RGPD y asistentes telefónicos con IA: lo que las empresas necesitan saber

Guía práctica sobre el cumplimiento del RGPD al utilizar asistentes telefónicos con IA. Cubre la recogida de datos, la base legal, el almacenamiento, los derechos de quienes llaman y qué buscar en un proveedor.

RGPD y asistentes telefónicos con IA: lo que las empresas necesitan saber Guías
David Schemm David Schemm

Si es propietario de una empresa y está considerando un asistente telefónico con IA, la protección de datos probablemente esté entre sus preocupaciones. Y con razón. Alemania cuenta con una de las aplicaciones más estrictas de la protección de datos en Europa, y un error puede significar multas, reclamaciones ante la autoridad de protección de datos de su estado federado o, simplemente, perder la confianza de los clientes que esperan que sus datos se gestionen correctamente.

Pero lo cierto es que el cumplimiento del RGPD con un asistente telefónico con IA no es tan complicado como parece. No necesita un título en derecho. Necesita entender qué datos se recogen, por qué esa recogida es legal, durante cuánto tiempo se almacenan y qué derechos tienen quienes le llaman. Esta guía cubre los cuatro aspectos.

Aviso legal: Este artículo ofrece información general sobre el RGPD en relación con los asistentes telefónicos con IA. No constituye asesoramiento jurídico. Para cuestiones específicas de cumplimiento, consulte a un abogado cualificado en protección de datos o al delegado de protección de datos de su empresa.

¿Qué datos recoge un asistente telefónico con IA?

Cuando alguien llama a su empresa y un asistente con IA contesta, se procesan varios tipos de datos:

1. El número de teléfono de quien llama. El número se transmite automáticamente mediante la identificación de llamadas. Es un dato personal según el RGPD porque un número de teléfono puede identificar a una persona, ya sea directamente o en combinación con otra información.

2. La grabación de voz de la conversación. La IA necesita procesar el habla en tiempo real para comprender lo que dice quien llama y responder. La mayoría de los asistentes telefónicos con IA también almacenan la grabación, al menos temporalmente, para generar una transcripción y un resumen.

3. La transcripción de la conversación. Las palabras habladas se convierten en texto. Esta transcripción a menudo contiene datos personales: el nombre de quien llama, su motivo de llamada, solicitudes de cita, datos de contacto que comparten voluntariamente.

4. Metadatos de la llamada. Hora y fecha de la llamada, duración, si la llamada se completó o se cortó. Estos datos son menos sensibles, pero siguen estando dentro del alcance del RGPD.

5. Datos derivados. La IA genera un resumen, extrae pasos a seguir y puede categorizar la llamada (nuevo cliente potencial, cliente existente, reclamación). Estos resultados derivados también cuentan como tratamiento de datos personales, ya que se basan en la información de quien llamó.

Esto es comparable a lo que sucede cuando un recepcionista humano contesta: escucha a quien llama, toma notas y transmite un mensaje. La diferencia es que con la IA, el procesamiento es automatizado, lo que activa consideraciones adicionales del RGPD (concretamente el artículo 22 sobre toma de decisiones automatizada, aunque la mayoría de los asistentes telefónicos con IA quedan fuera de su ámbito porque no toman decisiones que produzcan efectos jurídicos).

Según el RGPD, necesita una base legal para el tratamiento de datos personales. Para los asistentes telefónicos con IA, dos bases son las más relevantes:

Interés legítimo (artículo 6(1)(f))

Esta es la base legal más común para las llamadas comerciales. Su interés legítimo es: gestionar su negocio, atender a sus clientes y no perder llamadas importantes. Contestar el teléfono y registrar el contenido de las consultas comerciales es una parte normal y esperable de la actividad mercantil.

Para que el interés legítimo sea aplicable, debe superar una prueba de ponderación: su interés en el tratamiento de los datos debe prevalecer sobre los intereses de privacidad de quien llama. En el contexto de una llamada comercial, esta ponderación suele favorecer a la empresa, porque:

  • Quien llama inició la llamada voluntariamente.
  • Quien llama espera que su mensaje sea recibido y atendido.
  • Los datos recogidos se limitan a lo necesario para gestionar la consulta.
  • Quien llama puede razonablemente esperar que una empresa utilice tecnología para gestionar sus llamadas.

Debe documentar esta prueba de ponderación (una evaluación de una página es suficiente) y conservarla en sus archivos.

