Acceso anticipado en marcha · Descuento de lanzamiento: 3 meses al 20 % para los primeros 100 coaches
CastLoop
Español
DeutschEnglishEspañolItalianoFrançais
Iniciar sesión Empezar ahora
· RGPD art. 13

Política de privacidad

Transparente y completa — naturaleza, alcance y finalidad del tratamiento de datos personales.

Esta es una traducción de cortesía. La versión jurídicamente vinculante es el original en alemán: versión en alemán.

Esta política de privacidad te informa, conforme al art. 13 del RGPD, sobre la naturaleza, el alcance y la finalidad del tratamiento de datos personales dentro de nuestra oferta en línea y de los sitios web y funciones asociados a ella.

Resumen — ¿quién trata tus datos?

Para una orientación rápida — la lista completa y todos los detalles figuran más abajo.

  • IONOS SE (Montabaur, DE) — hosting, relé SMTP, copias de seguridad por instantáneas de VM
  • Mollie B.V. (Ámsterdam, NL) — procesamiento de pagos y tramitación de facturas
  • Google Ireland Ltd. (Dublín, IE) — YouTube Data API, Gemini 2.5 Flash (transcripción y análisis de clips), inicio de sesión con Google
  • Microsoft Ireland Operations Ltd. (Dublín, IE) — autenticación mediante cuenta de Microsoft (SSO)
  • Apple Distribution International Ltd. (Cork, IE) — autenticación mediante Apple ID (inicio de sesión con Apple)
  • Meta Platforms Ireland Ltd. (Dublín, IE) — publicaciones en Instagram, Facebook y Threads
  • TikTok Technology Ltd. (Dublín, IE) — publicaciones en TikTok
  • LinkedIn Ireland Unlimited Company (Dublín, IE) — publicaciones en LinkedIn
  • X Corp. (San Francisco, EE. UU.) — publicaciones en X/Twitter (tratamiento de datos también en EE. UU.)

1. Responsable del tratamiento

Daniel Ovadia
CastLoop
Eugen-Richter-Str. 159
76187 Karlsruhe, Alemania
Correo electrónico: info@castloop.de

2. Definiciones

Esta política de privacidad utiliza los conceptos del Reglamento General de Protección de Datos (RGPD). Los «datos personales» son toda información sobre una persona física identificada o identificable.

3. Fines y bases jurídicas del tratamiento

Tratamos los datos personales para los siguientes fines:

  • la prestación de la oferta en línea y de sus funciones (art. 6 apdo. 1 lit. b del RGPD)
  • el cumplimiento de obligaciones contractuales (art. 6 apdo. 1 lit. b del RGPD)
  • el cumplimiento de obligaciones legales, en particular las obligaciones de conservación tributarias y mercantiles (art. 6 apdo. 1 lit. c del RGPD)
  • la salvaguarda de intereses legítimos — en particular la seguridad, la prevención de abusos, el análisis y la mejora de nuestra oferta (art. 6 apdo. 1 lit. f del RGPD)
  • los consentimientos, en la medida en que se hayan otorgado (art. 6 apdo. 1 lit. a del RGPD)

4. Archivos de registro del servidor y hosting

Al acceder a nuestro sitio web se almacenan automáticamente datos de acceso en archivos de registro del servidor (dirección IP, fecha y hora, página solicitada, agente de usuario, referente). Estos datos sirven a la seguridad técnica del funcionamiento y se eliminan o anonimizan a más tardar a los 14 días.

Hosting: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Alemania. El tratamiento de datos se realiza exclusivamente en servidores de la Unión Europea (Alemania). IONOS también proporciona el relé SMTP para el envío de correos electrónicos transaccionales así como copias de seguridad por instantáneas de VM del entorno productivo. Con el proveedor existe un contrato de encargo de tratamiento conforme al art. 28 del RGPD.

5. Registro y cuenta de cliente

Para utilizar CastLoop puedes crear una cuenta. Los datos obligatorios son la dirección de correo electrónico y la contraseña; son opcionales el nombre de la empresa/del canal y el nombre y apellidos. La contraseña no se almacena nunca en texto plano, sino que se guarda como hash con el método moderno Argon2id (parámetros OWASP 2024).

