ES
Habla con un asesor
🇺🇸 888-298-ALLO
Pruébalo gratis
Características
Segundo Número
Separa el trabajo de tu vida personal
Reportes de Llamadas
Analiza tus llamadas
Transcripción de llamada IA
La IA toma notas por ti
Software IVR
Dirige las llamadas automáticamente
Sistema VoIP
Un número, todos tus dispositivos
Grabación de Llamadas
Cada palabra, siempre disponible
Respuesta de Texto
Respuesta automática en segundos
Recepcionista IA
No pierdas ninguna oportunidad
Buzón de Voz a Texto
Lee en vez de escuchar
Asistente de Llamadas IA
Pregunta lo que quieras sobre tus llamadas
Integraciones
Apollo
Attio
HubSpot
Notion
Odoo
Salesforce
Sellsy
Shopify
Streak
Webhook
Zapier
Zoho Flow
Recorrido completo
Comience con Allo
en
fr
es
Talk to Sales
☎️ 888-298-ALLO
Try for Free
Try for Free
Recording & Transcription

Cumplimiento de la grabación de llamadas en 2026

Entre «esta llamada puede grabarse por motivos de calidad» y cumplir realmente con las normas, hay una brecha en la que la mayoría de los equipos de ventas viven discretamente.

María Correa
Content Manager | SMB and VoIP expert
Actualizado: Mar 16, 2026

La llamada finaliza. Un resumen llega a tu CRM. Su representante pasa al siguiente cliente potencial.

Ese flujo de trabajo se produce miles de veces al día en todos los equipos de ventas de todo el mundo. Y en la mayoría de esos casos, nadie se ha detenido a hacerse una pregunta sencilla pero importante: ¿era legal?

Entre «esta llamada puede grabarse por motivos de calidad» y cumplir realmente con las normas, hay una brecha en la que la mayoría de los equipos de ventas viven discretamente.

Si lo hace mal, no solo está ante una conversación incómoda con el legal, sino que también se enfrenta a sanciones penales, demandas civiles y multas reglamentarias que pueden llegar a millones.

Esta guía explica qué significa realmente el cumplimiento de la grabación de llamadas, dónde se trazan los límites legales y cómo AlloLas herramientas de cumplimiento integradas permiten mantenerse protegido sin sacrificar la inteligencia de llamadas de la que depende su equipo.

Aspectos legales destacados

Todo lo contenido en esta guía está diseñado para ayudarlo a comprender sus opciones y configurar las herramientas de cumplimiento de Allo de manera efectiva. No es un consejo legal. Las leyes de grabación son realmente complejas, varían según la jurisdicción y cambian. Si tiene alguna pregunta específica sobre el cumplimiento de su empresa, especialmente si pertenece a una industria regulada, opera en varios países o ha tenido alguna consulta reglamentaria, consulte a un asesor legal.

Las herramientas de cumplimiento de Allo están diseñadas para lograr el cumplimiento sin sacrificar la inteligencia de llamadas de la que depende su equipo.. Sin embargo, las decisiones de configuración son suyas, idealmente en consulta con alguien que conozca las leyes específicas que se aplican a su situación.

Lectura rápida

A continuación, te explicamos cómo pensar en esto de forma práctica, según la forma en que funcione tu equipo.

Si te dedicas principalmente al correo entrante: Activa un mensaje de consentimiento en toda la organización. Todas las personas que llaman reciben una notificación antes de que se conecte la llamada. Estás protegido en los estados de consentimiento de todas las partes, en virtud del RGPD y en cualquier otra jurisdicción que exija la notificación. Almacena las grabaciones de acuerdo con tu política de retención.

Si realizas principalmente llamadas salientes, llamas a cualquier punto de EE. UU.: Habilitar Modo de privacidad para tus líneas salientes. Esto significa que no se almacenan archivos de audio, lo que elimina la exposición según las leyes de consentimiento de todos los partidos. Conservas las transcripciones completas y los resúmenes de IA. Capacite a los representantes para que abran convocatorias a posibles candidatos estatales con doble consentimiento mediante una divulgación verbal. Aplica el mismo enfoque cuando se incorpore la función de cumplimiento automático basada en códigos de área.

Si llamas a la UE: Habilite el mensaje de consentimiento para las llamadas entrantes con un mecanismo de aceptación afirmativa (presione 1 para dar su consentimiento). Usa el modo de privacidad para las llamadas salientes para minimizar la recopilación de datos. Configure la grabación a nivel de línea para mantener la proporcionalidad: no todas las líneas necesitan grabar todas las llamadas. Firma un DPA con Allo, establece la retención en 6 meses para el audio (recomendación de la CNIL) y considera la posibilidad de pasarte a Mistral para procesar la IA en Europa si la jurisdicción de los datos es importante para tus clientes.

Si llamas a Canadá: Habilita el mensaje de consentimiento para todas las llamadas entrantes. En el caso de las llamadas salientes, capacite a los representantes para que divulguen verbalmente la grabación desde el principio. Trate a Canadá como una jurisdicción de consentimiento de todas las partes, no como una jurisdicción de consentimiento de una sola parte. Si presta servicios a clientes de servicios financieros canadienses, prepárese para responder a las preguntas sobre la residencia de los datos y la ubicación de almacenamiento.

