Volver al blog
Telefonía con IA conforme al RGPD: uso jurídicamente seguro de agentes de voz
RGPDProtección de datosConformidad7 de enero de 20268 min

Telefonía con IA conforme al RGPD: uso jurídicamente seguro de agentes de voz

Los agentes de voz con IA ofrecen enormes ganancias de eficiencia — pero antes de que una empresa los utilice, se plantea la pregunta fundamental: ¿es jurídicamente seguro? En Alemania y en toda la región DACH, la normativa de protección de datos es especialmente estricta. El RGPD es de aplicación plena, la BDSG lo complementa a nivel nacional, y se añaden las regulaciones sectoriales específicas como el secreto médico o el secreto profesional del abogado. Este artículo muestra lo que las empresas deben tener en cuenta concretamente y cómo lograr un uso conforme al RGPD de la telefonía con IA.

Fundamentos jurídicos: qué significa el RGPD para la telefonía con IA

Datos personales en las conversaciones telefónicas

Toda conversación telefónica con una persona identificada o identificable contiene datos personales en el sentido del art. 4, apartado 1, del RGPD. Esto incluye:

  • Nombre y datos de contacto del interlocutor
  • Contenidos de la conversación (asuntos, quejas, pedidos)
  • Metadatos (hora de la llamada, duración, número de teléfono)
  • En caso de grabación de voz: la propia voz (dato biométrico según el art. 9 del RGPD si se utiliza para identificación)

El tratamiento de estos datos requiere una base jurídica conforme al art. 6 del RGPD. Para la mayoría de las aplicaciones telefónicas comerciales aplica el art. 6, apdo. 1, letra b (ejecución de un contrato) o letra f (interés legítimo). Para las grabaciones y los análisis más detallados se requiere generalmente un consentimiento explícito (letra a) o una ponderación clara de intereses.

Obligaciones de transparencia — los clientes deben ser informados

El art. 13 del RGPD obliga a informar al interesado en el momento de la recogida de datos. En la telefonía con IA esto significa concretamente:

  • Los interlocutores deben ser informados al inicio de la conversación de que un sistema de IA está gestionando la llamada
  • En caso de grabación, debe indicarse explícitamente que la conversación está siendo grabada
  • Deben comunicarse la finalidad de la grabación y el período de tratamiento

La formulación puede ser pragmática: "Ahora se le conecta con nuestro asistente digital. La conversación puede grabarse con fines de control de calidad. Puede encontrar más información en [política de privacidad]."

Atención: el silencio del interlocutor tras el aviso no equivale jurídicamente a consentimiento para la grabación. Para ello se requiere una confirmación activa (p. ej., "Pulse 1 para dar su conformidad con la grabación").

Obligaciones y prohibiciones de grabación

¿Cuándo está permitido grabar?

La grabación de conversaciones telefónicas en Alemania está permitida en principio, según el § 201 del StGB (violación de la confidencialidad de la palabra) y la TKG, solo con el consentimiento de todos los participantes. Para fines comerciales aplica:

  • Con consentimiento expreso del interlocutor: siempre admisible
  • Para control de calidad y formación: admisible con la información correspondiente y posibilidad de opt-out
  • Para el cumplimiento de obligaciones legales de documentación: admisible (p. ej., en el sector financiero según el § 83 WpHG)

Importante: en Austria y Suiza rigen normativas en parte divergentes. En Austria la grabación de conversaciones en un contexto B2B es posible bajo condiciones simples; en Suiza debe tenerse en cuenta la revisada ley de protección de datos (DSG).

Alternativas a la grabación completa

Si la obtención del consentimiento parece demasiado costosa o la tasa de conversión se ve afectada por el aviso, existen alternativas:

  • Transcripción sin archivo de audio: la conversación se transcribe y el archivo de audio se elimina de inmediato. Menos sensible desde el punto de vista de la protección de datos, ya que no se almacena ninguna voz.
  • Anonimización tras la transcripción: los nombres y otros identificadores se eliminan de la transcripción, de modo que ya no existe referencia a personas.
  • Evaluaciones agregadas: análisis de sentimiento y de temas sin referencia personal.

Contrato de encargo de tratamiento (DPA) — la obligación contractual

¿Cuándo es necesario un DPA?

Siempre que un proveedor de servicios externo trate datos personales por encargo del responsable, debe suscribirse un contrato de encargo de tratamiento conforme al art. 28 del RGPD. En el caso del uso de un proveedor de agente de voz con IA, esto es obligatorio.

