Saltar al contenido
Documento informativo

IA y protección de datos

Cómo STAKKER SYSTEMS enfoca el uso de inteligencia artificial, RGPD, AI Act y protección de datos en agentes telefónicos, chatbots, automatizaciones y formularios.

Esta página es orientativa. No constituye asesoramiento jurídico. STAKKER diseña sistemas orientados al cumplimiento, pero el alcance legal concreto debe validarse caso a caso con un asesor legal o DPO del cliente.

Auditar mi casoRevisar automatización con IA

Enfoque general

STAKKER SYSTEMS construye sistemas con IA para automatizar atención, llamadas, mensajería, formularios, leads, reservas y procesos internos. Cuando esos sistemas tratan datos personales, lo hacen bajo Reglamento UE 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD), Ley 34/2002 (LSSI-CE) y Reglamento UE 2024/1689 (AI Act, en vigor por fases hasta 2027).

STAKKER actúa técnicamente como encargado del tratamiento de los datos del cliente. El cliente sigue siendo responsable del tratamiento frente a sus usuarios finales.

No prometemos cumplimiento absoluto. Diseñamos los sistemas para reducir riesgo, documentamos lo que hacen y dejamos al cliente lo necesario para que su DPO o asesor legal valide.

RGPD aplicado a sistemas IA

Cualquier sistema IA que reciba o procese información sobre una persona identificada o identificable trata datos personales: un agente telefónico que escucha al usuario, un chatbot que guarda conversaciones, un formulario que captura email, un workflow n8n que sincroniza un CRM.

STAKKER aplica los principios RGPD por defecto:

  • Licitud, lealtad, transparencia: el usuario sabe que está interactuando con IA y para qué.
  • Limitación de finalidad: los datos solo se usan para lo declarado.
  • Minimización: solo se recogen los datos necesarios.
  • Exactitud: el cliente puede rectificar y borrar datos cuando aplique.
  • Limitación del plazo de conservación: retención definida por defecto (ver Logs y retención).
  • Integridad y confidencialidad: cifrado en tránsito, cifrado en reposo donde aplica, control de acceso por rol (RBAC).
  • Responsabilidad proactiva: registro de actividades, evaluaciones cuando proceda y documentación del sistema.

Cuando hace falta consentimiento

El consentimiento explícito (art. 6.1.a RGPD) suele ser la base legal cuando el tratamiento no está cubierto por contrato, obligación legal, interés vital, misión de interés público o interés legítimo. Casos típicos en sistemas IA:

  • Comunicaciones comerciales por email, SMS o WhatsApp (LSSI + RGPD).
  • Grabación de llamadas para fines distintos a la prueba contractual.
  • Llamadas salientes (outbound) sin relación contractual previa.
  • Cookies no esenciales o tecnologías de seguimiento.
  • Tratamientos basados en perfilado o decisiones automatizadas con efecto significativo (art. 22 RGPD).

Para outbound de voz IA, STAKKER exige que el cliente aporte base legal documentada (consentimiento previo o evaluación de interés legítimo / LIA). Sin esa base, no se activan campañas.

Tratamiento de datos personales

Los sistemas que construye STAKKER típicamente tratan:

  • Datos identificativos: nombre, email, teléfono, NIF/CIF.
  • Datos de contacto: dirección, código postal, perfil pro.
  • Datos de interacción: contenido de mensajes, transcripciones, preferencias declaradas, histórico.
  • Datos técnicos: IP, user agent, eventos de uso, logs de workflow.
  • Datos comerciales o contractuales según el sistema (CRM, facturación, agenda).

STAKKER no entrena modelos públicos con los datos del cliente. Cuando se usan modelos LLM externos (Claude, GPT, etc.), se opera con configuración que excluye uso para entrenamiento.

Datos sensibles (categorias especiales)

El RGPD considera categorías especiales (art. 9): salud, origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, orientación sexual, datos genéticos, biométricos y judiciales (art. 10).

STAKKER no acepta proyectos donde el sistema deba tratar datos sensibles salvo que el cliente cumpla todas estas condiciones:

  • DPO designado y acreditable.
  • Base legal explícita reforzada (art. 9.2 RGPD).
  • Evaluación de impacto (DPIA) previa al despliegue, art. 35.
  • Cifrado en tránsito y en reposo.
  • Control de acceso por rol y trazabilidad completa (audit log).
  • Revisión humana obligatoria en decisiones críticas.
  • Proveedores externos con garantías verificadas.

En clínicas, despachos jurídicos, RRHH o entornos similares STAKKER puede automatizar el lado no sensible del proceso (recepción, citas, recordatorios, FAQs administrativas) y derivar al humano cuando el flujo entra en territorio sensible.