Si está recibiendo atención médica: Póngase en contacto con el servicio de asistencia de Allo para obtener información sobre la BAA de la HIPAA, configure la retención para cumplir con el mínimo de 6 años y asegúrese de que sus divulgaciones de consentimiento cubran específicamente el análisis mediante IA del contenido de las llamadas.

Si tienes un gran volumen de llamadas en Illinois: Obtenga asesoramiento legal específico sobre la BIPA y las funciones de identificación del hablante antes de habilitar cualquier análisis biométrico de voz.

*Todos los términos y especificaciones se explican a continuación. * Para los clientes empresariales, Allo ofrece un acuerdo de procesamiento de datos (DPA) completo como parte de su acuerdo maestro de servicio. La DPA define contractualmente las responsabilidades de cada parte en virtud del RGPD, y abarca el almacenamiento, la retención, la eliminación y los derechos de acceso de los datos.

El problema: las leyes de grabación son fragmentarias e implacables

La mayoría de los equipos de ventas parten del supuesto de que grabar una llamada está bien siempre y cuando haya un descargo de responsabilidad rápido al principio. Y en algunos lugares, eso es cierto. Pero «en algunos lugares» está haciendo mucho trabajo en esa frase.

Solo en los Estados Unidos, no existe una norma federal única para el consentimiento de grabación de llamadas. La línea de base federal, establecida por la Ley de privacidad de las comunicaciones electrónicas, sigue un modelo de consentimiento de una sola parte, lo que significa que solo una persona de la llamada (normalmente tú, la persona que graba) debe saber que la grabación está ocurriendo. Eso suena bastante sencillo. Sin embargo, 13 estados de EE. UU. han aprobado sus propias leyes de consentimiento, más estrictas para todas las partes, que exigen que todos los participantes de una llamada reciban una notificación y den su consentimiento antes de que comience la grabación.

Ahora imagine que dirige un equipo de ventas salientes de 15 personas que llama a los 50 estados. Su representante en Austin llama a un cliente potencial en California. Texas sigue las reglas federales de consentimiento de un solo partido. California es el estado de consentimiento de todas las partes más estricto del país, con sanciones penales por las infracciones. ¿Qué ley se aplica? La más estricta. Siempre.

Al otro lado del Atlántico, el Reglamento General de Protección de Datos de la UE establece un marco uniforme en todos los estados miembros, pero incluye su propio conjunto de requisitos en torno al consentimiento, el almacenamiento de datos, los plazos de eliminación y la documentación que van mucho más allá de un anuncio previo a la convocatoria. La autoridad de protección de datos de Francia, la CNIL, añade otro nivel de cumplimiento.

El marco federal de la PIPEDA de Canadá exige el conocimiento y el consentimiento de todas las partes para la grabación de llamadas, lo que lo acerca más al modelo de la UE que al modelo de base unipartidista de los Estados Unidos. Además de esto, la Ley 25 de Quebec añade requisitos provinciales adicionales. El Reino Unido mantiene estándares equivalentes al GDPR después del Brexit, con regulaciones adicionales sobre las grabaciones internas en virtud de la RIPA.

No se trata de abrumarte con acrónimos. El punto es que el mosaico de leyes superpuestas crea una verdadera exposición para cualquier equipo que grabe las llamadas sin una estrategia deliberada de cumplimiento. Y las consecuencias no son abstractas.

El consentimiento unipartidista frente al consentimiento de todos los partidos: la distinción fundamental

Lo más fundamental que hay que entender sobre el cumplimiento de la grabación de llamadas es la diferencia entre los marcos de consentimiento de una parte y de todas las partes (también denominados bipartidistas o bipartidistas).

Consentimiento de una sola parte significa que solo una persona de la llamada necesita saber que la grabación está ocurriendo. Si es usted quien graba, cumple con el requisito simplemente por estar presente. No es necesario que notifique a la otra parte. Esta es la base de referencia federal en los EE. UU. y se aplica en la mayoría de los estados de EE. UU., así como en algunos estados australianos, como Queensland.

Consentimiento de todas las partes significa que todos los participantes de la llamada deben estar informados y dar su consentimiento antes de que comience la grabación. Esta es la norma en 13 estados de EE. UU., incluidos California, Florida, Illinois, Massachusetts, Pensilvania y Washington, en toda la UE, en virtud del RGPD, en marcos equivalentes al RGPD, en el Reino Unido, en Canadá, en virtud de la PIPEDA, y en estados australianos como Nueva Gales del Sur y Victoria.

Aquí hay un matiz importante: en los EE. UU., «consentimiento» no significa necesariamente un «sí» verbal explícito. En muchas jurisdicciones de EE. UU., la participación continuada en la convocatoria tras una divulgación clara se considera consentimiento implícito. Esta es la razón por la que los anuncios previos a la llamada, como «Esta llamada puede grabarse por motivos de calidad y de formación», se utilizan tan ampliamente, que cumplen con el requisito de notificación, y la decisión de la persona que llama de permanecer en la línea constituye un consentimiento en la mayoría de las jurisdicciones de los Estados Unidos en las que todos los partidos son partes. Sin embargo, según el RGPD, el estándar es diferente: el consentimiento implícito no es suficiente y las empresas deben obtener un acuerdo afirmativo o basarse en una base jurídica distinta, como el interés legítimo. Esa distinción se trata en detalle en la sección sobre la UE que figura a continuación.