Consentimiento (artículo 6(1)(a))

Algunas empresas optan por informar a quienes llaman al inicio de la conversación de que un asistente con IA está respondiendo y de que la conversación será grabada. Si quien llama continúa la conversación tras escuchar este aviso, esto puede servir como consentimiento implícito, aunque la solidez jurídica del consentimiento implícito frente al consentimiento explícito es debatible.

Un enfoque más seguro: combine una breve comunicación al inicio de la llamada (“Esta llamada es atendida por un asistente con IA y puede ser grabada con fines de calidad y servicio”) con el interés legítimo como base legal principal. De esta forma dispone de transparencia (que el RGPD exige independientemente de la base legal) más un fundamento jurídico sólido.

Importante: Si graba llamadas y su empresa opera en Alemania, tenga en cuenta que grabar una conversación telefónica sin ningún tipo de aviso puede vulnerar el artículo 201 del Código Penal alemán (StGB), que prohíbe grabar la palabra hablada sin consentimiento. La comunicación al inicio de la llamada aborda tanto los requisitos de transparencia del RGPD como esta disposición del derecho penal.

Almacenamiento de datos: dónde, durante cuánto tiempo y cómo

Tres cuestiones importan aquí:

¿Dónde se almacenan los datos?

El RGPD exige que los datos personales se almacenen dentro de la UE/EEE, o en un país con un nivel adecuado de protección de datos, o con las garantías apropiadas (como las Cláusulas Contractuales Tipo) si se transfieren fuera de la UE.

Para las empresas, la opción más sencilla y segura es un proveedor que almacene los datos en servidores dentro de Alemania o la UE. Esto evita por completo la complejidad de las transferencias internacionales de datos.

Si su proveedor de asistente telefónico con IA almacena datos en servidores estadounidenses, debe verificar que existan mecanismos de transferencia adecuados. Desde que el Marco de Privacidad de Datos UE-EE. UU. entró en vigor en julio de 2023, las transferencias a empresas estadounidenses certificadas son permisibles, pero este marco podría ser impugnado (como lo fueron sus predecesores). Las autoridades alemanas de protección de datos han sido históricamente escépticas con las transferencias de datos a EE. UU.

¿Durante cuánto tiempo deben conservarse los datos?

El principio de limitación del almacenamiento del RGPD (artículo 5(1)(e)) establece que los datos personales solo deben conservarse durante el tiempo necesario para el fin para el que se recogieron.

Para las grabaciones y transcripciones de llamadas, un periodo de conservación razonable es:

  • Resúmenes y transcripciones de llamadas: 6-12 meses, alineados con su necesidad comercial (periodo de seguimiento de clientes potenciales, periodos de garantía para llamadas de servicio, etc.)
  • Grabaciones de audio sin procesar: Más corto, normalmente 30-90 días. Una vez generadas la transcripción y el resumen, la grabación de audio ha cumplido su propósito.
  • Metadatos de llamadas: Pueden conservarse durante más tiempo para análisis comercial, ya que son menos sensibles en términos de privacidad.

Documente sus periodos de conservación en sus registros de actividades de tratamiento y configure su asistente telefónico con IA para eliminar automáticamente los datos tras esos periodos.

¿Cómo se protegen los datos?

Como mínimo, su proveedor debe ofrecer:

  • Cifrado en tránsito (TLS) y en reposo (AES-256 o equivalente)
  • Controles de acceso (solo el personal autorizado puede acceder a los datos de llamadas)
  • Auditorías de seguridad periódicas o certificaciones (ISO 27001, SOC 2)
  • Un proceso documentado de respuesta ante incidentes

Derechos de quienes llaman

Según el RGPD, quienes llaman y cuyos datos trata usted tienen derechos específicos. Debe estar preparado para gestionarlos:

Derecho de acceso (artículo 15): Quien llama puede solicitar saber qué datos tiene sobre esa persona. Debe responder en el plazo de un mes.

Derecho de supresión (artículo 17): Quien llama puede pedirle que elimine sus datos. Si no existe una obligación legal prevalente para conservarlos (como requisitos de la legislación fiscal), debe cumplir.

Derecho de rectificación (artículo 16): Si la transcripción contiene errores (un nombre mal escrito, un número de teléfono incorrecto), quien llama puede solicitar la corrección.