Un DPA jurídicamente seguro debe contener:

  • Objeto y duración del tratamiento
  • Naturaleza y finalidad del tratamiento
  • Tipo de datos personales
  • Categorías de interesados
  • Obligaciones y derechos del responsable
  • Medidas técnicas y organizativas (MTO)
  • Regulaciones sobre subencargados del tratamiento (p. ej., proveedor de reconocimiento de voz)
  • Sujeción a instrucciones del encargado del tratamiento
  • Obligaciones de supresión y devolución al término del contrato

Subencargados del tratamiento — la trampa de conformidad oculta

Muchas soluciones de agente de voz con IA utilizan a su vez proveedores externos para el reconocimiento de voz, TTS (text-to-speech) o el tratamiento de datos. Estos subencargados del tratamiento deben estar mencionados en el DPA, y el encargado del tratamiento debe garantizar que también ellos actúan conforme al RGPD.

Comprueba si el proveedor utiliza subencargados del tratamiento fuera de la UE. En el caso de servicios estadounidenses (p. ej., determinados servicios en la nube), se requiere una transferencia mediante cláusulas contractuales tipo (CCT).

Servidores en la UE — no un lujo, sino una obligación

Por qué el alojamiento en la UE es determinante

El RGPD no prescribe en general el alojamiento en la UE, pero las transferencias de datos a terceros países sin un nivel de protección adecuado (fuera de la UE/EEE) solo son admisibles según los arts. 44 y ss. del RGPD bajo condiciones estrictas. En la práctica, el alojamiento en la UE es con mucho el camino más seguro.

Para sectores sensibles como la salud, el derecho y la asesoría fiscal, las autoridades de protección de datos recomiendan (y en algunos casos exigen) explícitamente que ningún dato personal de conversaciones con clientes o pacientes salga de la UE.

Los proveedores serios de telefonía con IA para el mercado DACH operan su infraestructura exclusivamente en centros de datos de la UE — preferiblemente en Alemania, para cumplir también con los requisitos más estrictos de la BDSG.

Minimización de datos — recopilar solo lo necesario

El art. 5, apdo. 1, letra c, del RGPD (minimización de datos) exige que solo se recopilen los datos que sean realmente necesarios para el fin respectivo. Para los agentes de voz con IA esto significa:

  • Sin almacenamiento permanente de archivos de audio si las transcripciones son suficientes
  • Plazos de supresión automáticos para todos los datos de conversaciones (típicamente: 30–90 días)
  • Vinculación de finalidad: no utilizar datos de conversaciones de servicio para fines de marketing sin una nueva base jurídica

Particularidades sectoriales

Sector sanitario (consultas médicas, psicoterapeutas, farmacias)

Las conversaciones con pacientes contienen muy probablemente datos de salud — una categoría especial según el art. 9 del RGPD. El tratamiento solo es admisible bajo condiciones estrictas, especialmente con consentimiento explícito o para el cumplimiento de las obligaciones derivadas del contrato de tratamiento.

Para las consultas médicas aplica además el secreto médico (§ 203 del StGB). El proveedor de IA es considerado una "persona en conocimiento del asunto" y debe ser incorporado contractualmente en consecuencia.

Recomendación: En consultas médicas, los agentes de voz con IA deben utilizarse exclusivamente para fines administrativos (reserva de citas, información general) — no para primeras consultas clínicas o triaje.

Asesoría jurídica y fiscal

El deber de secreto del abogado (§ 43a BRAO) y el deber de secreto del asesor fiscal (§ 57 StBerG) se extienden a todas las personas que trabajan en el despacho — y a los medios técnicos utilizados. Las conversaciones con clientes a través de agentes de voz con IA deben, por tanto, cumplir los más altos estándares de protección de datos.

Recomendación: Para conversaciones con clientes, utilizar exclusivamente proveedores con conformidad RGPD certificada, ubicación del servidor en Alemania y documentación escrita de las MTO.

Lista de verificación de conformidad con el RGPD para agentes de voz con IA

  • DPA suscrito con el proveedor de IA
  • Todos los subencargados del tratamiento mencionados en el DPA
  • Ubicación de los servidores exclusivamente en la UE
  • Medidas técnicas y organizativas (MTO) documentadas
  • Aviso de transparencia implementado al inicio de la conversación
  • Consentimiento para la grabación obtenido activamente (si se desea la grabación)
  • Plazos de supresión automáticos configurados
  • Política de privacidad del sitio web actualizada (mención del uso de IA)
  • Registro de actividades de tratamiento (RAT) actualizado
  • Derechos de los interesados garantizados (acceso, supresión, oposición)
  • Empleados formados sobre el uso conforme al RGPD
  • Regulaciones especiales sectoriales comprobadas

Empieza ahora

anicall.io ofrece agentes de voz con IA conformes al RGPD con ubicación exclusiva de servidores en la UE, DPA completo y documentación profesional de protección de datos. En la consulta gratuita comprobamos juntos cómo puede ser un uso jurídicamente seguro en tu empresa.

Reserva tu consulta gratuita →