Base jurídica: art. 6 apdo. 1 lit. b del RGPD (ejecución del contrato). Los datos se eliminan en cuanto dejan de ser necesarios para los fines de su recogida y no se oponen obligaciones legales de conservación.

6. Contenidos tratados

CastLoop trata los contenidos que facilitas activamente — en particular URL de vídeos de YouTube o de episodios de pódcast, así como las transcripciones, archivos de clip y propuestas de título y subtítulo generados a partir de ellos. Estos contenidos se utilizan exclusivamente para la prestación del servicio contratado y se eliminan tras el vencimiento de los plazos de conservación acordados contractualmente (por regla general 7 días para las descargas en bruto, hasta 90 días para los clips generados en el marco de la función de reciclaje). Los archivos de clip se almacenan exclusivamente en servidores de la UE de IONOS SE; no se realiza ninguna transferencia a proveedores de almacenamiento en la nube fuera de la UE.

7. Inicio de sesión social / SSO

Para simplificar el inicio de sesión, ofrecemos un inicio de sesión único (SSO) a través de distintos proveedores de identidad. Si utilizas esta opción, se te redirige al respectivo proveedor; tras una autenticación satisfactoria recibimos un token de identidad firmado (JWT), del que únicamente leemos un identificador de usuario estable (sub) y tu dirección de correo electrónico. No recibimos ninguna contraseña ni ningún acceso ilimitado a tu cuenta de dicho proveedor.

7.1 Google Ireland Ltd. — inicio de sesión con Google

Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda. Autenticación mediante cuenta de Google («inicio de sesión con Google»). Se tratan sub (ID de usuario estable de Google), la dirección de correo electrónico, el estado de confirmación del correo electrónico y, opcionalmente, el nombre y la URL de la imagen de perfil. Detalles: policies.google.com/privacy.

7.2 Microsoft Ireland Operations Limited — inicio de sesión con Microsoft

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublín 18, Irlanda. Autenticación mediante cuenta de Microsoft (personal o de trabajo/centro educativo). Se tratan sub (ID de usuario estable de Microsoft, no oid), la dirección de correo electrónico y, opcionalmente, el nombre para mostrar. Detalles: privacy.microsoft.com.

7.3 Apple Distribution International Ltd. — inicio de sesión con Apple

Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irlanda. Autenticación mediante Apple ID. Se tratan sub (ID de usuario estable de Apple) y la dirección de correo electrónico.

Aviso sobre las direcciones de Private Relay: Apple ofrece la opción «Ocultar mi correo electrónico». En ese caso recibimos únicamente una dirección de reenvío anonimizada con la forma <token-aleatorio>@privaterelay.appleid.com. No podemos ver tu dirección de correo electrónico real; Apple reenvía los correos de forma transparente a la dirección que tengas registrada. Detalles: apple.com/legal/privacy.

Base jurídica para el SSO: art. 6 apdo. 1 lit. b del RGPD (ejecución del contrato / medidas precontractuales).

8. Publicación multiplataforma (tokens OAuth y publicaciones)

La prestación principal de CastLoop es la publicación automatizada de los clips generados en las plataformas de redes sociales conectadas por ti. Para ello nos facilitas tokens de acceso OAuth de la respectiva plataforma. Tus contraseñas de las plataformas no son vistas ni almacenadas por nosotros en ningún momento.

Cifrado de los tokens: los tokens de acceso y de actualización OAuth se almacenan en nuestra base de datos exclusivamente cifrados con AES-256-GCM («envelope encryption»), vinculados a un contexto de datos autenticados adicionales (AAD) específico de la fila (ID de inquilino, ID de cuenta social, plataforma). Una filtración de la base de datos sin acceso al material de claves custodiado por separado resulta así inútil.