El desafío para los equipos de ventas que realizan llamadas salientes es que no siempre pueden controlar dónde se encuentran sus clientes potenciales. Un cliente potencial con un código de área 617 (Boston) llama desde Massachusetts, uno de los estados más estrictos del país. Un cliente potencial con un código de área 213 (Los Ángeles) o 310 (Beverly Hills) se encuentra en California. No se trata de casos extremos poco conocidos, sino de los principales mercados empresariales a los que cualquier equipo saliente llamará con regularidad.

En el caso de las llamadas entrantes, un mensaje de consentimiento previo a la llamada resuelve el problema sin problemas. Para las llamadas salientes, la solución requiere un enfoque diferente, y es aquí donde el conjunto de herramientas de cumplimiento de Allo se vuelve fundamental.

Estados de consentimiento (dual) de todos los partidos en EE. UU.: 13 estados

Estos estados exigen que todas las partes den su consentimiento antes de que una llamada pueda grabarse legalmente.

State Key Notes
California All-party consent. Violations carry criminal penalties.
Connecticut All-party consent for in-person and phone.
Delaware All-party consent.
Florida All-party consent. Criminal and civil penalties.
Illinois All-party consent. Also has BIPA for biometric data.
Maryland All-party consent.
Massachusetts All-party consent. Strictest state: secret recordings are a felony.
Michigan All-party consent.
Montana All-party consent.
Nevada All-party consent for in-person. One-party for phone (courts vary).
New Hampshire All-party consent.
Pennsylvania All-party consent. Criminal penalties.
Washington All-party consent. Criminal and civil penalties.

Todos los demás estados siguen el consentimiento de una sola parte (referencia federal).

El modelo de tres niveles

Los diferentes propósitos requieren diferentes niveles de recopilación de datos. Es posible que una sesión de entrenamiento de un equipo de ventas necesite la transcripción completa, pero no el audio. Un equipo de cumplimiento puede necesitar los tres. Es posible que una línea de atención al cliente solo necesite el resumen de la IA. Allo permite a cada equipo, cada línea y cada usuario elegir el nivel correcto.

Los tres niveles:

  1. Solo resumen de IA: datos mínimos, máxima privacidad. Sin transcripción, sin audio. Solo la nota de llamada generada por IA.
  2. Resumen + transcripción: texto completo de la llamada con capacidad de búsqueda, más un resumen de la IA. Sin archivo de audio.
  3. Resumen + transcripción + audio: se conserva la grabación completa.

Cómo aborda Allo el cumplimiento

Allo le ofrece cuatro herramientas para configurar el cumplimiento en toda su organización: el mensaje de consentimiento, el modo de privacidad, el control de la transcripción y la elección del proveedor de IA. Cada una aborda una dimensión diferente del panorama del cumplimiento y se pueden combinar en función de sus necesidades específicas.

1. Mensaje de consentimiento

El mensaje de consentimiento es un anuncio automático que se reproduce antes de que se conecte la llamada y notifica a la persona que llama que la conversación se grabará. La persona que llama lo escucha antes de que alguien conteste y, al permanecer en la línea, da su consentimiento implícito en la mayoría de las jurisdicciones de EE. UU.

Esta herramienta está diseñada para llamadas entrantes. Es la forma más fiable de cumplir simultáneamente los requisitos de notificación en todos los estados con consentimiento de todas las partes y en las jurisdicciones de la UE y del RGPD. El mensaje se puede personalizar para que puedas adaptar el idioma a tus requisitos legales específicos o a la voz de tu marca, y se puede cambiar por número de teléfono o aplicarlo en toda la organización.

Para cualquier empresa que reciba llamadas entrantes de clientes de varias jurisdicciones, el mensaje de consentimiento debe estar siempre encendido. Notificar a las personas que llaman no tiene ningún inconveniente práctico, y elimina tu exposición al mismo tiempo en todas las jurisdicciones en las que existe el consentimiento de dos partes.

Cómo funciona:

  • El mensaje se reproduce automáticamente antes de que suene el teléfono
  • La persona que llama lo escucha antes de que alguien conteste
  • Texto personalizable
  • Alternar por número de teléfono o en toda la organización

2. Modo de privacidad

Modo de privacidad es la herramienta más importante para los equipos de ventas salientes que llaman a estados de consentimiento de todas las partes, y vale la pena dedicar algo de tiempo a explicar por qué funciona de la manera en que lo hace.

Cuando el modo de privacidad está activado, Allo nunca almacena el archivo de grabación de audio. La llamada no se graba en el sentido tradicional. Lo que hace Allo, en cambio, es generar una transcripción completa y un resumen basado en inteligencia artificial de la conversación en vivo en tiempo real, y esos resultados, la transcripción y el resumen, se almacenan y sincronizan con tu CRM con normalidad.

