Compliance · Guía
Agentes IA conformes al RGPD — lo que realmente se necesita
El RGPD se aplica a toda plataforma de agentes IA que trate datos personales de residentes de la UE, independientemente de dónde esté la sede del proveedor. Cumplimiento significa más que un distintivo « cumplimos »: requiere una base jurídica por actividad de tratamiento, derechos del interesado implementados a nivel de datos, un DPA (contrato de tratamiento) firmado entre cliente y proveedor, almacenamiento aislado por inquilino, política transparente de entrenamiento de modelos y registros de auditoría que resistan una revisión reglamentaria. Para los agentes IA específicamente, el Artículo 22 (decisiones automatizadas) añade requisitos explícitos: el cliente — no el proveedor — debe determinar cuándo se requiere revisión humana.
El RGPD reformulado para plataformas de agentes IA
Los seis principios fundamentales del Artículo 5 del RGPD, traducidos a lo que significan para un proveedor de agentes IA.
Licitud, lealtad, transparencia
Toda actividad de tratamiento necesita una base jurídica (consentimiento, contrato, interés legítimo, etc.) registrada por acción. Los clientes obtienen transparencia sobre cómo los agentes razonan y deciden.
Limitación de la finalidad
Los datos recogidos para una acción de agente no pueden reutilizarse para otra sin una nueva base jurídica. Nada de cláusulas « usamos tus datos para mejorar nuestro producto ».
Minimización de datos
Los agentes acceden solo a los campos necesarios para la tarea específica. Los scopes mínimos de OAuth 2.0 lo imponen a nivel de integración.
Exactitud
Las salidas son auditables; las salidas incorrectas de agentes pueden corregirse o borrarse. El registro de auditoría rastrea cada versión de cada registro.
Limitación del plazo de conservación
Conservación configurable por el cliente por categoría de datos. Las transcripciones de conversaciones de agentes, las grabaciones de llamadas y los eventos CRM tienen todos TTL configurables.
Integridad y confidencialidad
Cifrado en reposo (AES-256) y en tránsito (TLS 1.3). Aislamiento de inquilinos criptográfico, no solo lógico. Objetivo de auditoría SOC 2 Type I Q3 2026.
10 implementaciones técnicas que prueban el cumplimiento del RGPD
Un proveedor puede afirmar cumplimiento. Estas son las implementaciones que lo demuestran cuando aparece un auditor.
Base jurídica por acción
Cada acción de agente registra su base jurídica (consentimiento, contrato, interés legítimo, obligación legal). Exportable por interesado bajo solicitud.
Exportación de acceso del interesado
Exportación en un clic de todo lo que la plataforma tiene sobre un interesado nombrado — CRM, correos, transcripciones de llamadas, salidas generadas por agentes.
Supresión a nivel de inquilino
La supresión se propaga por cada caché de agente y el grafo de datos compartido en 30 días. No « soft delete » — eliminación real con recibo de prueba de eliminación.
Exportación estructurada
Exportación legible por máquina (JSON, CSV) de todos los datos del cliente, no solo datos personales. Re-importable en plataformas competidoras mediante esquemas estándar.
Puerta de revisión humana
Las decisiones de alto riesgo (pagos por encima del umbral, bloqueos de cuenta, cláusulas contractuales de alto valor) requieren por defecto aprobación humana. Configurable por política del cliente.
Aislamiento de inquilinos
Aislamiento criptográfico de inquilinos desde la capa de base de datos hacia arriba. Sin vector stores compartidos, sin cachés de prompts compartidos entre clientes.
DPA con lista de subencargados
DPA (contrato de tratamiento) firmado entre cliente y proveedor. Lista de subencargados (incluidos proveedores LLM) publicada y versionada. Clientes notificados de cambios de subencargados con período de oposición.
Registro de auditoría
Registro de auditoría inmutable de cada acción de agente: marca de tiempo, identidad del agente, entrada, salida, confianza, base jurídica, identificador del interesado. Exportable para autoridad de control.
Cifrado + control de acceso
AES-256 en reposo, TLS 1.3 en tránsito. RBAC para operadores humanos. Agentes autenticados por solicitud. Rotación planificada de secretos.
