Política de Privacidad

El responsable del tratamiento de los datos personales recogidos a través de la plataforma callseller es:

• Responsable: IA Business Pro (operador comercial de callseller).
• Producto: callseller (callseller.iabusinesspro.com).
• Contacto para asuntos de privacidad: soporte@iabusinesspro.com.

callseller es un SaaS multi-tenant que permite a empresas crear agentes de inteligencia artificial para realizar llamadas telefónicas salientes con fines comerciales. Esta política se aplica a (a) usuarios registrados de la plataforma y (b) personas físicas contactadas por agentes operados desde la plataforma por clientes terceros.

Tratamos las siguientes categorías de datos personales, con las finalidades que se indican:

• Datos de cuenta del cliente: nombre, email, contraseña hash, organización. Finalidad: alta y mantenimiento de la cuenta, autenticación, facturación, soporte.
• Datos de configuración del agente IA: prompts, dossier, integraciones con CRM/calendario. Finalidad: prestar el servicio contratado.
• Números de teléfono y nombre del contacto llamado: proporcionados por el cliente que opera la campaña o introducidos manualmente. Finalidad: ejecución de llamadas salientes solicitadas por nuestro cliente.
• Grabaciones de llamada y transcripciones generadas por IA: audio μ-law 8 kHz y texto. Finalidad: prestar el servicio, generar resultados y permitir al cliente revisar la conversación.
• Resultados estructurados procesados por modelos de lenguaje: disposición de la llamada, éxito comercial, titular, próximo paso. Finalidad: KPIs y seguimiento comercial.
• Datos de uso y registros técnicos: logs de eventos, dirección IP, timestamps de acceso. Finalidad: seguridad, prevención de abuso, auditoría.

Las bases legales aplicables, conforme al Art. 6.1 RGPD, son:

• Ejecución de un contrato (Art. 6.1.b): para los usuarios registrados, el tratamiento de sus datos de cuenta y configuración deriva de las condiciones de uso del servicio.
• Interés legítimo (Art. 6.1.f): en llamadas B2B (de empresa a empresa), nuestro cliente puede basarse en interés legítimo siempre que el contacto esté relacionado con la actividad profesional de la persona física llamada y se haya realizado ponderación previa. callseller actúa como encargado del tratamiento del cliente en esos casos.
• Consentimiento (Art. 6.1.a): en llamadas B2C dirigidas a consumidores particulares, la base legal habilitante recae en el consentimiento previo, libre e informado obtenido por nuestro cliente. callseller verifica disponibilidad de campos de consentimiento en la importación de contactos, pero la obtención efectiva del consentimiento es responsabilidad de quien opera la campaña.
• Obligación legal (Art. 6.1.c): conservación de registros para cumplimiento fiscal, listas de exclusión obligatorias (p. ej. Lista Robinson en España) y respuesta a requerimientos de autoridades.

Todas las llamadas salientes ejecutadas a través de callseller incorporan las siguientes medidas de cumplimiento:

• Declaración de IA (AI Act UE): al inicio de cada llamada el agente declara expresamente que el interlocutor es un sistema de inteligencia artificial. Esta declaración es obligatoria por diseño y no puede desactivarse.
• Ventana horaria L-V 9-21h: conforme al Art. 23 de la Ley General para la Defensa de los Consumidores y Usuarios (RDLeg 1/2007), aplicamos una ventana horaria por defecto que impide originar llamadas fuera de ese rango (zona horaria Europa/Madrid).
• Listas de exclusión: antes de cada llamada se verifica (a) la lista de exclusión de la organización, (b) la lista de exclusión global de la plataforma (alimentada por la Lista Robinson, denuncias de abuso y solicitudes RGPD).
• Identificación del llamante: presentamos número CLI legítimo asignado por nuestro proveedor de trunk SIP con cobertura España.

Aplicamos los siguientes plazos de conservación:

• Transcripciones y grabaciones de llamadas: 90 días por defecto. Cada organización puede configurar un plazo distinto (mínimo 30, máximo 730 días). Pasado el plazo, un proceso automático diario elimina el contenido de la transcripción, la grabación y el nombre del contacto, conservando únicamente metadatos agregados (fecha, duración, disposición) sin contenido personal.
• Datos de cuenta de cliente: mientras la cuenta esté activa y hasta 6 años desde su cierre para cumplimiento contable y fiscal.
• Registros de auditoría y seguridad: 12 meses.
• Contactos importados por el cliente: bajo control del cliente. Se eliminan automáticamente al ejecutar una solicitud RGPD de supresión.