El modo de privacidad reduce significativamente la exposición de los datos al eliminar por completo el archivo de grabación de audio. Esto es especialmente valioso en las jurisdicciones con el consentimiento de todas las partes, donde el archivo de audio es la principal preocupación legal. Según el RGPD, tanto el audio como la transcripción son datos personales, pero la eliminación del archivo de audio reduce el volumen y la sensibilidad de los datos almacenados, lo que se ajusta al principio de minimización de datos del RGPD. Si conservas la información (transcripciones, resúmenes de inteligencia artificial, sincronización con el CRM), pierdes el artefacto de datos más confidencial.

Lo que conservas con el modo de privacidad activado: la transcripción literal completa, el resumen de la llamada generado por la IA, la sincronización mediante CRM de la transcripción y el resumen, y todos los metadatos de la llamada, incluida la duración, la hora y el resultado. Lo que se elimina es exactamente una cosa: el archivo de audio. No se reproduce en la aplicación Allo ni hay enlace de audio en las notificaciones por correo electrónico.

Habilitar el modo de privacidad

  1. Ponte en contacto con el servicio de asistencia de Allo para habilitar el modo de privacidad
  2. Elija el alcance: por línea, por usuario o en toda la organización
  3. El soporte confirmará una vez activado. Los cambios surten efecto de inmediato.

*El modo de privacidad es ideal para los equipos de ventas salientes. Sigues recibiendo las transcripciones en tu CRM (Attio, HubSpot, Salesforce, etc.), pero sin archivos de audio.

3. Control de la transcripción

Para los equipos que necesitan un nivel aún mayor de minimización de datos, Allo ofrece Control de la transcripción, que desactiva por completo la transcripción literal. En lugar de registrar la conversación palabra por palabra, solo se producen resúmenes generados por la IA.

Esto es útil para las organizaciones que operan con marcos que desalientan específicamente el almacenamiento de registros detallados de las conversaciones, o para las empresas que desean minimizar los datos personales que conservan de las llamadas de los clientes. Según el principio de minimización de datos del RGPD, conservar solo lo que se necesita para un propósito legítimo es tanto una buena práctica como, en algunas interpretaciones, un requisito.

Con el control de transcripción activado, mantienes sincronizado el resumen de la IA, los metadatos de las llamadas y el CRM del resumen. Lo que se elimina es la transcripción completa con capacidad de búsqueda y el texto atribuido al orador. El comportamiento de grabación de audio se controla por separado.

Habilitar el control de la transcripción

Contactar Soporte de Allo para deshabilitar la transcripción por línea o en toda la organización. El comportamiento de grabación de audio se controla por separado.

4. Elección del proveedor de IA

Esta herramienta es específicamente relevante para las empresas que operan bajo los requisitos de jurisdicción de datos de la UE o para las empresas que se han comprometido explícitamente a mantener el procesamiento de datos dentro de la infraestructura europea.

El proveedor de IA predeterminado de Allo procesa la transcripción y la generación de resúmenes a través de una infraestructura de nube estándar. Para los equipos que necesitan procesar datos en Europa, Allo ofrece la opción de cambiar a Mistral, una empresa francesa de IA, para todas las tareas de análisis de IA. De este modo, los datos de las llamadas se mantienen dentro de la infraestructura europea durante todo el proceso de procesamiento de la IA, lo que puede ser directamente relevante para la documentación de cumplimiento del RGPD y para cumplir los requisitos de residencia de datos de los clientes empresariales.

Cambiarse a Mistral no cambia nada de las funciones en sí mismas: obtienes los mismos resúmenes de calidad, el mismo comportamiento de sincronización de CRM y todo lo mismo. Se trata únicamente de una decisión de infraestructura, pero para algunas organizaciones es de vital importancia.

Cambie de proveedor de IA

Contactar Soporte de Allo para cambiar a Mistral. Disponible en todos los planes.

[[primer botón]]

Estados Unidos: una realidad estado por estado

Para las empresas con sede en EE. UU., este es el desglose práctico de lo que están enfrentando.

Los 13 estados de consentimiento de todos los partidos son California, Connecticut, Delaware, Florida, Illinois, Maryland, Massachusetts, Michigan, Montana, New Hampshire, Nevada (con algunas variaciones judiciales específicamente en el teléfono), Pensilvania y Washington. Todos los demás estados siguen la línea de base federal de consentimiento de una sola parte.

Algunas notas específicas sobre las jurisdicciones más estrictas:

California es el estado de consentimiento de todas las partes más litigado del país y tiene la prohibición más activa de los demandantes en cuanto a la grabación de infracciones. Si su equipo llama con regularidad a posibles clientes de California, tratar a California como un caso especial de cumplimiento no es demasiado cauteloso, sino necesario.

Massachusetts, como se mencionó, trata la grabación secreta como un delito grave. Esto es realmente inusual incluso entre los estados con todos los partidos. Aquí no hay ninguna zona gris.

Illinois es notable porque tiene BIPA, la Ley de privacidad de la información biométrica, lo que puede aplicarse si tus herramientas de IA están identificando a los hablantes, lo que podría clasificarse como recopilación de datos biométricos (específicamente huellas de voz). Si gestionas llamadas con residentes de Illinois y tu sistema reconoce a un hablante, esa es otra cuestión legal que vale la pena analizar con un abogado.

