RGPD y agente vocal IA: lista de verificación completa para mantener la conformidad

Las 3 categorías de datos a proteger

1. Datos biométricos vocales

La voz humana se considera un dato biométrico según el RGPD (Artículo 9). Su tratamiento requiere un consentimiento explícito, distinto del consentimiento general de la llamada, y solo puede realizarse para finalidades específicas.

2. Contenido conversacional (PII)

Todo lo que se dice durante la llamada es contenido personal: identidad, dirección, IBAN, salud, situación financiera. La transcripción debe estar cifrada, el acceso restringido y la duración de conservación mínima.

3. Metadatos

Marca de tiempo, duración, procedencia, comportamiento (titubeos, pausas), patrones. Estos datos también están regulados, aunque a menudo se olvidan.

Lista de verificación RGPD: lo que su proveedor debe marcar

Consentimiento

• ☐ Consentimiento vocal explícito al inicio de la llamada, con frase estandarizada
• ☐ Grabación del consentimiento separada del resto de la conversación
• ☐ Derecho de retirada inmediata durante la llamada a simple solicitud
• ☐ Información sobre la naturaleza IA del interlocutor (transparencia algorítmica, cf. AI Act europeo)

Alojamiento y localización

• ☐ Servidores exclusivamente en la Unión Europea
• ☐ Sin subcontratación fuera de la UE sin cláusulas contractuales tipo (CCT)
• ☐ Dirección física de los datacenters documentada en el contrato
• ☐ Cláusulas anti-CLOUD Act si el proveedor tiene una empresa matriz en EE. UU.

Cifrado

• ☐ Cifrado en tránsito: TLS 1.3 mínimo
• ☐ Cifrado en reposo: AES-256
• ☐ Cifrado de las copias de seguridad
• ☐ Rotación de claves: procedimiento documentado

Retención y eliminación

• ☐ Duración de retención definida según la finalidad (generalmente de 3 a 24 meses)
• ☐ Eliminación automática al término de la duración
• ☐ Derecho al olvido accesible en autoservicio o a solicitud en 72h
• ☐ Portabilidad de los datos en formato legible por máquina

Gobernanza

• ☐ DPO designado en el proveedor, contactable directamente
• ☐ Registro de tratamientos actualizado y auditable
• ☐ Evaluación de impacto (AIPD) realizada y compartida
• ☐ Procedimiento de notificación de violación en menos de 72h

El AI Act europeo: lo que cambia en 2025-2026

El reglamento europeo sobre la IA (AI Act), que entró en vigor en 2024, añade obligaciones específicas para los agentes vocales IA:

• Transparencia obligatoria: el interlocutor debe ser informado de que está hablando con una IA
• Documentación técnica: los sistemas "de alto riesgo" (salud, finanzas, RRHH) deben proporcionar documentación detallada
• Supervisión humana: las decisiones automáticas que impactan los derechos deben permitir una intervención humana
• Pruebas de robustez: los sistemas deben ser probados contra sesgos y errores

El incumplimiento del AI Act puede resultar en multas de hasta 35 millones de euros o 7% de la facturación mundial, más que el RGPD.

Casos particulares por sector

Salud

Los agentes vocales IA que tratan datos de salud están sujetos al Artículo 9 del RGPD y deben estar alojados en infraestructuras certificadas HDS (Alojamiento de Datos de Salud) en Francia.

Finanzas y banca

Las llamadas bancarias requieren un registro completo para la trazabilidad regulatoria (MIF II, DSP2). La IA debe permitir una exportación completa a solicitud de la autoridad de control.

Recuperación

La recuperación es particularmente sensible porque maneja datos financieros de personas en dificultad. El consentimiento vocal debe ir acompañado de una notificación escrita (correo electrónico o carta). Ver nuestro enfoque de recuperación.

Cómo Vocalis AI asegura la conformidad

Vocalis AI está diseñado desde el origen para ser conforme al RGPD y al AI Act:

• Alojamiento exclusivo en Europa (Francia, Alemania, Países Bajos)
• Cifrado AES-256 en reposo, TLS 1.3 en tránsito
• Consentimiento vocal grabado y marcado con hora por separado
• DPO dedicado, contactable 24/7 para solicitudes de ejercicio de derechos
• AIPD estándar proporcionada a solicitud
• Declaración CNIL tipo puesta a disposición
• Auditoría anual por un gabinete externo

¿Necesita un agente vocal IA conforme al RGPD para su empresa? Reserve una auditoría gratuita y le entregamos nuestra documentación de conformidad durante la cita.