Derecho de oposición (artículo 21): Si usted trata datos sobre la base del interés legítimo, quienes llaman pueden oponerse al tratamiento. En ese caso, debe demostrar motivos legítimos imperiosos o cesar el tratamiento.

Derecho a la información (artículos 13/14): Quienes llaman deben ser informados sobre quién trata sus datos, con qué finalidad y durante cuánto tiempo se almacenan. En la práctica, esto se puede abordar mediante un aviso de privacidad en su sitio web y la breve comunicación al inicio de la llamada.

En la práctica, las solicitudes de ejercicio de estos derechos son poco frecuentes en el caso de llamadas telefónicas. Pero debería tener un proceso establecido: una dirección de correo electrónico donde quienes llaman puedan enviar sus solicitudes y un flujo de trabajo para gestionarlas dentro del plazo de 30 días.

Qué buscar en un proveedor

No todos los proveedores de asistentes telefónicos con IA están al mismo nivel en lo que respecta a protección de datos. Aquí tiene su lista de verificación:

Acuerdo de tratamiento de datos (DPA). Según el artículo 28 del RGPD, necesita un acuerdo por escrito con cualquier proveedor que trate datos personales en su nombre. Esto es innegociable. El DPA debe especificar qué datos se tratan, durante cuánto tiempo se almacenan, qué medidas de seguridad existen y qué sucede con los datos cuando cancela el servicio.

Ubicación del servidor. Alemania > UE > país con decisión de adecuación > cualquier otro lugar. Cada paso más lejos de Alemania añade complejidad y riesgo.

Subencargados. Es probable que su proveedor utilice subencargados (proveedores de alojamiento en la nube, APIs de conversión de voz a texto, etc.). Solicite una lista. Compruebe dónde almacenan los datos esos subencargados. Un asistente con IA con sede en Alemania que envía el audio de sus llamadas a una API de reconocimiento de voz ubicada en EE. UU. puede no ser tan compatible con el RGPD como aparenta.

Eliminación de datos. ¿Puede eliminar los datos de las llamadas usted mismo? ¿Existe eliminación automática tras un periodo de conservación configurable? ¿Qué sucede con las copias de seguridad?

Transparencia. ¿Explica el proveedor claramente qué datos recoge, cómo los usa y si utiliza sus datos para entrenar sus modelos de IA? Algunos proveedores utilizan los datos de las llamadas de los clientes para mejorar su IA. Este es un fin de tratamiento distinto que requiere su propia base legal.

Certificaciones. ISO 27001, SOC 2 o certificaciones de seguridad equivalentes son señales de que el proveedor se toma en serio la seguridad de los datos. No son requisitos del RGPD, pero ofrecen garantías.

Para una comparativa más amplia de proveedores de asistentes telefónicos con IA y sus funcionalidades, consulte nuestra página de comparativas.

Cómo gestiona Safina el RGPD

Dado que este es el blog de Safina, seamos transparentes sobre nuestro enfoque:

  • Hecho en Alemania. Safina es desarrollado por una empresa alemana, sujeta a la legislación alemana de protección de datos.
  • Servidores en Alemania. Todos los datos se almacenan en servidores en Alemania. Sin transferencias transatlánticas de datos para el procesamiento de llamadas.
  • DPA disponible. Proporcionamos un acuerdo de tratamiento de datos a todos los clientes empresariales, tal como exige el artículo 28 del RGPD.
  • Conservación configurable. Usted controla durante cuánto tiempo se almacenan los datos de las llamadas y puede eliminar llamadas individuales o todos los datos en cualquier momento.
  • Aviso de llamada. Safina puede configurarse para informar a quienes llaman de que están hablando con un asistente con IA, cumpliendo tanto la transparencia del RGPD como la legislación alemana de telecomunicaciones.
  • Cifrado. Todos los datos están cifrados en tránsito y en reposo.
  • Sin entrenamiento con sus datos. Los datos de sus llamadas no se utilizan para entrenar nuestros modelos de IA.

Estos no son solo funcionalidades. Son los requisitos mínimos para operar un servicio de IA conforme al RGPD en Alemania. Si su proveedor no puede cumplir esta lista, es una señal de alarma.