La configuración recomendada para los equipos de ventas salientes que llamen a los 50 estados:

Habilita el mensaje de consentimiento para todas las llamadas entrantes, que cubre el tráfico entrante en todas las jurisdicciones de EE. UU. Activa el modo de privacidad para las llamadas salientes, lo que significa que no hay ningún archivo de audio que active las leyes de consentimiento de todas las partes en los 13 estados con doble consentimiento.

Capacite a sus representantes para que abran las llamadas salientes a posibles clientes en estados con doble consentimiento con una rápida divulgación verbal: «Quiero informarles que esta llamada puede transcribirse por motivos de calidad». Además, sincronízalo todo con tu CRM mediante las integraciones estándar de Allo: mantienes la información y pierdes la responsabilidad.

Allo también está creando reglas de cumplimiento automático basadas en códigos de área como una función de hoja de ruta. Esto te permitirá establecer reglas como: «las llamadas al 415, 213, 310 y otros códigos de área de California utilizan automáticamente el modo de privacidad, mientras que las llamadas a los números de Texas se registran con normalidad». Cuando se envía, desaparece una parte importante de la configuración manual.

UE, Reino Unido e internacional: lo que realmente exige el GDPR

Para las empresas que operan en la UE o hacen llamadas a ella, el RGPD establece el marco, pero vale la pena ser precisos sobre lo que realmente exige en lugar de tratarlo como una vaga prohibición de la recopilación de datos. Esta sección cubre las ocho áreas que más importan.

1. Procesador frente a controlador: ¿quién es responsable de qué

Lo primero que hay que entender es cómo el RGPD asigna la responsabilidad.

Según el RGPD, Allo funciona como procesador de datos (sous-traitant en la legislación francesa): procesamos los datos de las llamadas en nombre de nuestros clientes, pero no determinamos el propósito o los medios de ese procesamiento. Su organización es la controlador de datos (responsable de traitement), lo que significa que eres responsable de determinar la base legal de la grabación, el alcance y la proporcionalidad de lo que grabas y durante cuánto tiempo lo conservas.

El trabajo de Allo es proporcionarle las herramientas técnicas para implementar esas decisiones. No se trata de cambiar la culpa, se trata de claridad. Cuando tu equipo legal pregunte «¿quién es responsable del cumplimiento del RGPD en la grabación de llamadas?» , la respuesta es: su organización toma las decisiones, y Allo proporciona la infraestructura para ejecutarlas de manera compatible. Si sus opciones de configuración resultan desproporcionadas o injustificadas, se trata de un problema a nivel del controlador. Si Allo no proporciona los controles técnicos que necesita, se trata de un problema a nivel del procesador.

En la práctica, esto significa que Allo te da las palancas (opciones de grabación por número, modo de privacidad, controles de transcripción, ajustes de retención, elección de proveedor de IA) y tú decides cómo configurarlas en función de tus obligaciones legales y necesidades empresariales.

2. Base jurídica: consentimiento frente a interés legítimo

El GDPR requiere que tengas un base jurídica para grabar llamadas. Las dos bases más comúnmente aplicables son el consentimiento y el interés legítimo, y funcionan de manera muy diferente.

Consentimiento según GDPR significa acuerdo afirmativo. A diferencia del consentimiento implícito al estilo estadounidense, en el que basta con permanecer en la línea después de una divulgación, el RGPD exige que el consentimiento se dé libremente, sea específico, informado e inequívoco. Un anuncio pasivo en el que se diga «esta llamada puede grabarse», sin dar a la persona que llama una forma de aceptarla o rechazarla activamente, no cumple con el estándar del RGPD si se basa en el consentimiento como base legal. En la práctica, esto significa ofrecer a las personas que llaman un mecanismo de aceptación afirmativa (pulsa 1 para dar su consentimiento a la grabación) o un mecanismo de rechazo claro (pulsa 2 para rechazar la grabación). La Autoridad Danesa de Protección de Datos impuso una multa a una agencia gubernamental por grabar llamadas con solo una notificación previa a la llamada y sin una aceptación afirmativa, lo que lo convierte en un riesgo real para hacer cumplir la ley, no en un riesgo teórico.

Interés legítimo según el artículo 6 (1) (f) del RGPD, es una base legal independiente que no requiere el consentimiento explícito. Si su empresa tiene un motivo legítimo y documentado para grabar llamadas, como la formación, el control de calidad, la prevención del fraude o la prueba contractual, y ese interés no prevalece sobre los derechos de privacidad de la persona que llama, puede grabar sin su consentimiento afirmativo. Sin embargo, esto requiere un documento Evaluación del interés legítimo (LIA), que es una prueba formal de equilibrio que demuestra que la necesidad de la grabación supera el derecho de la persona a la privacidad. Aún tienes que informar a las personas que llaman de que se está grabando, pero no necesitas su consentimiento explícito.

