Desplegar un agente vocal IA en contacto con clientes europeos implica responsabilidades legales específicas que muchas empresas subestiman. Entre el RGPD (aplicable desde 2018), la Ley de IA europea (aplicable desde agosto de 2025), y las regulaciones sectoriales (HDS para lo médico, DSP2 para las finanzas), el marco normativo es denso. Pero bien entendido, se convierte en una ventaja competitiva: las empresas conformes ganan la confianza de sus clientes.
La voz: un dato biométrico bajo el RGPD
La voz humana contiene información biométrica: timbre, frecuencia fundamental, ritmo respiratorio — tantas características que permiten identificar a una persona. A este respecto, la grabación y el tratamiento de voces humanas son considerados datos sensibles según el artículo 9 del RGPD, con requisitos de protección reforzados.
Esto significa que no puede simplemente grabar todas sus llamadas "para mejorar la calidad del servicio" sin una base legal explícita. Las bases legales válidas para este tratamiento son: el consentimiento explícito y previo (no el consentimiento tácito por continuación de llamada), la ejecución de un contrato (si la grabación es necesaria para la prestación), o el interés legítimo (siempre que pase la prueba de balance de intereses).
Las obligaciones prácticas de conformidad
La información previa
Antes de cualquier grabación vocal, el llamante debe ser informado: que la llamada puede ser grabada, con qué propósito, durante cuánto tiempo se conservan los datos, y cómo ejercer sus derechos (acceso, rectificación, supresión). Esta información puede ser proporcionada por el agente IA mismo al inicio de la llamada, en forma de un mensaje corto y claro.
La duración de conservación
Las grabaciones vocales no pueden ser conservadas indefinidamente. La duración de conservación debe ser proporcional al propósito: 3 meses para la formación de agentes, 12 meses para la resolución de disputas, 5 años como máximo para los sectores regulados (banco, seguros) con justificación documentada. Más allá de estas duraciones, los datos deben ser eliminados o anonimizados.
El alojamiento: imperativo europeo
Los datos vocales de ciudadanos europeos deben ser alojados en la UE o en un país reconocido como que ofrece una protección adecuada. Esto excluye en la práctica las soluciones que almacenan las grabaciones en servidores estadounidenses sin garantías contractuales suficientes (cláusulas contractuales tipo + mecanismos adicionales según la jurisprudencia Schrems II).
Vocalis aloja la totalidad de sus datos en Francia y Alemania (AWS París, OVHcloud Estrasburgo), con certificación ISO 27001 y conformidad RGPD documentada en los DPA (Acuerdos de Procesamiento de Datos) proporcionados a cada cliente.
La Ley de IA: las nuevas obligaciones desde agosto de 2025
El reglamento europeo sobre inteligencia artificial (Ley de IA) ha introducido obligaciones específicas para los sistemas de IA en contacto con personas físicas:
- Obligación de transparencia: Cualquier persona en interacción con un sistema IA debe ser informada claramente al inicio de la interacción. "Este es un mensaje automatizado" ya no es suficiente — se debe mencionar explícitamente la IA
- Derecho de optar por un humano: Para las interacciones de servicio al cliente, el usuario debe poder solicitar ser conectado con un humano
- Documentación técnica: Los desplegadores de sistemas IA de riesgo limitado (incluyendo los agentes vocales de servicio al cliente) deben mantener una documentación técnica accesible a las autoridades
- Gestión de sesgos: Los sistemas deben ser objeto de una evaluación de sesgos potenciales, especialmente para los sistemas que influyen en decisiones (asignación de crédito, aceptación de siniestros, scoring de fraude)
Los sectores con restricciones específicas
El médico (HDS) impone que cualquier dato de salud recopilado o tratado a través de un agente vocal sea alojado por un proveedor certificado HDS. Los datos vocales de un paciente que llama para una cita médica no necesariamente contienen datos de salud — pero tan pronto como la conversación trata sobre una patología, un tratamiento o una prescripción, se aplica el perímetro HDS.
El banco y los seguros deben cumplir con los requisitos de archivo prudencial (ACPR): conservación de las pruebas contractuales (grabación del consentimiento) durante la duración del contrato + 5 años. Los sistemas de verificación de identidad vocal deben estar documentados y ser auditables.
"La conformidad RGPD no es un obstáculo para el despliegue de la IA vocal — es un marco que obliga a construir sistemas más robustos y más dignos de confianza." — DPO, grupo de servicios financieros francés
Lista de verificación de conformidad RGPD para su despliegue de IA vocal
- Registro de actividades de tratamiento actualizado con el tratamiento vocal
- DPA firmado con su proveedor de IA vocal
- Alojamiento de datos en la UE documentado
- Información previa registrada al inicio de la llamada
- Duraciones de conservación definidas e implementadas técnicamente
- Procedimiento para ejercer derechos (acceso, eliminación, portabilidad)
- Documentación de la Ley de IA si es aplicable a su sector
- Formación de equipos sobre los derechos de los usuarios