Para su equipo de TI y seguridad

Seguridad y datos

Última actualización: 13 de julio de 2026

El resumen

Transept es un espacio de trabajo de traducción creado para la traducción segura. Cuando envía un texto, se lo enviamos a un proveedor de IA para que lo traduzca, almacenamos el resultado en nuestra base de datos y le permitimos editarlo. Esta página explica todo lo relacionado con esto: dónde residen los datos, quién puede verlos y qué prometemos no hacer con ellos. Si está evaluando plataformas de traducción automática segura y gestión de proyectos de traducción, esta es la versión en lenguaje sencillo; el texto legal completo se encuentra en la Política de privacidad.

  • No utilizamos su contenido para entrenar modelos de IA — ni los nuestros ni los de nuestros proveedores.
  • Sus datos residen en la UE — la aplicación y la base de datos están alojadas en Alemania (Hetzner).
  • Cifrado en tránsito y en reposo — TLS 1.2+ en cada conexión, AES-256 en disco.
  • Usted es el propietario de su contenido — tenemos una licencia de procesamiento limitada, sin reclamación de propiedad. Si elimina su cuenta, sus datos se eliminan con ella.
  • DPA disponible bajo petición — para clientes empresariales, firmamos un Acuerdo de procesamiento de datos que cubre las obligaciones del artículo 28 del RGPD.

Qué hacemos con su contenido

Cuando envía un texto para su traducción, ocurren tres cosas:

  1. Su texto se almacena en nuestra base de datos como parte de su documento.
  2. Para cada solicitud de traducción, el bloque correspondiente se envía a un proveedor de IA a través de una conexión cifrada. El proveedor devuelve la traducción, que almacenamos como una nueva versión del bloque.
  3. Su texto permanece en su documento hasta que lo elimine (o elimine su cuenta). Nunca se utiliza para entrenar ningún modelo de IA.

Lo que no hacemos:

  • No vendemos sus datos.
  • No utilizamos su contenido para entrenar modelos — ni los nuestros ni los de nadie más.
  • No compartimos su contenido con anunciantes ni plataformas de marketing de terceros.
  • No escaneamos su espacio de trabajo conectado de Google Drive o Notion. Solo vemos los archivos que elige importar explícitamente.
  • No ejecutamos nuestros propios modelos fundacionales ni realizamos ajustes finos con los datos de los clientes.

Dónde residen sus datos

Los servidores de aplicaciones y la base de datos de Transept se ejecutan en Hetzner Online GmbH, un proveedor de alojamiento europeo con centros de datos en Alemania. Su cuenta, sus documentos, sus traducciones, sus glosarios y guías de estilo — todo reside en infraestructura de la UE.

Cuando traduce, el bloque de texto correspondiente se envía a un proveedor de IA durante la duración de esa solicitud. La mayoría de los proveedores de IA (Anthropic, OpenAI, Google) procesan las solicitudes en EE. UU. bajo compromisos contractuales de protección de datos y, cuando corresponde, el Marco de Privacidad de Datos UE-EE. UU. o las Cláusulas Contractuales Tipo (SCC). Una vez devuelta la traducción, no queda ninguna copia de su contenido en el proveedor más allá de su registro operativo a corto plazo — consulte la política de privacidad de cada proveedor para obtener detalles específicos.

Cifrado

  • En tránsito — TLS 1.2 o superior en cada conexión entre su navegador, nuestros servidores y los proveedores de IA. Solo HTTPS; HTTP se redirige.
  • En reposo — base de datos y almacenamiento en disco cifrados con AES-256.
  • Copias de seguridad — cifradas en reposo, conservadas durante 30 días y luego sobrescritas.
  • Autenticación — inicio de sesión sin contraseña mediante códigos de un solo uso por correo electrónico de corta duración o Google OAuth. No almacenamos contraseñas. Los tokens de sesión se almacenan en el almacenamiento local de su navegador.

Quién puede acceder a sus datos

El acceso a producción está restringido a un pequeño número de operadores designados (actualmente los dos cofundadores), autenticados mediante claves SSH con registro de auditoría. No se accede al contenido del cliente en las operaciones rutinarias.

Para investigar un problema de traducción u otra solicitud de soporte, pedimos permiso y el documento específico antes de abrirlo. El acceso del panel de administración a las cuentas de usuario se registra y es auditable; las acciones sensibles (cambios de rol, suplantación de identidad, ajustes de palabras) escriben entradas permanentes en el registro de auditoría.

Proveedores de IA y entrenamiento

Las solicitudes de traducción se envían a uno de los siguientes proveedores, dependiendo del modelo que elija:

  • Anthropic — modelos de la familia Claude, a través de la API de Anthropic. La API comercial de Anthropic no se entrena con las entradas o salidas de los clientes.
  • OpenAI — modelos de la familia GPT, a través de la API de OpenAI. Los datos de la API de OpenAI no se utilizan para entrenar modelos de forma predeterminada para los clientes de la API.
  • Google — modelos de la familia Gemini, a través de Vertex AI / API de Gemini. Los datos de los clientes enviados a través de estas API no se utilizan para entrenar los modelos fundacionales de Google.
  • Groq — modelos de la familia Llama y otros alojados en Groq para una inferencia rápida. La API de Groq no se entrena con los datos de los clientes.
  • OpenRouter — puerta de enlace a modelos adicionales. Los términos del proveedor subyacente varían según el modelo. Para cargas de trabajo donde la exclusión voluntaria del entrenamiento es importante, fije sus traducciones a un proveedor conocido (Anthropic, OpenAI o Google).