8.1 Google Ireland Ltd. — YouTube / YouTube Shorts

Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda. CastLoop utiliza la YouTube Data API v3 exclusivamente en el canal de YouTube conectado por ti, a través de los siguientes ámbitos (scopes) de OAuth:

  • https://www.googleapis.com/auth/youtube.readonly — lectura de los metadatos de tu propio canal y de tus vídeos (ID del canal, título, miniatura, lista de vídeos con título, descripción, duración, fecha de publicación). Se utiliza para permitirte seleccionar en el panel de qué vídeos de formato largo debe CastLoop extraer clips cortos. Se invocan exclusivamente los endpoints channels.list y videos.list.
  • https://www.googleapis.com/auth/youtube.upload — subida de los clips cortos que has aprobado (≤ 60 segundos, formato vertical) como YouTube Shorts a tu propio canal. Se invoca exclusivamente el endpoint videos.insert. No se realiza ninguna subida automática sin tu aprobación y programación previas.

En el momento de la subida se transmiten el archivo de clip (MP4), el título que hayas asignado, la descripción, las etiquetas y el momento de publicación. Los vídeos originales de formato largo no abandonan nuestros servidores en ningún momento.

Limited Use — compromiso de uso conforme a la Google API Services User Data Policy (incl. los Limited Use Requirements):

  • Utilizamos los datos recibidos a través de la API de YouTube exclusivamente para ofrecerte la función mostrada en el panel (selección de clips, subida de Shorts).
  • No vendemos a terceros los datos recibidos a través de la API de YouTube.
  • No utilizamos los datos recibidos a través de la API de YouTube para mostrar publicidad ni para la personalización de publicidad.
  • No entrenamos modelos de IA/ML con los contenidos recibidos a través de la API de YouTube.
  • El acceso humano (empleados / contratistas) a los datos se realiza exclusivamente (a) con tu consentimiento expreso, (b) con fines de seguridad (p. ej. la investigación de un incidente de abuso o de seguridad), (c) para el cumplimiento de obligaciones legales o (d) en la medida en que los datos estén anonimizados/agregados para procesos internos.

Puedes desautorizar el canal de YouTube en cualquier momento a través de Panel → Canales → Desconectar o revocar la conexión directamente en la cuenta de Google, en «Aplicaciones de terceros con acceso a la cuenta». Tras la desconexión, los tokens OAuth correspondientes se eliminan de inmediato; los YouTube Shorts ya subidos permanecen en tu canal y puedes gestionarlos como de costumbre.

Avisos generales de privacidad de Google: policies.google.com/privacy.

8.2 Meta Platforms Ireland Ltd. — Instagram

Meta Platforms Ireland Limited, Merrion Road, Dublín 4, Irlanda. Publicación de Reels / publicaciones de feed mediante la Instagram Graph API. Detalles: facebook.com/privacy/policy.

8.3 TikTok Technology Ltd. — TikTok

TikTok Technology Limited (grupo ByteDance), 10 Earlsfort Terrace, Dublín 2, Irlanda. Publicación mediante la TikTok Content Posting API. Detalles: tiktok.com/legal/privacy-policy.

8.4 LinkedIn Ireland Unlimited Company — LinkedIn

LinkedIn Ireland Unlimited Company, Wilton Place, Dublín 2, Irlanda. Publicación de publicaciones de vídeo mediante la LinkedIn Marketing Developer Platform. Detalles: linkedin.com/legal/privacy-policy.

8.5 X Corp. — X (antes Twitter)

X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, EE. UU. Publicación mediante la X API v2. X Corp. tiene su sede en EE. UU.; las transmisiones de datos a EE. UU. son inevitables para el uso de la plataforma X. La salvaguarda se realiza sobre la base de las cláusulas contractuales tipo de la UE (SCC 2021/914). Detalles: x.com/privacy.

8.6 Meta Platforms Ireland Ltd. — Facebook

Meta Platforms Ireland Limited, Merrion Road, Dublín 4, Irlanda. Publicación de publicaciones de vídeo de páginas de Facebook mediante la Facebook Graph API. Avisos de privacidad: facebook.com/privacy/policy.

8.7 Meta Platforms Ireland Ltd. — Threads

Meta Platforms Ireland Limited, Merrion Road, Dublín 4, Irlanda. Publicación de publicaciones de Threads mediante la Threads Graph API. Dado que Threads es un producto de Meta, se aplica la misma política de privacidad que a Instagram: facebook.com/privacy/policy.