Grabación de llamadas con IA

La grabación de llamadas en España exige base legal explícita (RGPD + LOPDGDD + jurisprudencia AEPD) e información previa al inicio de la llamada. STAKKER aplica por defecto:

  • No se graba audio salvo petición expresa del cliente con base legal documentada.
  • Cuando se graba, hay aviso al inicio de la llamada ("esta llamada está siendo atendida por un asistente virtual y puede ser grabada con fines X").
  • Se almacenan transcripciones de texto antes que el audio cuando es viable.
  • Retención por defecto 30-90 días, configurable contractual.
  • Cifrado en reposo y acceso restringido al equipo necesario.

Para llamadas salientes (outbound) STAKKER exige especialmente LIA o consentimiento previo del receptor. La AEPD ha publicado circulares advirtiendo sobre llamadas comerciales con IA sin consentimiento (referencia: AEPD junio 2023).

Encargados de tratamiento

STAKKER actúa como encargado del tratamiento (art. 28 RGPD) respecto a los datos personales del cliente. Antes de pasar a producción firmamos:

  • Contrato de encargo (DPA) con cláusulas art. 28 RGPD.
  • Lista de subencargados (proveedores externos) con identidad, país y finalidad.
  • Medidas técnicas y organizativas (cifrado, control de acceso, copias de seguridad, gestión de incidentes).
  • Procedimiento de notificación de brechas en plazos RGPD (72h al responsable).
  • Compromiso de confidencialidad del personal con acceso.
  • Devolución o supresión de datos al final del contrato.

Proveedores externos típicos

Los sistemas que construye STAKKER pueden involucrar subencargados. La lista exacta depende del proyecto y se documenta en el DPA. Proveedores frecuentes:

Infraestructura

Hetzner Online GmbH (Alemania, UE).

CDN y red

Cloudflare Inc. (Estados Unidos, con cláusulas tipo UE).

Modelos LLM

Anthropic PBC (Estados Unidos), OpenAI Inc. (Estados Unidos), DeepSeek u otros según el caso. Configurados sin uso para entrenamiento.

Voz IA

ElevenLabs Inc. (Estados Unidos), Vapi, Retell AI o equivalentes. Twilio Inc. (Estados Unidos) o equivalente como pasarela telefónica.

Email transaccional

Resend, Postmark, SendGrid u otros según el caso.

CRM y herramientas cliente

HubSpot, Pipedrive, Notion, Calendly, Cal.com, Slack, Telegram u otros que el cliente ya utilice.

Transferencias internacionales

Algunos proveedores están ubicados fuera del Espacio Económico Europeo (mayoritariamente Estados Unidos). STAKKER aplica las garantías previstas en el capítulo V RGPD:

  • Decisiones de adecuación (Data Privacy Framework EU-US para empresas adheridas).
  • Cláusulas Contractuales Tipo (Standard Contractual Clauses, SCC).
  • Medidas técnicas adicionales: cifrado, anonimización cuando aplique.

La lista exacta de transferencias y garantías se entrega al cliente con el DPA antes de producción.

Logs, trazabilidad y retención

STAKKER mantiene logs operativos para depuración, monitorización y trazabilidad. Por defecto:

  • Logs técnicos (errores, latencias, eventos de sistema): retención 30-90 días.
  • Transcripciones y conversaciones IA: retención configurable, por defecto 30-90 días para soporte y mejora del flujo.
  • Audio bruto de llamadas: solo si está activado, mismo plazo.
  • Logs de seguridad y acceso (auth, panel admin): retención ampliada por exigencia de seguridad.
  • Datos de negocio del cliente (CRM, agenda, facturas): según reglas del cliente y obligaciones fiscales aplicables.

Los plazos concretos se cierran en el DPA. El cliente puede solicitar borrado anticipado de conversaciones cuando exista base legal para hacerlo (ejercicio de derechos del usuario final).

Revisión humana y derivación

Por defecto los sistemas STAKKER tienen humano en el bucle:

  • Handoff a persona humana cuando el sistema detecta caso complejo, queja, vulnerabilidad o tema fuera de alcance.
  • El usuario final siempre puede solicitar hablar con persona humana.
  • Decisiones automatizadas con efecto significativo no se ejecutan sin verificación humana o sin haber declarado art. 22 RGPD al usuario y obtenido su base legal.
  • En sectores regulados (sanidad, financiero, jurídico) la validación humana es obligatoria antes de comunicar decisión al usuario final.

Límites del servicio

STAKKER no asume:

  • El rol de DPO del cliente.
  • Auditorías regulatorias sectoriales (sanidad, financiero, educativo, asegurador). Esas las realiza el asesor del cliente.
  • Validación jurídica final de textos legales propios del cliente (avisos, consentimientos, contratos B2C, términos).
  • Garantía de resultado comercial: STAKKER garantiza la implementación técnica acordada, no resultados comerciales específicos.
  • Responsabilidad sobre datos que el cliente tratase fuera del sistema construido por STAKKER.
  • Cobertura de incidentes derivados de configuración tomada por el cliente contra recomendación documentada de STAKKER.