Ninguno de estos proveedores se entrena con su contenido bajo los niveles de API que utilizamos. Transept no ejecuta modelos fundacionales, no realiza ajustes finos con los datos de los clientes y no retiene las indicaciones ni las salidas para ningún propósito de entrenamiento.

Subencargados

La lista completa de terceros que pueden procesar sus datos en nuestro nombre — nombres, región, función y fecha de la última revisión del DPA — se encuentra en /subprocessors. Resumen:

  • Traducción por IA — Anthropic (EE. UU.), OpenAI (EE. UU.), Google / Vertex AI (EE. UU., regiones de la UE disponibles), Groq (EE. UU.), OpenRouter (EE. UU.). Véase más arriba.
  • Hetzner Online GmbH (Alemania, UE) — alojamiento de la aplicación y la base de datos.
  • Stripe, Inc. (EE. UU. / Irlanda) — facturación de suscripciones y compras únicas. Nunca vemos ni almacenamos los números completos de las tarjetas; Stripe gestiona todos los datos de las tarjetas conforme al Nivel 1 de PCI DSS.
  • PostHog (alojado en la UE) — analítica de producto opcional, solo se carga con su consentimiento explícito para analíticas (suscripción voluntaria para cada visitante).
  • Customer.io (espacio de trabajo en la UE) — correos electrónicos transaccionales (códigos de inicio de sesión, notificaciones de la cuenta, recibos de facturación) y —solo con su consentimiento explícito para marketing— correos electrónicos de actualización del producto.
  • Google Tag Manager + Google Ads (EE. UU.) — analítica y medición de conversión de anuncios, se carga solo con su consentimiento explícito y se controla mediante Consent Mode v2.
  • Meta Platforms (EE. UU.) — Píxel + API de conversiones para la medición de conversión de anuncios, se carga solo con su consentimiento explícito para marketing.

Los cambios sustanciales en esta lista (nuevo subencargado del tratamiento, cambio de región) se indicarán en esta página y en /subprocessors antes de que entren en vigor para nuevos procesamientos.

Cumplimiento y certificaciones

Transept es una empresa joven. Cumplimos con las obligaciones sustantivas de los marcos que se indican a continuación, pero aún no contamos con certificaciones de terceros. Somos transparentes sobre lo que tenemos y lo que no.

  • RGPD (UE) y RGPD del Reino Unido — sí. Cumplimos como responsables del tratamiento de los datos de la cuenta y de uso, y como encargados del tratamiento del contenido que usted envía. Ofrecemos el conjunto completo de derechos de los interesados, residencia de datos en la UE para el contenido almacenado, notificación de brechas en un plazo de 72 horas y un DPA previa solicitud.
  • CCPA / CPRA (California) y otras leyes de privacidad estatales de EE. UU. — sí. Respetamos el derecho a saber, el derecho a eliminar, el derecho a corregir y el derecho a excluirse de la venta o el intercambio para todos los residentes de EE. UU. (no vendemos datos personales).
  • SOC 2 — todavía no. Seguimos prácticas alineadas con SOC 2 para el control de acceso, el cifrado, la gestión de cambios y la respuesta a incidentes, pero no nos hemos sometido a una auditoría de Tipo 1 o Tipo 2.
  • ISO 27001 — sin certificación.
  • HIPAA — Transept no es una plataforma que cumpla con la HIPAA. No envíe información de salud protegida.
  • PCI DSS — los datos de pago son gestionados por Stripe (Nivel 1 de PCI DSS). Nunca vemos ni almacenamos los datos completos de la tarjeta.

Acuerdo de procesamiento de datos (DPA)

Para los clientes de empresa, ponemos a su disposición un Acuerdo de procesamiento de datos previa solicitud. Cubre nuestras obligaciones como encargados del tratamiento en virtud del artículo 28 del RGPD —incluidas las divulgaciones de subencargados, las medidas de seguridad, las solicitudes de los interesados y la notificación de brechas—.

Envíe un correo electrónico a [email protected] con el correo electrónico de su cuenta y los datos de su empresa para solicitar un DPA.

Respuesta a incidentes

Si tenemos conocimiento de una brecha de datos personales que pueda suponer un riesgo para sus derechos y libertades, haremos lo siguiente:

  • Notificar a los usuarios afectados sin demora indebida, y en un plazo de 72 horas cuando la gravedad lo justifique en virtud del art. 33 del RGPD.
  • Notificar a la autoridad de control pertinente cuando sea necesario.
  • Compartir lo que sabemos sobre la naturaleza de la brecha, los datos afectados, las posibles consecuencias y las medidas que estamos tomando para contenerla y solucionarla.

Para los incidentes que afectan al servicio y que no son brechas de datos (interrupciones, rendimiento degradado), las actualizaciones se publican a través de un banner en la aplicación y por correo electrónico a los usuarios activos.

Divulgación responsable

Si encuentra una vulnerabilidad en Transept, envíe un correo electrónico a [email protected] con los detalles. Le pedimos que:

  • Nos dé un margen razonable para investigar y solucionar el problema antes de su divulgación pública.
  • Evite violaciones de la privacidad, destrucción de datos o interrupciones del servicio durante las pruebas.
  • Realice pruebas únicamente en su propia cuenta o en cuentas a las que tenga permiso para acceder.

Actualmente no contamos con un programa de recompensas por errores remunerado, pero reconoceremos los informes creíbles y —si lo desea— daremos crédito públicamente al informante una vez que se publique una solución.

Más información

Para consultar el texto legal completo, consulte nuestra Política de privacidad y los Términos de servicio. Para cualquier asunto que no se trate aquí, envíe un correo electrónico a [email protected].