Base jurídica para la publicación: art. 6 apdo. 1 lit. b del RGPD (ejecución del contrato). La respectiva plataforma es responsable independiente del tratamiento en sus sistemas, a efectos de la protección de datos.

9. Tratamiento con IA (transcripción y análisis de clips)

Para la creación automática de transcripciones, para el reconocimiento de momentos interesantes y para la generación de variantes de gancho/título utilizamos Google Generative AI (Gemini 2.5 Flash) de Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda. Se transmiten transcripciones de audio/texto así como metadatos relevantes del respectivo vídeo. El tratamiento se realiza dentro de la UE o sobre la base de cláusulas contractuales tipo; Google trata los contenidos exclusivamente para la prestación de la prestación de la API y no para el entrenamiento de sus modelos (condiciones de nivel de pago/Enterprise, Gemini API Terms of Service).

Base jurídica: art. 6 apdo. 1 lit. b del RGPD (ejecución del contrato).

10. Tramitación de pagos

La tramitación de los pagos y la creación de las facturas correspondientes se realiza a través de Mollie B.V. (Keizersgracht 126, 1015 CW Ámsterdam, Países Bajos). A Mollie se transmiten los datos necesarios para la tramitación del pago (importe, método de pago, correo electrónico, dirección de facturación). Mollie es responsable a efectos del RGPD del tratamiento de los datos de pago. Encontrarás más información en la política de privacidad de Mollie.

Base jurídica: art. 6 apdo. 1 lit. b del RGPD (ejecución del contrato), art. 6 apdo. 1 lit. c del RGPD (obligaciones legales de conservación según el § 257 HGB, el § 147 AO).

11. Envío de correos electrónicos

Para el envío de correos electrónicos transaccionales (confirmación de registro, restablecimiento de contraseña, facturas, notificaciones sobre clips) utilizamos el relé SMTP de IONOS SE (véase la sección 4). No se utiliza ningún proveedor de envío independiente fuera de la UE. El envío se realiza exclusivamente mediante conexiones cifradas con TLS (TLS 1.2 o superior).

12. Cookies y tecnologías comparables

Nuestro sitio web de marketing castloop.de no utiliza cookies de seguimiento ni cookies con fines publicitarios. La aplicación app.castloop.de utiliza exclusivamente cookies técnicamente necesarias (en particular una cookie HttpOnly para el token de actualización seguro, la protección CSRF, los nonces de CSP). Para ello no se requiere consentimiento según el § 25 apdo. 2 n.º 2 TDDDG. Encontrarás más detalles en nuestra política de cookies.

13. Destinatarios de los datos / encargados del tratamiento

Los siguientes prestadores de servicios tratan datos personales por encargo o como responsables independientes (en el caso de las plataformas de redes sociales y Mollie):

  • IONOS SE (Montabaur, DE) — infraestructura de hosting, relé SMTP, copias de seguridad por instantáneas de VM
  • Mollie B.V. (Ámsterdam, NL) — procesamiento de pagos y tramitación de facturas
  • Google Ireland Ltd. (Dublín, IE) — transcripción y análisis de clips mediante Google Generative AI (Gemini 2.5 Flash), YouTube Data API, inicio de sesión con Google
  • Microsoft Ireland Operations Ltd. (Dublín, IE) — autenticación mediante cuenta de Microsoft
  • Apple Distribution International Ltd. (Cork, IE) — autenticación mediante Apple ID
  • Meta Platforms Ireland Ltd. (Dublín, IE) — publicaciones en Instagram, Facebook y Threads
  • TikTok Technology Ltd. (Dublín, IE) — publicaciones en TikTok
  • LinkedIn Ireland Unlimited Company (Dublín, IE) — publicaciones en LinkedIn
  • X Corp. (San Francisco, EE. UU.) — publicaciones en X/Twitter (tratamiento de datos también en EE. UU., salvaguardado mediante las SCC 2021/914)

Celebramos con todos los encargados del tratamiento un contrato de encargo de tratamiento (DPA) conforme al art. 28 del RGPD; los clientes empresariales pueden, por su parte, celebrar un DPA con nosotros (véase la plantilla de DPA).