La mayoría de los equipos de ventas y servicio al cliente utilizan una combinación de ambos enfoques: el consentimiento (con una aceptación afirmativa) para las llamadas entrantes, en las que el mensaje de consentimiento puede gestionar el flujo de trabajo de forma limpia, y el interés legítimo (con la documentación adecuada) para las llamadas salientes, en las que un mecanismo de suscripción no sería práctico.

La CNIL de Francia, que es una de las autoridades encargadas de hacer cumplir el RGPD más activas de Europa, añade requisitos específicos en torno a la calidad del consentimiento: debe darse libremente, ser específico e informado. Si tu mensaje de consentimiento para las llamadas en francés es vago o está oculto en un extenso menú automatizado, es posible que no cumpla con los estándares de la CNIL. Es posible que las grabaciones utilizadas para el entrenamiento de la IA también deban ser anonimizadas o consensuadas por separado, según las directrices de la CNIL.

3. Proporcionalidad: la regla que todos pasan por alto

La CNIL exige que la grabación de llamadas sea proporcional a su propósito declarado. Aquí es donde muchas empresas tienen problemas, porque el instinto predeterminado es grabar todo.

Para una supervisión y una formación de calidad, la práctica estándar de la industria reconocida por la CNIL es grabar entre el 20 y el 30% de las llamadas, no todas. La grabación sistemática y permanente de todas las llamadas está generalmente prohibida, a menos que lo exija una obligación legal específica (por ejemplo, para las transacciones de servicios financieros en virtud de la MiFID II, las ventas de seguros según el Código de garantías francés o los servicios de emergencia como el SAMU). Esta cifra del 20 al 30% no es un umbral legal estricto. La CNIL nunca ha establecido un límite específico, pero siempre aparece en las decisiones de ejecución y en las directrices del sector como un punto de referencia razonable de proporcionalidad.

El principio clave es que si solo evalúa cuatro llamadas por empleado al mes con fines de capacitación, no puede justificar la grabación del 100% de las llamadas de ese empleado. La CNIL sancionó a una empresa en SAN-2020-003 exactamente para esto: grabar todas las llamadas cuando el supervisor de formación solo escuchaba una grabación por empleado por semana.

Aquí es donde la configuración por número de Allo se vuelve fundamental para el cumplimiento de la UE. Si habilitas el registro en algunas líneas (por ejemplo, las ventas salientes) y lo deshabilitas en otras (por ejemplo, las de soporte o internas), puedes demostrar la proporcionalidad a nivel organizativo. El modelo de tres niveles de Allo (solo resumen mediante IA, resumen con transcripción o resumen con transcripción o resumen con transcripción y audio) ofrece una granularidad adicional para adaptar el nivel de recopilación de datos a cada caso práctico.

Un punto adicional que juega fuertemente a favor de Allo: las llamadas internas entre números de Allo se excluyen automáticamente de la grabación. Cuando los miembros de su equipo se llaman entre sí, no se genera ningún audio, transcripción o resumen de IA, y los gerentes no tienen acceso a los datos internos de las llamadas. Esto aborda directamente los requisitos de la CNIL en relación con la privacidad de los empleados y evita el tipo de vigilancia interna permanente que los reguladores consideran desproporcionada.

4. Protecciones de los empleados

El cumplimiento de la grabación de llamadas en la UE, y especialmente en Francia, no se refiere solo a las personas a las que llamas. También se trata de que los empleados hagan esas llamadas. La legislación laboral francesa y la CNIL imponen obligaciones específicas a los empleadores que graban las llamadas de sus empleados:

Los empleados deben estar informados. Antes de implementar cualquier sistema de grabación, se debe informar a los empleados de que sus llamadas pueden grabarse, durante qué períodos, con qué fines y quién tendrá acceso a las grabaciones. Esta información debe ser lo suficientemente específica como para que los empleados sepan cuándo se están grabando y cuándo no.

Se debe consultar a los representantes de los empleados. Si su organización tiene un CSE (Comité Social et Économique), se le debe informar y consultar antes de instalar cualquier sistema de grabación de llamadas. Este es un requisito procesal según la legislación laboral francesa, y omitirlo puede invalidar todo el sistema de grabación.

Los empleados deben tener acceso a líneas no registradas. La CNIL exige que los empleadores proporcionen líneas telefónicas o un mecanismo técnico que permita a los empleados hacer llamadas personales sin ser grabadas. Lo mismo se aplica a las llamadas realizadas por los representantes de los empleados en el ejercicio de sus funciones sindicales o representativas.

La grabación no puede ser constante. Incluso más allá de la regla de proporcionalidad para los clientes, la CNIL es especialmente estricta con respecto a las grabaciones de los empleados. No puedes grabar las llamadas de un empleado las 24 horas del día. Si el propósito es la capacitación, las grabaciones deben limitarse a períodos específicos y a un subconjunto definido de llamadas.

Allo aborda varios de estos requisitos de forma inmediata. Las llamadas internas entre números de Allo no se graban, lo que brinda a los empleados un canal integrado para la comunicación interna no grabada. Cada usuario también puede mantener un perfil personal lista de favoritos de los contactos que están excluidos de la grabación, lo que proporciona un mecanismo sencillo para respetar la privacidad de las llamadas personales. Además, los botones de grabación por número y por usuario permiten a las organizaciones configurar exactamente qué líneas se graban y cuáles no.

