RGPD y protección de datos

Solo tratamos un dato cuando una base legal lo justifica (artículo 6 del RGPD): la ejecución del contrato que nos vincula con el profesional, el interés legítimo en garantizar la continuidad de su atención telefónica, o el consentimiento cuando es necesario. Cuando se graba una llamada para acreditar la prueba de una cita o de un compromiso, la grabación solo se conserva si es realmente necesaria para ese fin. Cada finalidad se define con antelación; ningún dato se reutiliza para un uso no previsto.

Recopilamos lo estrictamente necesario para la cualificación de la llamada y la concertación de la cita, nada más. Las transcripciones y grabaciones se conservan durante un plazo limitado, proporcional a su finalidad, y después se eliminan o anonimizan.

• Plazos de conservación definidos por finalidad y documentados en nuestra política de privacidad.
• Base de datos y almacenamiento alojados en la Unión Europea (Supabase, región UE, Fráncfort).
• Accesos restringidos únicamente a las personas autorizadas, en el marco de sus funciones.

Hacer funcionar un agente vocal implica recurrir a proveedores técnicos (telefonía, transcripción, modelo de lenguaje, alojamiento, correos electrónicos). Cada uno interviene en calidad de encargado del tratamiento, regulado por un acuerdo de tratamiento de datos (DPA, artículo 28 del RGPD) que precisa el tratamiento siguiendo únicamente nuestras instrucciones, la confidencialidad, las medidas de seguridad y el destino de los datos al finalizar el contrato.

Damos prioridad a un alojamiento europeo. Cuando es necesaria una transferencia fuera de la Unión Europea, se apoya en el mecanismo adecuado para el proveedor en cuestión: bien una decisión de adecuación de la Comisión Europea (por ejemplo el Data Privacy Framework para las entidades estadounidenses certificadas), bien cláusulas contractuales tipo acompañadas de una evaluación de las garantías ofrecidas. Nunca presentamos una transferencia como inexistente: describimos el marco real que se aplica.

De conformidad con el artículo 32 del RGPD, aplicamos medidas técnicas y organizativas adaptadas al riesgo: control de accesos, cifrado de los datos en tránsito y en reposo en nuestros proveedores de alojamiento, y registro de las operaciones sensibles. En caso de violación de datos que pueda suponer un riesgo, se informa al responsable del tratamiento lo antes posible para que pueda cumplir sus obligaciones.

Toda persona afectada —en primer lugar quien llama— puede ejercer los derechos previstos por el RGPD: acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación (art. 18), portabilidad (art. 20) y oposición (art. 21). Cuando una decisión que produzca efectos significativos se tome de forma totalmente automatizada, el artículo 22 también reconoce un derecho a la intervención humana. Estas solicitudes reciben respuesta en el plazo de un mes (art. 12), prorrogable si es necesario.

Para saber más sobre los tratamientos realizados, consulte nuestra política de privacidad. Para ejercer un derecho o plantear una pregunta, escríbanos a través de la página de contacto.