Conforme a los artículos 15 a 22 del RGPD, puedes ejercer los siguientes derechos:

• Acceso (Art. 15): obtener confirmación de si tratamos tus datos y copia de los mismos.
• Rectificación (Art. 16): corregir datos inexactos o incompletos.
• Supresión / derecho al olvido (Art. 17): eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento.
• Limitación (Art. 18): suspender el tratamiento mientras se verifica una reclamación.
• Portabilidad (Art. 20): recibir tus datos en formato estructurado (JSON) y, si es técnicamente posible, transmitirlos a otro responsable.
• Oposición (Art. 21): oponerte a tratamientos basados en interés legítimo, incluyendo la prospección comercial.

Cómo ejercerlos:

• Email directo: soporte@iabusinesspro.com indicando qué derecho deseas ejercer y aportando documento que acredite tu identidad.
• API pública de supresión: POST /api/v1/rgpd/erasure con cabecera Authorization: Bearer <api-key> y body {"phone":"+34..."}. La solicitud queda registrada y se procesa en un máximo de 30 días naturales.

Plazo de respuesta: 30 días naturales (ampliables a 60 en casos complejos con notificación previa, Art. 12.3 RGPD).

Derecho a reclamar ante la autoridad de control: si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar reclamación ante la Agencia Española de Protección de Datos (aepd.es).

Para prestar el servicio recurrimos a los siguientes encargados de tratamiento, seleccionados por sus garantías técnicas y organizativas:

• Hetzner (Alemania, UE): alojamiento de servidores. Transferencia intra-UE, sin necesidad de garantías adicionales.
• Zadarma (Chipre/España, UE): trunk SIP y numeración España.
• Deepgram, Inc. (Estados Unidos): transcripción de voz a texto. La transferencia se ampara en cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea conforme al Art. 46 RGPD.
• Anthropic PBC (Estados Unidos): procesamiento por modelo de lenguaje (Claude). Procesamiento puntual de transcripciones para generar resultados estructurados. Transferencia amparada en SCC (Art. 46 RGPD). Anthropic ofrece adicionalmente compromisos de no entrenamiento de modelos con datos de cliente.
• Cartesia, Inc. (Estados Unidos): síntesis de voz (text-to-speech). Recibe únicamente el texto que el agente debe vocalizar, sin metadatos del destinatario. Transferencia amparada en SCC (Art. 46 RGPD).
• Cloudflare (Estados Unidos): CDN y protección frente a ataques. Transferencia amparada en SCC y certificación EU-US Data Privacy Framework.

Todos los encargados están vinculados por contratos de encargo conforme al Art. 28 RGPD, con obligación de notificar brechas, restricciones a la subcontratación y devolución/destrucción de datos al finalizar el servicio.

Aplicamos medidas técnicas y organizativas apropiadas al nivel de riesgo: cifrado en tránsito (TLS 1.3), cifrado en reposo de credenciales sensibles, control de acceso por roles (RBAC), registro de auditoría inmutable de acciones administrativas, separación lógica de datos por organización (tenant isolation), revisión periódica de dependencias y prácticas seguras de desarrollo.

En caso de incidente que pueda suponer un riesgo para tus derechos y libertades, lo notificaremos a la autoridad de control en un plazo máximo de 72 horas y, cuando proceda, a las personas afectadas.

callseller utiliza modelos de lenguaje para clasificar el resultado de cada llamada (disposición, éxito comercial). Esta clasificación es estadística y se usa para los KPIs internos del cliente. No produce efectos jurídicos ni decisiones automatizadas con efecto significativo sobre el titular conforme al Art. 22 RGPD.

Podemos actualizar esta política para reflejar cambios en el servicio o en la normativa aplicable. La versión vigente se publica en esta página con su fecha y número de versión. Los cambios sustanciales se notifican a las cuentas activas con al menos 15 días de antelación.

Para cualquier consulta o ejercicio de derechos: soporte@iabusinesspro.com.