Acuerdo de Tratamiento de Datos
Última actualización: 3 de abril de 2026
1. Partes
Responsable del tratamiento: Usted («Cliente») — el desplegador de IA, agencia o plataforma que utiliza los servicios de Audact.
Encargado del tratamiento: Audact Ltd («Audact») — trata los metadatos de interacción en su nombre.
2. Alcance del tratamiento
Categorías de datos: Metadatos de llamadas (marcas de tiempo, identificadores de jurisdicción, decisiones de políticas, resultados de validación, hashes de evidencia, registros de consentimiento).
No tratados: Contenido de la conversación, grabaciones de audio, datos personales más allá de lo necesario para la validación de compliance. Todos los datos personales están cifrados con claves por interesado y sujetos a destrucción criptográfica ante solicitud de supresión.
Finalidad: Validación de compliance, generación de evidencia y mantenimiento del rastro de auditoría según las instrucciones del Cliente.
3. Subencargados
Todos los terceros que tratan datos en nombre de Audact o de nuestros clientes. Esta lista se mantiene según lo exigido por el Artículo 28 del RGPD.
| Subencargado | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| AWS (Frankfurt) | Alojamiento de infraestructura | Todos los datos de la plataforma | UE (Frankfurt) |
| Cloudflare | CDN, DNS, protección DDoS | Metadatos de solicitudes | UE + edge global |
| Telnyx | Telefonía SIP | Audio de llamada en tránsito, metadatos de telefonía | PoPs UE — CCT |
| LiveKit Cloud | Transporte WebRTC, detección de turno | Audio en tránsito (sin retención) | Región UE |
| Deepgram Nova-3 | Voz a texto (predeterminado) | Audio en tránsito (sin retención configurada) | EE. UU. (endpoint UE) — CCT |
| ElevenLabs Flash | Texto a voz (predeterminado) | Texto generado por LLM | EE. UU./UE — CCT |
| OpenAI / Anthropic | Inferencia LLM (GPT-4o-mini predeterminado, Claude Sonnet premium) | Texto conversacional (sin retención configurada) | EE. UU. (endpoint UE donde disponible) — CCT |
| Google Workspace | Correo electrónico, documentos | Comunicaciones empresariales | EE. UU./UE — CCT |
| Slack | Comunicaciones internas | Mensajes internos | EE. UU. — CCT |
| Notion | Wiki / gestión de proyectos | Datos operativos internos | EE. UU. — CCT |
| 1Password | Gestión de credenciales | Credenciales cifradas | Canadá/UE |
| Stripe (cuando esté activo) | Procesamiento de pagos | Datos de facturación | EE. UU./IE — CCT |
Los subencargados con sede en EE. UU. operan bajo Cláusulas Contractuales Tipo (CCT) como mecanismo de transferencia conforme al Capítulo V del RGPD.
Le notificaremos con 30 días de antelación antes de agregar o sustituir un subencargado. Podrá oponerse en un plazo de 14 días.
Última actualización: 12 de abril de 2026
4. Residencia de datos
Todos los datos de compliance del Cliente (metadatos de interacción, cadenas de evidencia, registros de auditoría) se almacenan y tratan exclusivamente dentro del Espacio Económico Europeo (EEE) en AWS eu-central-1 (Frankfurt).
Algunos subencargados indicados anteriormente tienen sede en EE. UU. y tratan datos operativos limitados bajo Cláusulas Contractuales Tipo (CCT). Ningún dato de compliance del Cliente abandona el EEE.
5. Medidas de seguridad (RGPD Art. 32)
- Cifrado en reposo (AES-256) y en tránsito (TLS 1.3)
- Claves de cifrado por interesado para datos personales (capacidad de destrucción criptográfica)
- Cadenas de hash SHA-256 para la integridad de la evidencia
- Control de acceso basado en roles (RBAC)
- SOC 2 Tipo II previsto para 2027
- Pruebas de penetración y análisis de vulnerabilidades periódicos
6. Derechos de los interesados
Audact asiste al Cliente en el cumplimiento de las solicitudes de los interesados (acceso, rectificación, supresión, portabilidad) en un plazo de 72 horas desde la notificación. La supresión se implementa mediante destrucción criptográfica: se destruye la clave de cifrado por interesado, lo que hace que los datos personales sean permanentemente ilegibles mientras se preserva la integridad de la cadena de evidencia.
7. Notificación de brechas
Audact notificará al Cliente cualquier brecha de datos personales en un plazo de 36 horas desde que tenga conocimiento de ella. La notificación incluirá: la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de registros, las consecuencias probables y las medidas adoptadas.
8. Duración y rescisión
Este ATD está vigente durante la duración del acuerdo de servicio. Tras la rescisión, Audact eliminará o devolverá todos los datos del Cliente en un plazo de 30 días, salvo que la legislación exija su conservación (requisitos de evidencia de la Ley de IA de la UE).
9. Contacto
Consultas sobre el ATD: dpo@audact.ai