5. Obligaciones de información: el modelo de la CNIL de dos niveles

La CNIL recomienda un enfoque de información de dos niveles para la grabación de llamadas, que va más allá de un simple anuncio previo a la llamada.

Primer nivel: breve mención oral al inicio de la convocatoria. Esto debe incluir la existencia de la grabación, el propósito (control de calidad, formación, prueba contractual, etc.) y el derecho de la persona que llama a objetar o, si corresponde, la necesidad de dar su consentimiento. También debe mencionar la posibilidad de concluir la interacción por otros medios, si procede (por ejemplo, en línea o por correo). Esto es lo que gestiona el mensaje de consentimiento de Allo.

Segundo nivel: remisión a información detallada. Como la divulgación completa del artículo 13 del RGPD es demasiado larga para leerla por teléfono, la CNIL recomienda remitir a las personas que llaman a la URL de un sitio web o a una opción de pulsar una tecla (por ejemplo, «pulsar 1 para obtener más información sobre nuestras prácticas de privacidad») donde puedan acceder a la política de privacidad completa que incluye: la identidad del responsable del tratamiento, los fines y la base jurídica de la grabación, el período de retención de los datos, los destinatarios de los datos y los derechos de la persona que llama (acceso, rectificación, eliminación, objeción).

En la práctica, esto significa que su mensaje de consentimiento no debe decir simplemente «esta llamada puede grabarse». Debe indicar el propósito y dirigir a la persona que llama a un lugar donde pueda obtener la información completa sobre privacidad. Por ejemplo: «Esta llamada puede grabarse con fines formativos y de calidad. Para obtener más información sobre cómo se procesan sus datos, visite withallo.com/privacy o pulse 1».

6. Retención: cuánto tiempo puede conservar qué

El cumplimiento no termina cuando termina la llamada. La CNIL proporciona directrices de retención específicas basadas en el propósito de la grabación:

Grabaciones de audio para mejorar la calidad y la formación: máximo 6 meses desde la recogida. Esta es la recomendación estándar de la CNIL y es el punto de referencia con el que la mayoría de las organizaciones deberían alinearse.

Documentos de análisis (resúmenes de llamadas, cuadrículas de evaluación, notas de entrenamiento derivadas de grabaciones): máximo 1 año. Esto incluye los resúmenes generados por IA.

Grabaciones como prueba contractual (por ejemplo, un acuerdo verbal para una venta que se celebró por teléfono, cuando no existe un contrato escrito): hasta 5 años, lo que corresponde al período de prescripción general según el derecho civil francés. Una vez que se obtenga un contrato por escrito u otra prueba, la grabación debe borrarse.

Los requisitos específicos de la industria prevalecen sobre las reglas generales. HIPAA exige una retención mínima de 6 años para los registros de atención médica, que pueden incluir registros de llamadas que incluyan información del paciente. SOX requiere una retención de 7 años para los registros financieros. La MiFID II exige la retención de las llamadas relacionadas con los servicios de inversión durante 5 a 7 años, según el estado miembro.

CCPA requiere responder a las solicitudes de eliminación en un plazo de 45 días.

De forma predeterminada, Allo almacena las grabaciones durante un máximo de tres años. Para las organizaciones que necesitan una retención alineada con la CNIL, Allo puede configurar la eliminación automática a los 6 meses para las grabaciones de audio y a los 12 meses para las transcripciones y los documentos de análisis, de acuerdo con las recomendaciones de la CNIL. Para los clientes empresariales, las políticas de retención personalizadas están disponibles a pedido.

7. Derechos del interesado: acceso, eliminación y derecho al olvido

Según el RGPD, las personas cuyas llamadas grabas tienen derechos específicos que tu organización debe poder cumplir:

Derecho de acceso (artículo 15): Cualquier persona puede solicitar una copia de la grabación de su llamada y de cualquier dato derivado de ella (incluidas las transcripciones y los resúmenes de IA). Debes responder en un plazo de 30 días (ampliable a 90 días para solicitudes complejas). Esto significa que su sistema debe poder buscar, localizar y exportar grabaciones específicas a pedido.

Derecho a la supresión/derecho al olvido (artículo 17): Una persona puede solicitar que elimines todos los datos que tienes sobre ella, incluidas las grabaciones de llamadas, las transcripciones y los resúmenes de IA. Debes cumplirla, a menos que tengas la obligación legal de conservar los datos (por ejemplo, los requisitos reglamentarios financieros) o los datos sigan siendo necesarios para su finalidad original. Cuando se elimina un contacto en Allo, también se eliminan todas las grabaciones, transcripciones y resúmenes asociados.

Derecho a objetar (artículo 21): Si su base legal para la grabación es el interés legítimo (no el consentimiento), la persona que llama tiene derecho a oponerse a la grabación. Si lo hacen, debes dejar de grabar a menos que puedas demostrar motivos legítimos imperiosos que prevalezcan sobre sus intereses. En la práctica, esto significa que tus representantes necesitan una forma de detener o deshabilitar la grabación a mitad de una llamada si la persona que llama se opone, o que el sistema debe configurarse para que respete las exclusiones.

