
Protección de datos del agente de voz – Telefonía con IA jurídicamente segura 2025
Los agentes de voz con IA responden llamadas, reservan citas y cualifican leads — las 24 horas del día, sin descanso. Pero antes de que una empresa ponga en producción la tecnología, se plantea una pregunta fundamental: ¿Es su uso jurídicamente seguro? Especialmente en Alemania y Austria, la normativa de protección de datos se interpreta de forma particularmente estricta. Quien comete errores aquí arriesga multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial.
Esta guía te ofrece el marco completo de protección de datos para los agentes de voz — desde la obligación de información del art. 13 RGPD hasta el concepto de supresión.
Por qué los agentes de voz son especialmente relevantes desde el punto de vista de la protección de datos
Un agente de voz procesa datos de voz en tiempo real. Solo eso ya es delicado desde el punto de vista de la protección de datos, porque las voces son datos personales en el sentido del art. 4, apartado 1, del RGPD. Si se añade una grabación, la conversación efímera se convierte en un documento almacenado permanentemente. Y en cuanto los patrones de voz se utilizan para identificar a una persona — aunque sea de forma inconsciente — te mueves en el ámbito de los datos biométricos del art. 9 del RGPD, la categoría especialmente protegida.
Además: los agentes de voz trabajan frecuentemente con servicios en la nube procedentes de fuera de la UE. Los datos de voz pueden abandonar potencialmente el Espacio Económico Europeo — un factor de riesgo adicional que requiere regulaciones específicas.
Obligaciones de información según el art. 13 del RGPD
En cuanto recopilas datos personales — y esto sucede ya al recibir una llamada — debes informar a la persona que llama. Con un empleado humano al teléfono, esto puede darse por supuesto. Con un agente de voz, debes asegurarte de ello activamente.
¿Qué debe comunicar el agente de voz al inicio de la conversación?
Según el art. 13 del RGPD, son necesarias las siguientes indicaciones:
- Nombre y datos de contacto del responsable (tu empresa)
- Datos de contacto del delegado de protección de datos (si existe o está legalmente previsto)
- Finalidad y base jurídica del tratamiento (p. ej., ejecución de un contrato según el art. 6, apdo. 1, letra b, interés legítimo según la letra f, o consentimiento según la letra a)
- Destinatarios o categorías de destinatarios (p. ej., proveedor de CRM, proveedor de servicios de telefonía)
- Intención de transferencia a terceros países (si los datos se tratan fuera del EEE)
- Plazo de conservación o criterios para determinarlo
- Derechos del interesado (acceso, rectificación, supresión, limitación, oposición, portabilidad)
- Derecho a presentar una reclamación ante la autoridad de control
Consejo práctico: muchas empresas integran un breve texto oral al inicio de cada llamada que hace referencia a la política de privacidad completa del sitio web. Esto es admisible desde el punto de vista de la protección de datos, siempre que la referencia sea clara y fácil de encontrar.
Consentimiento y aviso de grabación
La cuestión de si puedes grabar conversaciones telefónicas se rige en Alemania principalmente por el § 201 del StGB (violación de la confidencialidad de la palabra) y el § 3 de la TKG. Sin el consentimiento expreso de todos los participantes en la conversación, la grabación es en principio inadmisible.
Requisitos para un consentimiento válido
Un consentimiento para la grabación debe:
- Otorgarse libremente — sin vinculación al servicio si la grabación no es estrictamente necesaria
- Ser informado — el interlocutor debe saber qué se graba y para qué
- Ser inequívoco — no vale el silencio ni una casilla premarcada
- Ser revocable — el interlocutor debe poder detener la grabación en cualquier momento (p. ej., pulsando una tecla)
En la práctica se recomienda el siguiente modelo: el agente de voz informa al inicio sobre la grabación y menciona la finalidad (p. ej., control de calidad, datos de entrenamiento). A continuación se solicita una confirmación activa: "Si está de acuerdo con la grabación, diga 'sí' o pulse el 1."
Importante: El propio consentimiento debe quedar documentado — fecha, hora, número de teléfono y el contenido del consentimiento.
Datos biométricos: el factor de riesgo subestimado
Cuando un agente de voz utiliza características vocales para identificar o autenticar a una persona — por ejemplo, para reconocer a un cliente existente — se trata de datos biométricos según el art. 9, apdo. 1, del RGPD. Estos gozan de una protección especial.
