← Blog/Cumplimiento

RGPD e IA de voz: ¿es legal que una IA atienda y grabe tus llamadas?

Semir JahicSemir Jahic··8 min de lectura
Persona revisando documentos de protección de datos en un escritorio

"¿Puedo poner una IA a atender el teléfono sin meterme en un lío con protección de datos?" Es la primera pregunta sensata de cualquier empresa responsable. La respuesta corta es sí, es legal — siempre que se haga bien. La respuesta útil es saber qué significa "bien". Vamos a ello, en lenguaje claro.

En resumen: una IA puede atender tus llamadas de forma conforme al RGPD si hay una base jurídica para el tratamiento, se informa de que interviene una IA, se firma un contrato de encargo de tratamiento con el proveedor, se respetan los derechos del interesado (incluida la supresión) y se aplica una retención razonable. La clave está en elegir un proveedor que cumpla — y saber qué preguntarle.

*(Este artículo es divulgativo y no constituye asesoramiento legal; consulta a tu asesor para tu caso concreto.)*

¿Necesito consentimiento para que una IA atienda la llamada?

No necesariamente el consentimiento explícito. El RGPD admite varias bases jurídicas; para atender una llamada entrante de un cliente, lo habitual es el interés legítimo o la ejecución de un contrato / medidas precontractuales (alguien que llama para pedir una cita o información). El consentimiento entra en juego sobre todo en escenarios de marketing o llamadas salientes, no en atender a quien te llama.

Lo que sí es obligatorio en todos los casos es la transparencia: informar de forma clara, y eso incluye decir que está interviniendo un sistema de IA.

¿Hay que avisar de que es una IA?

Sí. Por transparencia (y por confianza), quien llama debe saber al inicio que habla con un asistente digital. Una recepcionista con IA bien configurada lo anuncia automáticamente y no permite desactivarlo. No es solo cumplimiento: un aviso honesto al principio mejora la percepción, porque el cliente sabe a qué atenerse.

¿Puede una IA grabar la llamada?

Puede, pero conviene distinguir grabar el audio de transcribir. Grabar y conservar el audio implica tratar más datos (incluida la voz, un dato sensible en algunos contextos) y exige más garantías. Muchas soluciones —fonea entre ellas— transcriben en tiempo real y descartan el audio, conservando solo la transcripción cifrada. Eso reduce el riesgo y la superficie de datos. Si se graba audio, debe informarse y justificarse.

Prueba fonea: atiende cada llamada de forma conforme al RGPD, con transcripción cifrada y retención que tú controlas. Empezar ahora

¿Qué papel juega el contrato de encargo de tratamiento?

Cuando un proveedor trata datos personales por cuenta de tu empresa, es un encargado del tratamiento y tú el responsable. El RGPD exige un contrato de encargo de tratamiento (artículo 28) que regule qué datos se tratan, con qué fin, durante cuánto tiempo y con qué garantías. Sin ese contrato, no deberías trabajar con el proveedor. Pídelo siempre.

¿Y los derechos del cliente y la retención?

Quien llama conserva sus derechos: acceso, rectificación y, en particular, supresión. Tu proveedor debe permitirte eliminar datos a petición y aplicar plazos de retención razonables (no guardar transcripciones indefinidamente "por si acaso"). Configura una retención corta por defecto y amplíala solo si hay una razón.

Cinco preguntas que hacerle a cualquier proveedor

1. ¿Cuál es la base jurídica del tratamiento y cómo se informa a quien llama? 2. ¿Firmáis un contrato de encargo de tratamiento? 3. ¿Grabáis audio o solo transcribís? ¿Está cifrado? 4. ¿Puedo eliminar datos a petición y fijar la retención? 5. ¿Quiénes son vuestros subencargados y dónde se procesan los datos?

Puntos clave

  • Que una IA atienda llamadas entrantes es legal bajo el RGPD si se hace bien.
  • La base jurídica suele ser interés legítimo o medidas precontractuales, no siempre consentimiento.
  • Transparencia obligatoria: hay que avisar de que interviene una IA.
  • Mejor transcribir y descartar el audio que grabarlo y conservarlo.
  • Exige contrato de encargo, derecho de supresión y retención razonable.

Preguntas frecuentes

¿Vale para clínicas y datos de salud?

Los datos de salud son categoría especial y exigen garantías reforzadas. Es viable, pero pide a tu proveedor garantías específicas y valora una Evaluación de Impacto (EIPD).

¿El RGPD del Reino Unido es distinto?

El Reino Unido tiene su propio RGPD muy alineado con el de la UE. Un buen proveedor cumple ambos; útil si tienes clientela británica.

¿Quién es responsable si algo va mal?

Tu empresa es la responsable del tratamiento; el proveedor, el encargado. El contrato de encargo reparte obligaciones — otra razón para exigirlo.

Fuentes

  • Comisión Europea — *Reglamento General de Protección de Datos (RGPD)*, incl. art. 6 (bases jurídicas) y art. 28 (encargado del tratamiento)
  • Agencia Española de Protección de Datos (AEPD) — guías sobre tratamiento de datos e IA
  • Information Commissioner's Office (ICO, Reino Unido) — *Guide to the UK GDPR*
rgpdcumplimientoia-de-vozprivacidadrecepcionista-ia

fonea unverbindlich ausprobieren

Schweizer KI-Telefonassistent für KMU. Hören Sie eine Live-Demo direkt im Browser, buchen Sie einen Termin mit unserem Team oder starten Sie sofort — CHF 90/Monat, 30 Tage Geld-zurück-Garantie, monatlich kündbar.

Jetzt startenLive-Demo anhörenTermin buchen

DSG- und revDSG-konform · Daten in der Schweiz · Schweizerdeutsch nativ