Pipeline de brecha
Detección → triaje → notificación al cliente dentro de 72 horas de tomar conocimiento. Guionizado y ensayado trimestralmente.
Riesgos comunes del RGPD con agentes IA — y cómo mitigarlos
Los modos de fallo que buscan los auditores. Cada riesgo tiene un patrón de mitigación concreto.
Los proveedores LLM usan tus prompts para entrenar sus modelos.
Usar solo proveedores con cláusulas firmadas de no-entrenamiento sobre contenido del cliente. Verificarlo en el DPA, no solo en la página de marketing.
Transcripciones de conversaciones se filtran entre inquilinos vía un vector store compartido.
Exigir embeddings aislados por inquilino. Pedir al proveedor que muestre la estructura de la base de datos — las colecciones compartidas son una señal de alarma.
Los registros de agentes contienen datos personales conservados más allá de lo necesario.
Conservación de registros configurable por el cliente por categoría de datos. Por defecto 30 días para datos no regulados, 10 años solo para registros GoBD/fiscales.
Grabaciones de llamadas almacenadas sin consentimiento explícito.
El agente de llamada anuncia la grabación al inicio de la llamada. Consentimiento registrado en la pista de auditoría con marca de tiempo e identificador del llamante. Redacción en un clic bajo solicitud.
Subencargados fuera de la UE tratan datos personales.
Opción de residencia de datos solo UE. Si se usan subencargados de EE.UU., DPF (Data Privacy Framework) o SCC con evaluación de impacto de transferencia verificable.
Las decisiones de los agentes no pueden impugnarse porque el razonamiento es opaco.
Cada decisión de agente registra su traza de razonamiento. Los interesados obtienen el razonamiento (en lenguaje claro) bajo solicitud del Artículo 15.
Una integración olvidada conserva tokens OAuth después de tu cancelación.
La revocación de tokens en cancelación es automática. El cliente también puede revocar en la fuente (configuración de cuenta Google / Microsoft) con un clic.
Qué buscar en el DPA del proveedor
Solicita la plantilla del DPA antes de la compra, no durante el onboarding. Estas son las cláusulas que más importan.
- ✓Cláusula explícita de no-entrenamiento: el contenido del cliente nunca se usa para entrenar modelos, sin letra pequeña de opt-out
- ✓Lista de subencargados adjunta, versionada y período de notificación antes de cambios (30 días mínimo)
- ✓Plazos de gestión de solicitudes de interesados: acceso Artículo 15 en 30 días, supresión Artículo 17 en 30 días incluyendo cascada de encargados downstream
- ✓Derechos de auditoría: el cliente puede auditar los controles de seguridad del proveedor anualmente o con más frecuencia por causa
- ✓Notificación de brecha: 48 horas entre conocimiento del proveedor y notificación al cliente (más estricto que la notificación a autoridades de 72 horas del RGPD)
- ✓Compromiso de residencia de datos: dónde se almacenan, tratan, respaldan los datos — por escrito, no « típicamente UE »
- ✓Devolución y eliminación al término: datos devueltos en formato portable en 30 días; recibo de eliminación emitido en 60 días
- ✓Claridad del tope de responsabilidad: específicamente para violaciones de protección de datos, separado del tope de responsabilidad general
- ✓Ley aplicable y jurisdicción: idealmente Estado miembro de la UE del cliente, no jurisdicción de origen del proveedor
Checklist RGPD para compradores de agentes IA — 12 puntos
Imprímela. Envíala al proveedor antes del contrato. Si alguna respuesta es « estamos trabajando en ello », retrasa la compra.
Contrato de tratamiento de datos
¿El proveedor firma un DPA conforme al RGPD como estándar, no negociado por cliente?
Sin entrenamiento por contrato
¿« Nunca entrenamos sobre contenido del cliente » figura en el DPA mismo, no solo en el sitio web?
Aislamiento de inquilinos
¿El aislamiento de inquilinos es criptográfico — claves de cifrado separadas por cliente — o solo particionamiento lógico?
Transparencia de subencargados
¿Hay una lista pública de subencargados con historial de versiones? ¿Está listado el proveedor LLM?