El tratamiento está en principio prohibido, salvo que se aplique alguna de las excepciones del art. 9, apdo. 2, del RGPD. Las más relevantes son:
- Consentimiento explícito (art. 9, apdo. 2, letra a) — requisitos elevados, se recomienda la forma escrita
- Intereses públicos importantes (art. 9, apdo. 2, letra g) — apenas aplicable a las PYME
Para la mayoría de las aplicaciones empresariales esto significa: los agentes de voz no pueden utilizar el reconocimiento de voz para identificar a personas sin obtener un consentimiento explícito. Quien apuesta exclusivamente por el control por voz (reconocimiento de intenciones) sin almacenar ni asociar voces, se mueve fuera del ámbito de riesgo biométrico.
Contrato de encargo de tratamiento (DPA)
Todo proveedor de servicios externo que trate datos personales por encargo de tu empresa es un encargado del tratamiento según el art. 28 del RGPD. Esto afecta a:
- El proveedor del agente de voz (p. ej., anicall)
- El proveedor de telefonía en la nube (SIP trunk)
- El proveedor de reconocimiento de voz (ASR/TTS)
- El proveedor de CRM, si los datos se transfieren automáticamente
Con cada uno de estos proveedores debes suscribir un contrato de encargo de tratamiento (DPA) que cumpla los requisitos del art. 28, apdo. 3, del RGPD. Este debe regular al menos:
- Objeto y duración del tratamiento
- Naturaleza y finalidad del tratamiento
- Tipo de datos personales y categorías de interesados
- Obligaciones y derechos del responsable
- Sujeción a instrucciones del encargado del tratamiento
- Obligaciones de confidencialidad
- Medidas técnicas y organizativas (MTO)
- Regulación de subencargados del tratamiento
- Obligaciones de apoyo en materia de derechos de los interesados y violaciones de seguridad
- Supresión o devolución al término del contrato
- Derechos de auditoría
Lista de subencargados del tratamiento
Los proveedores profesionales de agentes de voz facilitan una lista completa de sus subencargados del tratamiento. Comprueba que esta lista está actualizada y que se te notifican los cambios. Exige esto como obligación contractual en el DPA.
Almacenamiento de datos y plazos de supresión
El RGPD prohíbe conservar datos más tiempo del necesario (principio de limitación del plazo de conservación, art. 5, apdo. 1, letra e). Para los agentes de voz debes crear un concepto de supresión que comprenda las siguientes categorías:
| Categoría de datos | Plazo de conservación recomendado | Base jurídica |
|---|---|---|
| Registros de llamadas (metadatos) | 90 días | Interés legítimo |
| Grabaciones para control de calidad | 30–60 días | Consentimiento |
| Transcripciones con datos de clientes | Hasta fin del contrato + 3 años | Ejecución del contrato / obligación legal de conservación |
| Correspondencia sobre reclamaciones | 3 años | Obligación legal de conservación |
| Datos relevantes para la facturación | 10 años | § 147 AO |
Asegúrate de que tu proveedor de agente de voz ofrece rutinas de supresión automatizadas o de que dispones de procedimientos de supresión manual.
Derechos de los interesados y su aplicación
Las personas que llaman tienen amplios derechos en virtud del RGPD:
- Derecho de acceso (art. 15): ¿Qué datos se almacenaron?
- Derecho de rectificación (art. 16): Corregir datos incorrectos
- Derecho de supresión (art. 17): "Ser olvidado"
- Derecho de limitación (art. 18): Limitar el tratamiento
- Derecho de oposición (art. 21): Contra el tratamiento basado en intereses legítimos
- Portabilidad de los datos (art. 20): Facilitar los datos en formato legible por máquina
Debes asegurarte de que estos derechos puedan ejercerse en el plazo de un mes (ampliable a tres meses en caso de complejidad). Esto presupone que sabes dónde están almacenados todos los datos de un interlocutor — en el sistema del agente de voz, en el CRM, en el registro de llamadas.
Transferencias a terceros países
Muchos servicios de IA de voz se procesan en servidores de Estados Unidos u otros terceros países. Tras el fin del Privacy Shield y la sentencia Schrems II del TJUE (2020), tales transferencias solo son admisibles bajo estrictas condiciones.
