Logotipo de OfiVoiceOfiVoice
Legal

RGPD y asistentes de voz: lo que tu negocio debe saber

Qué exige el RGPD cuando una IA atiende tu teléfono: deber de información, base de legitimación, grabaciones, contrato de encargado y un checklist de cumplimiento. Riguroso y en llano, sin sustituir al asesoramiento profesional.

Publicado el Actualizado el 8 min de lectura

Respuesta rápida

Sí, tu negocio puede usar un asistente de voz con IA cumpliendo el RGPD, con cuatro deberes básicos: informar a quien llama (de que habla con una IA y de que se tratan sus datos), tener una base de legitimación, firmar un contrato de encargado del tratamiento con el proveedor y limitar qué se graba y cuánto tiempo se conserva.

Aviso importante: este artículo es divulgativo y no constituye asesoramiento jurídico. Para tu caso concreto —especialmente si tratas datos de salud u otras categorías especiales— consulta a un profesional.

Qué datos trata un asistente de voz

Cuando una IA atiende tu teléfono trata, como mínimo: el número de quien llama, el audio de la conversación, su transcripción y los datos que el llamante da voluntariamente (nombre, teléfono, motivo). Todos son datos personales a efectos del RGPD. Si tu negocio es sanitario, el motivo de la llamada puede rozar categorías especiales de datos (salud), lo que exige garantías reforzadas y hace más necesario el asesoramiento profesional.

Deber de información: qué hay que decir al descolgar

El RGPD (artículos 12 a 14) obliga a informar al interesado de forma concisa y accesible cuando se recogen sus datos. En una llamada, la práctica extendida —y la que la AEPD avala para casos análogos, como la grabación de llamadas de atención al cliente— es la información por capas:

Además, el Reglamento europeo de IA (Reglamento (UE) 2024/1689, artículo 50) añade una obligación de transparencia específica: las personas deben saber que interactúan con una máquina cuando no resulte evidente por el contexto. Un asistente que se presenta como tal al inicio de la llamada cumple esa expectativa.

Base de legitimación: por qué puedes tratar esos datos

Necesitas una base del artículo 6 del RGPD. En un asistente telefónico de negocio, las candidatas habituales son:

Lo importante: elige la base antes de arrancar, anótala en tu registro de actividades de tratamiento y sé coherente con ella en la locución y en la política de privacidad.

Grabación y transcripción de llamadas

Grabar o transcribir llamadas es lícito si se informa y existe base de legitimación; lo que no cabe es hacerlo en secreto. Tres reglas prácticas:

Tu proveedor es encargado del tratamiento

El proveedor del asistente (OfiVoice o cualquier otro) trata los datos por cuenta de tu negocio: tú eres el responsable del tratamiento y él, el encargado (artículo 28 del RGPD). Eso exige un contrato de encargo —a menudo incluido en las condiciones del servicio como acuerdo de tratamiento de datos o DPA— que fije qué datos se tratan, para qué, con qué medidas de seguridad y qué subencargados intervienen (por ejemplo, los proveedores de reconocimiento y síntesis de voz). Antes de contratar, pide ese documento; si un proveedor no lo tiene, mala señal.

Pregunta también dónde se procesan los datos: si hay transferencias fuera del Espacio Económico Europeo, deben ampararse en garantías válidas del capítulo V del RGPD (decisiones de adecuación, cláusulas contractuales tipo u otras).

Los derechos de quien llama

Los llamantes conservan sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. En la práctica significa que, si alguien te pide 'borra la grabación de mi llamada', debes poder localizarla y eliminarla —tú directamente o tu proveedor siguiendo tu instrucción— y responder en el plazo de un mes.

Checklist de cumplimiento

  1. Locución inicial que identifica el negocio, avisa del asistente automático y de la grabación o transcripción, y remite a la política de privacidad.
  2. Política de privacidad de la web actualizada para incluir este tratamiento.
  3. Base de legitimación elegida y documentada en el registro de actividades de tratamiento.
  4. Contrato de encargado del tratamiento (DPA) firmado con el proveedor, con sus subencargados identificados.
  5. Plazos de conservación definidos para audio, transcripción y resúmenes.
  6. Acceso restringido a los resúmenes de llamadas (buzón de email o panel).
  7. Procedimiento para atender los derechos de los interesados en el plazo de un mes.
  8. Si tratas datos de salud u otras categorías especiales: asesoramiento profesional y medidas reforzadas antes de arrancar.

En OfiVoice el servicio está diseñado para cumplir el RGPD: locución informativa, contrato de encargado del tratamiento y conservación limitada de los datos. Si estás valorando un asistente, así funciona y esto es lo que cuesta; y si vienes de cero, empieza por qué es una recepcionista virtual con IA.

Escrito por el equipo de OfiVoice, la recepcionista con IA para negocios locales. Trabajamos cada día con las llamadas reales de clínicas, talleres, peluquerías y otros negocios que viven del teléfono.

Preguntas frecuentes

¿Es legal que una IA conteste el teléfono de mi negocio?

Sí. Ninguna norma prohíbe atender llamadas con un sistema automático; lo que exigen el RGPD y el Reglamento de IA es transparencia (que el llamante sepa que habla con una máquina y que se tratan sus datos) y las garantías habituales de cualquier tratamiento: base jurídica, contrato con el proveedor, seguridad y plazos de conservación.

¿Tengo que pedir consentimiento para grabar las llamadas?

No necesariamente: el consentimiento es solo una de las bases posibles, y en la atención de llamadas de clientes suelen encajar mejor las medidas precontractuales o el interés legítimo, siempre informando al inicio de la llamada. Lo imprescindible es informar; la base concreta depende de tu caso y conviene documentarla por escrito.

¿Necesito un delegado de protección de datos (DPD) por usar un asistente de voz?

Usar un asistente de voz, por sí solo, no obliga a nombrar un DPD. La obligación depende de tu actividad (artículo 37 del RGPD y artículo 34 de la LOPDGDD): por ejemplo, los centros sanitarios obligados a mantener historia clínica deben tenerlo, usen IA o no. Si dudas, consúltalo con un profesional.

¿Qué pasa si mi proveedor de IA usa servicios de fuera de la UE?

Es habitual (motores de voz, modelos de lenguaje) y no es ilegal en sí, pero las transferencias internacionales deben ampararse en garantías válidas del capítulo V del RGPD: una decisión de adecuación, cláusulas contractuales tipo u otras. Pide al proveedor la lista de subencargados y la garantía que cubre a cada uno.

Sigue leyendo