Residencia de datos
¿Dónde se almacenan, tratan y respaldan los datos del cliente? ¿Es una opción solo UE?
Exportación derecho de acceso
¿Puedes activar una exportación completa del Artículo 15 desde la UI de admin, o requiere un ticket de soporte?
Cascada derecho de supresión
¿La supresión se propaga a todas las cachés de agentes, vector stores y subencargados en 30 días?
Revisión humana Artículo 22
¿Puedes configurar qué decisiones de agentes requieren aprobación humana? Por defecto aprobación para acciones destructivas.
Exportación registro de auditoría
¿El registro de auditoría es exportable en un formato utilizable para consultas de autoridades de control (JSON, CSV)?
Tiempo de notificación de brecha
¿El proveedor se compromete a notificarte en 48–72 horas tras tomar conocimiento de una brecha?
Consentimiento llamada telefónica
Si se usan agentes de voz, ¿la plataforma maneja reglas de consentimiento específicas por jurisdicción (bilateral en DE/AT/CH)?
Plan de salida
Si cancelas, ¿hay un proceso documentado de devolución y eliminación con recibo de eliminación?
Preguntas frecuentes
¿Una plataforma de agentes IA es responsable del tratamiento o encargado del tratamiento según el RGPD?+
En casi todos los escenarios PYME, el cliente es el responsable del tratamiento y la plataforma de agentes IA es el encargado del tratamiento. La plataforma opera según las instrucciones del cliente, trata datos en el inquilino del cliente y no determina los fines del tratamiento.
¿El Artículo 22 (decisiones automatizadas) prohíbe los agentes IA?+
No. El Artículo 22 exige que los interesados tengan derecho a revisión humana para decisiones con efectos jurídicos o similarmente significativos. Las plataformas de agentes IA cumplen ofreciendo puertas de aprobación humana configurables por tipo de decisión. Los clientes (responsables del tratamiento) configuran qué decisiones pasan por revisión humana.
¿Puedo usar una plataforma de agentes IA con sede en EE.UU. bajo el RGPD?+
Sí, si el proveedor opera bajo el Data Privacy Framework UE-EE.UU. o usa Cláusulas Contractuales Estándar con una Evaluación de Impacto de Transferencia válida. Pide la certificación DPF o la documentación SCC antes de firmar. Preferir proveedores con sede en la UE simplifica esto.
¿Los agentes IA caen bajo el EU AI Act además del RGPD?+
Sí. El EU AI Act añade requisitos de transparencia, clasificación de riesgo y supervisión humana sobre el RGPD. La mayoría de los agentes IA empresariales caen en « riesgo limitado » (requiriendo transparencia sobre el uso de IA), no « riesgo alto ». Los agentes de voz también caen bajo reglas de transparencia que exigen la divulgación de que el usuario está hablando con una IA.
¿Cuál es el mayor factor de riesgo del RGPD para compradores de agentes IA?+
Las cláusulas de entrenamiento. Muchos proveedores optan por defecto por opt-out por funcionalidad para la mejora de modelos, lo cual es prácticamente inaplicable para PYMEs con muchos usuarios. Insiste en no-entrenamiento por defecto contractual en el DPA.
¿Las grabaciones de llamadas bajo el RGPD siempre requieren consentimiento?+
En Austria, Alemania y Suiza: sí, ambas partes deben consentir antes de la grabación. En otros Estados miembros de la UE, las reglas de consentimiento varían. Una plataforma de agentes de voz conforme anuncia la grabación al inicio de la llamada y registra el consentimiento en la pista de auditoría — haciéndolo funcionar en todas las jurisdicciones.
¿Cuánto tiempo debo conservar los registros de auditoría de agentes?+
Para datos empresariales no regulados: elección del cliente, por defecto 30 días. Para acciones fiscales (facturas, pagos): 10 años bajo GoBD (DE) / RGS (AT). El agente de compliance separa los dos para que no conserves en exceso datos no fiscales.
Obtén el DPA antes de comprar
Reserva una sesión de 30 minutos con nuestro equipo de compliance. Repasamos el DPA completo, la lista de subencargados y respondemos cada una de las 12 preguntas de la checklist oficialmente.