Mecanismos admisibles para las transferencias a terceros países:
- Decisión de adecuación de la Comisión Europea (p. ej., para Reino Unido, Japón, Canadá)
- Cláusulas contractuales tipo (CCT) conforme a la Decisión de Ejecución 2021/914
- Normas corporativas vinculantes (BCR) — para grupos empresariales
- Excepciones del art. 49 del RGPD — solo en casos individuales, no como regulación permanente
Para los proveedores estadounidenses, desde 2023 aplica el Marco de Privacidad de Datos UE-EE.UU. (DPF). Comprueba si tu proveedor está certificado. Aunque lo esté, deben acordarse CCT como garantía adicional.
Requisitos sectoriales
Consultas médicas y sector sanitario
Los datos de salud están especialmente protegidos conforme al art. 9 del RGPD. Si un agente de voz registra síntomas, recibe diagnósticos o gestiona solicitudes de recetas, trata datos de salud. Además aplica:
- Secreto profesional según el § 203 del StGB — los médicos solo pueden transmitir datos de pacientes a empleados sujetos a sus instrucciones; un proveedor externo de agentes de voz debe ser incorporado contractualmente a este círculo
- Consentimiento según el art. 9, apdo. 2, letra a, del RGPD es normalmente necesario
- Los requisitos de seguridad técnica son más estrictos — el cifrado de extremo a extremo es obligatorio
Despachos de abogados
Los abogados están sujetos al deber profesional de secreto según el § 43a de la BRAO. Los datos de clientes no pueden en principio transmitirse a terceros sin consentimiento. Un agente de voz que recibe asuntos de clientes debe, por tanto:
- Operar en una infraestructura alojada completamente en la UE
- Configurar el DPA según los requisitos específicos del sector jurídico
- No transmitir contenidos de clientes a sistemas de IA de terceros que se utilicen con fines de entrenamiento
Lista de verificación de conformidad con el RGPD para agentes de voz
Utiliza esta lista de verificación para la autocomprobación antes de poner en funcionamiento tu agente de voz:
- La política de privacidad incluye referencia al agente de voz y al tratamiento con IA
- La obligación de información según el art. 13 del RGPD está implementada en el inicio de la conversación
- El aviso de grabación con consentimiento activo está implementado
- DPA suscrito con todos los encargados del tratamiento
- Lista de subencargados del tratamiento documentada y verificada
- Transferencias a terceros países aseguradas jurídicamente (CCT, DPF)
- Concepto de supresión creado e implementado técnicamente
- Registro de actividades de tratamiento según el art. 30 del RGPD actualizado
- Evaluación de impacto de protección de datos (EIPD) según el art. 35 del RGPD comprobada (obligatoria en caso de tratamiento biométrico)
- Procesos para los derechos de los interesados definidos (plazos, responsabilidades)
- Formación del personal interno sobre el manejo de datos del agente de voz
- Requisitos sectoriales específicos (salud, derecho) comprobados e implementados
Recomendaciones de documentación
El principio de responsabilidad proactiva (art. 5, apdo. 2, del RGPD) exige que puedas demostrar tu conformidad. Ten preparados los siguientes documentos:
- Política de privacidad con apartados específicos sobre el agente de voz
- Guion de inicio de conversación con aviso de protección de datos (versionado y fechado)
- Registro de consentimientos para las grabaciones
- DPA con cada proveedor de servicios
- Lista de subencargados del tratamiento (con fecha de la última verificación)
- Medidas técnicas y organizativas (MTO)
- Concepto de supresión con plazos concretos
- Registro de actividades de tratamiento según el art. 30 del RGPD
- EIPD (si procede)
Conclusión
El funcionamiento conforme a la protección de datos de un agente de voz no es un problema irresoluble — pero requiere una preparación cuidadosa y la elección correcta del proveedor. Quien sienta estas bases puede usar la tecnología de forma jurídicamente segura y al mismo tiempo reforzar la confianza de sus clientes. La protección de datos no es un obstáculo, sino una ventaja competitiva: los clientes que saben que sus datos están seguros prefieren llamar a tu sistema.
¿Listo para implantar un agente de voz conforme al RGPD? Nuestros expertos te acompañan desde la revisión jurídica hasta el funcionamiento en producción.