Pasos prácticos para su empresa

Esto es lo que debe hacer antes de activar un asistente telefónico con IA:

  1. Obtenga el DPA. Firme un acuerdo de tratamiento de datos con su proveedor antes de empezar a operar. Sin excepciones.
  2. Actualice su aviso de privacidad. Añada una sección sobre la gestión de llamadas asistida por IA a la política de privacidad de su sitio web. Mencione la finalidad, la base legal, el periodo de conservación y los derechos de quienes llaman.
  3. Active el aviso de llamada. Configure su asistente con IA para informar a quienes llaman al inicio de la conversación. Un simple “Esta llamada es atendida por un asistente con IA y puede ser grabada” es suficiente.
  4. Establezca los periodos de conservación. Configure la eliminación automática para las grabaciones (30-90 días) y las transcripciones/resúmenes (6-12 meses).
  5. Documente su evaluación de interés legítimo. Redacte un breve documento explicando por qué utiliza un asistente telefónico con IA, qué datos recoge y por qué su interés comercial prevalece sobre el impacto en la privacidad.
  6. Establezca un proceso para las solicitudes de derechos. Designe una dirección de correo electrónico (como privacidad@suempresa.com) donde quienes llaman puedan solicitar el acceso, la rectificación o la supresión de sus datos.

Ninguno de estos pasos lleva más de una hora. Y una vez completados, estará operando dentro de las normas.

Conclusión

El cumplimiento del RGPD no es una razón para evitar los asistentes telefónicos con IA. Es una razón para elegir el adecuado. Un proveedor con sede en Alemania, con servidores alemanes, un DPA adecuado y prácticas de datos transparentes le ofrece el mismo nivel de cumplimiento que cualquier otro encargado del tratamiento con el que ya trabaja (su proveedor de correo electrónico, su CRM, su almacenamiento en la nube).

Las empresas que tienen problemas con el RGPD no suelen ser las que reflexionaron detenidamente sobre sus prácticas de datos. Son las que no pensaron en ello en absoluto.

Si quiere explorar cómo funciona Safina para su negocio, consulte nuestras soluciones para la respuesta automática de llamadas o vea cómo nos comparamos con otros proveedores. Y si tiene preguntas específicas sobre protección de datos, nuestra página de integraciones cubre cómo Safina se conecta con sus herramientas existentes manteniendo el cumplimiento del RGPD.

9:41

Safina gestionó 51 llamadas esta semana

46

De confianza

4

Sospechoso

1

Peligroso

Últimos 7 días
Filter
EM
Emma Martin 67s 15:30

Quiere hablar sobre la oferta de la nueva campaña y tiene preguntas sobre el calendario.

LS
Laura Sánchez 54s 14:45

Pregunta por el estado del pedido y cuándo llegará la entrega.

TH
Tomás Herrera 34s 13:10

Concertar una reunión para la revisión del proyecto la próxima semana.

Desconocido 44s 11:30

Promesa de premio: probablemente spam.

SM
Sofía Martínez 10s 09:15

Reclamación sobre el último pedido, solicita que le devuelvan la llamada.

MN
Martín Navarro 95s 13 dic

Quiere hablar sobre una posible colaboración.

AR
Ana Rodríguez 85s 13 dic

Es su compañera y quiere hablar sobre el proyecto.

JC
Javier Campos 42s 12 dic

Pregunta por las citas disponibles la próxima semana.

LB
Lucía Bermejo 68s 12 dic

Tiene preguntas sobre la factura y pide aclaración.

Llamadas
Safina
Contactos
Perfil
9:41
Llamada de Emma Martin
12 dic
11:30
67s

Quiere hablar sobre la oferta de la nueva campaña y tiene preguntas sobre el calendario.

Puntos clave

  • Devolver llamada a Emma Martin
  • Aclarar dudas sobre plazos y precios
Devolver llamada
Editar contacto

Perspectivas IA

Estado de ánimo del llamante Muy bueno

La persona que llamó fue colaboradora y proporcionó la información necesaria.

Urgencia Baja

La persona puede esperar una respuesta.

Audio y transcripción

0:16

Hola, soy Safina AI, la asistente digital de Peter. ¿En qué puedo ayudarle?

Hola Safina, soy Emma Martin. Quería hablar sobre la oferta y el calendario.

Gracias, Emma. ¿Están valorando principalmente el paquete Standard o el Pro para el lanzamiento?

Exacto. Necesitamos el paquete Pro y nos gustaría empezar el próximo mes si la incorporación puede hacerse en la primera semana.

Diga adiós a su buzón de voz anticuado.

Pruebe Safina gratis y empiece a gestionar sus llamadas de forma inteligente.

Prueba gratuita