¿Dónde se guardan los datos de tu recepcionista con IA? Y por qué importa

Cuando una IA atiende tus llamadas, la voz y los datos de tus clientes tienen que procesarse en algún sitio. Y ese "algún sitio" no es un detalle técnico: determina qué ley protege a tus clientes y qué obligaciones asumes tú. Muchas herramientas de IA de voz son estadounidenses y procesan los datos fuera de la UE — algo perfectamente legal si se hace con garantías, pero que conviene saber y preguntar. Esta guía explica por qué importa y qué pedirle a cualquier proveedor.

En resumen: la voz es dato personal (lo recuerda la AEPD), así que dónde y cómo se procesa importa. El RGPD permite transferir datos fuera de la UE solo con garantías adecuadas. Antes de elegir una recepcionista con IA, pregunta dónde se procesan los datos, si hay contrato de encargo, qué garantías cubren las transferencias y si puedes pedir su eliminación. No es asesoramiento legal: es la diligencia mínima.

¿Por qué importa dónde se procesan los datos?

Porque cambia el marco de protección. La AEPD ha recordado en 2026 que la voz de una persona es dato personal en la medida en que permite identificarla, y que transcribir con IA "no es neutro": necesita base jurídica, transparencia y seguridad. Si esos datos se procesan en la UE/EEE, se mueven dentro del paraguas del RGPD. Si salen fuera —por ejemplo, a servidores en EE. UU.—, el RGPD exige garantías adecuadas para esa transferencia (una decisión de adecuación, cláusulas contractuales tipo u otro mecanismo). No es ilegal por sí mismo, pero es tu responsabilidad como responsable del tratamiento asegurarte de que esas garantías existen.

Para tus clientes, además, hay una cuestión de confianza: saber que sus datos se tratan bajo el RGPD, y no en una jurisdicción difusa, es un argumento de venta, no solo de cumplimiento.

¿Qué dice el RGPD sobre las transferencias fuera de la UE?

En resumen: los datos personales solo pueden transferirse fuera del Espacio Económico Europeo si el destino ofrece un nivel de protección adecuado o si se aplican garantías reconocidas (cláusulas contractuales tipo, normas corporativas vinculantes, etc.). Si tu proveedor de IA de voz procesa o subcontrata el procesamiento fuera de la UE, debe poder demostrarte qué mecanismo usa. Si no sabe responder, es una señal de alarma.

Prueba fonea: atiende cada llamada de forma conforme al RGPD, con contrato de encargo y transcripción cifrada. Empezar ahora

Cinco preguntas sobre datos para cualquier proveedor

1. ¿Dónde se procesan y almacenan los datos de las llamadas? 2. Si salen de la UE, ¿con qué garantía de transferencia (adecuación, cláusulas tipo)? 3. ¿Firmáis un contrato de encargo de tratamiento (art. 28 RGPD)? 4. ¿Grabáis el audio o solo transcribís? ¿Está cifrado y cuánto se conserva? 5. ¿Puedo solicitar la eliminación de los datos y fijar la retención?

Lo desarrollamos junto con las bases jurídicas en RGPD e IA de voz.

La postura de fonea

fonea trata los datos conforme al RGPD con contrato de encargo de tratamiento, cifrado en tránsito y en reposo y retención configurable, y transcribe descartando el audio para reducir la superficie de datos. Si la residencia de datos es un requisito para tu negocio, es exactamente el tipo de pregunta que conviene plantear antes de firmar — con cualquier proveedor.

Puntos clave

• La voz es dato personal (AEPD, 2026): dónde se procesa importa.
• Sacar datos de la UE exige garantías adecuadas bajo el RGPD; muchas herramientas de IA son de EE. UU.
• Exige contrato de encargo, claridad sobre transferencias, cifrado y supresión.
• Transcribir y descartar el audio reduce el riesgo frente a grabarlo.
• La residencia de datos es también un argumento de confianza ante tus clientes.

Preguntas frecuentes

¿Es ilegal usar una IA de voz estadounidense?

No por sí mismo, pero la transferencia de datos fuera de la UE exige garantías adecuadas. Tu obligación es comprobar que existen.

¿La voz cuenta como dato sensible?

La AEPD señala que la voz es dato personal; en algunos contextos (datos biométricos para identificar) puede ser categoría especial. Por eso conviene minimizar (transcribir y descartar audio).

¿Qué es un contrato de encargo de tratamiento?

El contrato (art. 28 RGPD) entre tú (responsable) y el proveedor (encargado) que regula qué datos se tratan, cómo, dónde y con qué garantías. Imprescindible.

Fuentes

• Agencia Española de Protección de Datos (AEPD, 2026) — *Transcripción de voz con IA: implicaciones para la protección de datos*
• Comisión Europea — *Reglamento General de Protección de Datos (RGPD)*, capítulo V (transferencias internacionales) y art. 28 (encargado del tratamiento)