STAKKER asume su responsabilidad como encargado técnico: diseñar, documentar, mantener y monitorizar el sistema; aplicar medidas técnicas y organizativas; notificar incidentes en plazo y cumplir las cláusulas del DPA.

Necesidad de contrato y DPA

Antes de pasar cualquier sistema a producción con datos personales reales, cliente y STAKKER firman:

  • Contrato de servicios con alcance, plazo, importes, soporte y garantías.
  • DPA (acuerdo de encargo del tratamiento) con cláusulas art. 28 RGPD, proveedores subencargados y medidas técnicas/organizativas.
  • Anexos específicos cuando aplica (LIA outbound voz, DPIA si tratamiento de alto riesgo, condiciones particulares por sector).

STAKKER no entrega credenciales de producción, ni realiza outbound real, ni activa flujos sobre usuarios reales sin esos documentos firmados.

Validacion legal del cliente

STAKKER es proveedor técnico, no firma jurídica. El cliente debe validar con su asesor legal o DPO:

  • Adecuación del sistema a su sector concreto (sanidad, financiero, jurídico, educativo, menores, datos públicos).
  • Textos legales que el cliente publica en su web, formularios o contratos con sus usuarios finales.
  • Bases legales declaradas en cada flujo y compatibilidad con su política corporativa.
  • Necesidad de DPIA art. 35 RGPD en su caso.
  • Necesidad de adaptaciones por convenios sectoriales o regulación específica.

STAKKER puede colaborar con la asesoría del cliente y entregar la documentación técnica necesaria, pero no sustituye a esa asesoría.

Preguntas frecuentes

¿STAKKER ofrece asesoría jurídica?

No. STAKKER es proveedor técnico. Diseñamos sistemas orientados al cumplimiento, pero la validación jurídica concreta de cada caso (especialmente sectores regulados como sanidad, financiero o menores) debe hacerla un asesor legal o DPO del cliente.

¿Qué ocurre con las grabaciones de llamadas del agente IA?

Por defecto STAKKER no graba audio salvo que el cliente lo pida explícitamente y exista base legal documentada. Si se graba, se informa al inicio de la llamada, se aplica retención limitada (30-90 días por defecto) y se cifra en reposo.

¿Hay que firmar un DPA?

Sí. STAKKER actúa como encargado del tratamiento cuando procesa datos personales del cliente. Antes de pasar a producción firmamos contrato de encargo con lista de subencargados y medidas técnicas y organizativas.

¿Se puede usar IA con datos sensibles (salud, menores, judicial)?

Solo bajo condiciones reforzadas: DPO del cliente verificado, base legal explícita, evaluación de impacto (DPIA), proveedores con garantías adecuadas y casi siempre revisión humana obligatoria. Si el cliente no cumple estos requisitos, STAKKER no acepta el caso.

¿La IA puede tomar decisiones que afecten al usuario final?

STAKKER diseña sistemas con humano en el bucle por defecto. Decisiones automatizadas con efectos jurídicos o significativos sobre la persona requieren artículo 22 RGPD: información explícita, derecho a revisión humana y base legal distinta del consentimiento implícito.

¿Qué pasa con los datos al terminar el contrato?

El DPA establece la devolución o supresión de los datos personales tratados, según lo que el cliente indique. STAKKER documenta la operación y el cliente recibe constancia.

¿Cómo notificáis una brecha de seguridad?

STAKKER monitoriza incidentes y notifica al cliente sin demora indebida tras tener constancia. El cliente, como responsable del tratamiento, decide si procede notificar a la AEPD (72h art. 33 RGPD) o a los afectados (art. 34).

¿Cumple STAKKER el AI Act?

El Reglamento UE 2024/1689 entra por fases hasta 2027. STAKKER aplica desde ya las obligaciones vigentes (transparencia ante interacción con IA, prohibiciones de prácticas inaceptables) y prevé adaptaciones según el calendario de aplicación. Sistemas que califiquen como alto riesgo se auditan específicamente.

Más info sobre cumplimiento legal por servicio

Auditar mi caso

Si quieres revisar cómo adaptar tu chatbot, agente o automatización al RGPD y al AI Act, escríbenos. Diagnóstico inicial gratis.

Escribir por WhatsAppOtros canales

Página informativa. Última actualización: 3 de mayo de 2026. Cualquier modificación regulatoria sustancial se reflejará aquí. Esta página no sustituye al contrato ni al DPA firmados con cada cliente.