (TTL de 24 horas en el servidor si no se recibe ACK) |
| Identificador seudónimo | Hasta eliminación de la cuenta |
| Saldo + metadatos de uso | Hasta eliminación de la cuenta |
| Dirección de correo electrónico | Solo tránsito — no almacenada |
| Direcciones IP | Solo tránsito — no registradas |
| Informes de fallos (opt-in) | Endpoint propio de informes de fallos de SafeScribe — no compartido con terceros |
Para el inventario completo de datos, consulta la Política de Privacidad § Datos que recopilamos.
Metadatos por trabajo: duración del audio (segundos), tamaño del archivo (bytes), recuento de palabras, importe cobrado (USD) y marcas de tiempo de procesamiento. No contienen contenido de audio, texto de transcripción ni información que identifique al usuario.
Retención de copias de seguridad. Se conserva una copia de seguridad diaria de los registros de cuenta para la continuidad del servicio. Cada copia sobrescribe la anterior. Los datos eliminados al suprimir la cuenta se retiran de los sistemas activos de inmediato y de la copia de seguridad en 24 horas — ninguna copia persiste más allá de ese período.
Flujo de procesamiento
1. El usuario graba o selecciona audio en su dispositivo
2. Preprocesamiento de audio en el dispositivo (filtro paso alto 80 Hz, recorte de silencio inicial, normalización de loudness a -16 LUFS, limitación de pico, remuestreo a 16 kHz, codificación FLAC)
3. Subida cifrada a los servidores SafeScribe (TLS 1.2+)
4. El servidor procesa el audio en RAM — auto-alojado, un potente modelo de la familia Whisper mediante faster-whisper / CTranslate2, sin llamadas a APIs de terceros
5. La transcripción se devuelve con suma de verificación de integridad SHA-256
6. El cliente verifica la suma de verificación y confirma la recepción
7. El servidor elimina de inmediato la transcripción y el audio de la RAM
8. La transcripción se almacena localmente en el dispositivo en almacenamiento cifrado AES-256
Sección 2
Necesidad y Proporcionalidad
- ✓La subida de audio es necesariael procesamiento IA en servidor ofrece mayor precisión que las alternativas actuales en dispositivo, al nivel de calidad que SafeScribe requiere
- ✓La autenticación es necesariarequerida para la facturación por usuario y el aislamiento de trabajos
- ✓Los informes de fallos son proporcionaleslas DCP se eliminan antes de la transmisión; solo opt-in
- ✓Minimización de datosel audio se procesa solo en RAM, nunca se escribe en disco
- ✓Retención mínimalas transcripciones se eliminan inmediatamente al confirmar; TTL de 24 horas en el servidor si el cliente no confirma nunca
- ✓Sin uso secundarioel audio nunca se usa para entrenamiento de modelos ni análisis
Derechos de los interesados
Todos los derechos de los interesados bajo el RGPD y la KVKK (acceso, rectificación, supresión, limitación, portabilidad, oposición y retirada del consentimiento) pueden ejercerse en la app o contactando con privacy@safescribe.dev. Los derechos y su implementación se detallan en nuestra Política de Privacidad § Lo que puedes hacer.
Sección 3
Evaluación de Riesgos
Riesgos identificados y medidas de mitigación
| Riesgo | Inherente | Medidas de mitigación | Residual |
|---|---|---|---|
| El audio contiene datos personales sensibles (salud, legal, financiero) | Alto | Procesamiento solo en RAM; eliminación inmediata; sin almacenamiento persistente; sin acceso de terceros | Bajo |
| Acceso no autorizado a la transcripción en tránsito | Medio | TLS 1.2+; suma de verificación SHA-256 | Bajo |
| Brecha en servidor que exponga audio o transcripciones | Medio | Sin almacenamiento persistente de audio; API autenticada; aislamiento por trabajo; TTL de seguridad | Bajo |
| Acceso no autorizado al almacenamiento local cifrado | Bajo | Contenedores cifrados AES-256; clave en iOS Keychain / Android Keystore | Bajo |
| Filtración de DCP a través de informes de fallos | Bajo | Depuración por patrones de correos, teléfonos, IPs y tokens antes de enviar al endpoint propio de informes de fallos de SafeScribe | Bajo |
| Transferencia de datos transfronteriza | Medio | Turquía (KVKK — Ley turca de protección de datos personales) consentimiento explícito en el primer inicio; consentimiento explícito e informado en el primer inicio conforme al art. 49(1)(a) del RGPD | Bajo |
| IA genera transcripción imprecisa de contenido sensible | Bajo | La transcripción es solo informativa; el usuario revisa todos los resultados; sin decisiones automatizadas | Bajo |
Todos los riesgos residuales son Bajos. El principal factor de riesgo — el contenido de audio sensible — se aborda a nivel arquitectónico: el audio nunca se escribe en disco, nunca se retiene más allá del procesamiento y nunca se comparte con terceros.
Sección 4
Consentimiento y Transparencia
Antes del primer uso, se presenta a los usuarios una pantalla de consentimiento granular con cuatro tarjetas independientes:
Procesamiento de Audio (obligatorio)
Explica el procesamiento solo en RAM, la eliminación inmediata y que el audio nunca se escribe en disco ni se comparte con terceros.
Datos Almacenados (obligatorio)
Explica qué datos persistentes se conservan: identificador seudónimo, saldo de créditos y metadatos de uso anónimos.
Confirmación de Edad (obligatorio)
Confirma que el usuario tiene 17 años o más. Las tarjetas obligatorias deben aceptarse para continuar.
Informes de Fallos (opcional)
Permite el opt-in a informes de fallos anónimos. Desactivado por defecto. Puede cambiarse en cualquier momento desde Configuración de Privacidad.
- Los botones Aceptar y Rechazar tienen igual prominencia visual (conforme a las directrices EDPB sobre dark patterns)
- Los usuarios pueden retirar el consentimiento y eliminar su cuenta en cualquier momento desde Configuración de Privacidad
- Esta EIPD se revisa anualmente o ante cambios significativos en el tratamiento
- Publicada en esta URL por transparencia pública
Sección 5
Decisión
Basándose en la evaluación anterior, todos los riesgos residuales son Bajos. El tratamiento puede realizarse bajo las bases legales identificadas con las salvaguardas documentadas. No se requiere consulta previa con una autoridad de control.
Registro de revisiones
Historial de Versiones
| Fecha | Versión | Cambios |
|---|---|---|
| Marzo de 2026 | 1.0 | EIPD inicial previa al lanzamiento que abarca el pipeline de transcripción de audio, el diseño de la pantalla de consentimiento, la evaluación de riesgos y la documentación de bases legales |