14. Transferencias a países terceros

Siempre que es posible, tratamos los datos personales dentro de la Unión Europea o del Espacio Económico Europeo. En los siguientes casos es inevitable una transmisión a países terceros (en particular a EE. UU.):

  • X Corp. (EE. UU.) — al publicar clips en X
  • Meta Platforms, Inc. (EE. UU.) — al publicar en Instagram, Facebook o Threads, en la medida en que Meta Ireland transmita datos a su matriz estadounidense
  • TikTok Inc. / ByteDance Ltd. (EE. UU. / Singapur) — en las publicaciones de TikTok, en la medida en que se transmitan datos a sociedades del grupo
  • Apple Inc. (EE. UU.) — en el inicio de sesión con Apple, en la medida en que Apple Distribution International Ltd. transmita datos a su matriz estadounidense
  • Google LLC (EE. UU.) — en la medida en que Google Ireland Ltd. transmita datos a su matriz estadounidense
  • Microsoft Corporation (EE. UU.) — en la medida en que Microsoft Ireland Operations Ltd. transmita datos a su matriz estadounidense

Para estas transferencias a países terceros, la salvaguarda se realiza sobre la base de las cláusulas contractuales tipo de la UE (SCC) conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea. Google, Microsoft, Meta y Apple están además certificados conforme al Marco de Privacidad de Datos UE-EE. UU. (DPF) y ofrecen los correspondientes compromisos de transferencia. Si lo necesitas, te facilitamos copias de las SCC celebradas previa solicitud.

Base jurídica: art. 46 apdo. 2 lit. c del RGPD.

15. Plazo de conservación

Tratamos y almacenamos los datos personales únicamente durante el tiempo que sea necesario para alcanzar el fin del tratamiento o que existan obligaciones legales de conservación (en particular el § 257 HGB: 10 años para comprobantes contables / facturas, el § 147 AO: 6 o 10 años para documentos fiscalmente relevantes).

16. Tus derechos

Conforme al RGPD te asisten los siguientes derechos:

  • Derecho de acceso (art. 15 del RGPD)
  • Derecho de rectificación (art. 16 del RGPD)
  • Derecho de supresión (art. 17 del RGPD)
  • Derecho a la limitación del tratamiento (art. 18 del RGPD)
  • Derecho a la portabilidad de los datos (art. 20 del RGPD)
  • Derecho de oposición (art. 21 del RGPD)
  • Revocación de los consentimientos otorgados con efectos para el futuro (art. 7 apdo. 3 del RGPD)
  • Derecho a presentar una reclamación ante una autoridad de control (art. 77 del RGPD)

Autoservicio en el panel: puedes gestionar tus datos tú mismo en cualquier momento a través del panel:

  • Exportación de datos (art. 15 del RGPD) — en Ajustes → Exportar datos puedes descargar una copia legible por máquina de tus datos personales (JSON).
  • Eliminación de la cuenta (art. 17 del RGPD) — en Ajustes → Eliminar cuenta puedes eliminar tu cuenta de forma permanente. La eliminación se realiza sin demora de la base de datos productiva y, en un plazo de 30 días, también de todas las copias de seguridad (rotación de instantáneas de VM de IONOS).

Como alternativa, basta con un mensaje sin formalidades a info@castloop.de.

¿Quieres ejercer tus derechos?

Para el acceso, la rectificación o la eliminación de tus datos, escríbenos sin más:

info@castloop.de (asunto: Protección de datos)

17. Autoridad de control competente

La autoridad de control de protección de datos competente para nosotros es el Delegado estatal de protección de datos y libertad de información de Baden-Wurtemberg, Lautenschlagerstraße 20, 70173 Stuttgart, baden-wuerttemberg.datenschutz.de. Encontrarás una lista completa de los delegados estatales de protección de datos en el Delegado Federal de Protección de Datos y Libertad de Información (BfDI).

18. Vigencia

Esta política de privacidad se adapta de forma continua a la evolución jurídica y técnica.

Estado: 28. Mai 2026 · Versión 1.1 (Threads + Facebook añadidos, nuevas secciones 8.6 + 8.7)

← Volver a la página de inicio