Does Audact store conversation content?

No. Audact retains only compliance metadata and cryptographic evidence hashes — enough to prove compliance, nothing more.

Where is data stored?

Exclusively in the EU. Primary region AWS Frankfurt (eu-central-1), backup AWS Amsterdam (eu-west-1). No data leaves the European Union.

How are erasure requests handled?

Via crypto-shredding (Patent P7): the encryption key is destroyed, rendering the associated data permanently unrecoverable while the evidence chain integrity is preserved.

Is Audact a data processor or controller?

Audact acts as a data processor. The customer remains the data controller and Audact processes data solely on the controller's documented instructions.

Cumplimiento de IA con el RGPD — Almacenamiento exclusivo en la UE y borrado criptográfico

Última actualización: 8 de abril de 2026 · 8 min de lectura · Revisado por el equipo de compliance de Audact

Cómo gestiona Audact el RGPD

Almacenamiento de datos exclusivamente en la UE

Todos los datos se almacenan exclusivamente en la UE. Región principal: AWS Frankfurt (eu-central-1). Región de respaldo: AWS Ámsterdam (eu-west-1). Ningún dato sale de la Unión Europea.

Sin almacenamiento del contenido de las conversaciones

Audact nunca almacena el contenido de las conversaciones. Solo se retienen los metadatos de compliance y los hashes de evidencia criptográfica: suficiente para demostrar el cumplimiento, nada más.

Borrado criptográfico para la supresión

Las solicitudes de supresión del interesado se gestionan mediante borrado criptográfico (Patente P7). La clave de cifrado se destruye, haciendo todos los datos asociados permanentemente irrecuperables, mientras se mantiene la integridad de la cadena de evidencia.

Integridad de la cadena de evidencia

Incluso después de que se destruyan los datos personales, la cadena de evidencia de compliance permanece intacta. Los hashes criptográficos demuestran que se cumplieron las obligaciones de compliance, sin retener ningún dato personal.

Artículo 22 del RGPD: toma de decisiones automatizada e IA

El Artículo 22 otorga a cada interesado el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de manera similar. Para los desplegadores de IA, esta es la disposición más relevante del RGPD: un sistema de IA que deniega un préstamo, rechaza a un candidato, activa un bloqueo por fraude o programa una audiencia disciplinaria sin revisión humana significativa cae de lleno dentro del Artículo 22.

Existen vías legales: consentimiento explícito, necesidad para un contrato, o autorización bajo la ley de la Unión/Estado miembro con salvaguardias adecuadas. En todos los casos, el responsable debe proporcionar información significativa sobre la lógica involucrada, el significado del tratamiento y dar al interesado el derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión. El Tribunal de Justicia de la Unión Europea confirmó en SCHUFA (C-634/21, 2023) que la puntuación de probabilidad utilizada por terceros para impulsar una decisión es en sí misma 'toma de decisiones automatizada', ampliando el Artículo 22 para los proveedores de IA.

Cómo los sistemas de IA activan las obligaciones de protección de datos del RGPD

El entrenamiento, el ajuste fino y la inferencia sobre datos personales son cada uno actividades de tratamiento distintas bajo el Artículo 4(2), y cada una requiere su propia base jurídica bajo el Artículo 6. Los agentes de voz, chatbots y flujos de trabajo agénticos ingieren rutinariamente nombres, números de teléfono, biometría de voz y contenido que revela salud, creencias o sexualidad, lo que puede escalar el tratamiento a datos de categoría especial bajo el Artículo 9, requiriendo una base más sólida como el consentimiento explícito o el interés público sustancial.

Una Evaluación de impacto en la protección de datos (Artículo 35) es efectivamente obligatoria para la mayoría de los despliegues de IA orientados al cliente: combinan monitoreo sistemático, tecnología nueva y a menudo interesados vulnerables. Los responsables también deben cumplir con los deberes de transparencia de los Artículos 13-14 en el momento de la recogida de datos, un deber que los agentes de voz de IA a menudo no cumplen porque la divulgación llega demasiado tarde en la conversación.

Transferencias transfronterizas de datos bajo el RGPD para proveedores de IA

El Capítulo V del RGPD restringe las transferencias de datos personales fuera del EEE. Tras Schrems II, los responsables deben realizar una Evaluación de impacto de la transferencia cuando utilizan Cláusulas Contractuales Estándar, y el Marco de Privacidad de Datos UE-EE. UU. proporciona actualmente el único puente de adecuación hacia los Estados Unidos. Muchos proveedores populares de IA (OpenAI, Anthropic, Google) procesan datos de la UE en infraestructura con sede en EE. UU. bajo DPF o CCS, lo que desplaza la carga de la diligencia debida hacia el cliente.

Audact soluciona esto operando exclusivamente dentro de la UE: el tráfico de inferencia, los metadatos, las claves y las copias de seguridad permanecen dentro de AWS Frankfurt y Ámsterdam. Nunca ocurre ninguna transferencia del Capítulo V, eliminando la carga de la EIT y eliminando la dependencia de la estabilidad política continua del DPF.

Roles en el tratamiento de datos

Audact opera como encargado del tratamiento de datos. El cliente sigue siendo el responsable del tratamiento en todo momento. Audact trata los datos únicamente en nombre del responsable y bajo sus instrucciones.

Acuerdo de tratamiento de datos

Nuestro DPA estándar está disponible en /legal/dpa. Los clientes Enterprise pueden solicitar un DPA personalizado.

Contacto

Para consultas relacionadas con la privacidad, contáctenos en privacy@audact.ai.

Preguntas frecuentes

¿Almacena Audact el contenido de las conversaciones?

No. Audact retiene solo metadatos de compliance y hashes de evidencia criptográfica: suficiente para demostrar el cumplimiento, nada más.

¿Dónde se almacenan los datos?

Exclusivamente en la UE. Región principal AWS Frankfurt (eu-central-1), respaldo AWS Ámsterdam (eu-west-1). Ningún dato sale de la Unión Europea.

¿Cómo se gestionan las solicitudes de supresión?

Mediante borrado criptográfico (Patente P7): la clave de cifrado se destruye, haciendo los datos asociados permanentemente irrecuperables mientras se preserva la integridad de la cadena de evidencia.

¿Es Audact un encargado o responsable del tratamiento de datos?

Audact actúa como encargado del tratamiento de datos. El cliente sigue siendo el responsable del tratamiento y Audact trata los datos únicamente según las instrucciones documentadas del responsable.

Comparar leyes de compliance de IA de la UE

Ley	Plazo	A quién afecta	Sanción
Ley de IA de la UE Art. 50	2 ago 2026	Todos los desplegadores de IA en la UE	€7,5M / 1,5% de facturación
NL Telecomwet	1 jul 2026	Marketing saliente a consumidores de los Países Bajos	€900K / 10% de facturación
RGPD	En vigor	Cualquier tratante de datos personales de la UE	€20M / 4% de facturación
DSA	En vigor (feb 2024)	Intermediarios y VLOP	6% de facturación global
ePrivacy	En vigor	Remitentes de comunicaciones electrónicas	Varía según Estado miembro

Recursos de compliance relacionados

Aviso legal: Esta página es solo para fines informativos y no constituye asesoramiento jurídico. Consulte a un abogado cualificado para sus obligaciones de compliance específicas.

← Volver al inicio

Cumplimiento de IA con el RGPD con Audact