Derecho de rectificación (artículo 16): Si los datos personales de una grabación o transcripción son inexactos, la persona puede solicitar la corrección. En el caso de las grabaciones de audio, esto no es práctico, pero en el caso de las transcripciones y los resúmenes de la IA, puede implicar actualizar o anotar información inexacta.

Una nota importante: estos derechos se aplican a los datos dondequiera que se encuentren. Si subes grabaciones y resúmenes a tu CRM (HubSpot, Salesforce, Attio, Pipedrive), una solicitud de eliminación implica eliminar los datos tanto de Allo como del CRM. Tus políticas de retención de CRM deben alinearse con las políticas de retención de Allo.

8. DPA y documentación

Para los clientes empresariales y cualquier organización que se tome en serio el cumplimiento del RGPD, la capa contractual es tan importante como la técnica.

Allo ofrece una completa Acuerdo de procesamiento de datos (DPA) como parte de su contrato maestro de servicios. La DPA define contractualmente las responsabilidades de cada una de las partes en virtud del RGPD: Allo como procesador de datos y su organización como responsable del tratamiento de datos. Abarca las ubicaciones de almacenamiento de datos, las obligaciones de retención y eliminación, la divulgación de información a los subprocesadores, los procedimientos de notificación de infracciones y los derechos de auditoría.

Si estás evaluando Allo para una implementación empresarial, el DPA es el documento que tu equipo legal querrá ver. Aclara por escrito qué sucede con tus datos, quién es responsable de qué y a qué se compromete Allo contractualmente. En el caso de las empresas u organizaciones reguladas que se han sometido a una auditoría del RGPD, la DPA proporciona la documentación que demuestra que su cadena de suministro cumple con las normas.

Más allá de la DPA, las organizaciones que operan bajo el GDPR deben mantener:

  • UN registro de actividades de procesamiento (Artículo 30) que incluye la grabación de llamadas como una actividad de procesamiento de datos, con su propósito, base legal, período de retención y destinatarios de los datos.
  • UN Evaluación del interés legítimo si se basa en el interés legítimo como base legal para la grabación.
  • Documentación del empleado información y consulta si has implementado la grabación de llamadas en un lugar de trabajo francés.

Reino Unido y Canadá: notas específicas sobre la jurisdicción

Para las operaciones en el Reino Unido, el marco es equivalente al GDPR según el GDPR del Reino Unido, con la adición de la RIPA (Ley de Regulación de los Poderes de Investigación), que permite las grabaciones con fines puramente internos (formación, prevención del fraude) sin consentimiento explícito, siempre que las grabaciones permanezcan internas y cumplan con los requisitos de protección de datos.

Para llamadas canadienses, la PIPEDA federal exige el consentimiento informado de todas las partes, incluida la notificación de la grabación, sus propósitos y el acuerdo de cada persona para continuar. La Ley 25 de Quebec añade requisitos provinciales más estrictos al marco federal. Es esencial habilitar el mensaje de consentimiento en todas las llamadas entrantes de Canadá y, en el caso de las llamadas salientes, los representantes deben revelar verbalmente la grabación al principio de cada conversación. Los reguladores financieros canadienses se han mostrado cada vez más activos en lo que respecta a la aplicación de la privacidad de los datos, y los clientes potenciales de sectores regulados, como el de la planificación financiera, esperarán que les demuestres dónde se almacenan los datos de las llamadas y cómo se protegen.

Resúmenes y transcripciones de IA: se aplican las mismas reglas

Una pregunta que surge con frecuencia: ¿el uso de la IA para transcribir y analizar llamadas crea obligaciones de cumplimiento independientes además de las reglas de grabación de llamadas?

La respuesta corta es sí, con matices. La transcripción en tiempo real y el análisis de IA generalmente se tratan de la misma manera que la grabación en la mayoría de los marcos de consentimiento, el mismo consentimiento que cubre la grabación cubre la transcripción. Sin embargo, hay situaciones específicas en las que se aplican consideraciones adicionales.

BIPA de Illinois es el principal para ver en los EE. UU. Si su sistema de transcripción incluye la identificación de hablantes o la biometría de la voz, esto puede considerarse recopilación de datos biométricos según la BIPA, que tiene sus propios requisitos de consentimiento y divulgación. Esta es un área de litigios activa en Illinois y merece una atención específica si tiene un volumen de llamadas significativo con contactos en Illinois.

AB 2013 de California y Ley de Texas ambos requieren divulgación cuando se utiliza la IA para analizar las llamadas. Tu mensaje de consentimiento debe mencionar explícitamente el análisis de la IA, no solo la grabación. «Esta llamada puede grabarse y analizarse con inteligencia artificial con fines de calidad y de entrenamiento» es más completo desde el punto de vista legal que «Esta llamada puede grabarse».

Los resúmenes generados por IA se tratan como datos derivados en la mayoría de los marcos. Las mismas reglas de retención y acceso que se aplican a las grabaciones se aplican a los resúmenes. Si un cliente de la UE solicita la eliminación de sus datos, esto incluye el resumen de su llamada mediante IA.

También hay una consideración específica de la CNIL en torno a datos bancarios: si tu equipo gestiona llamadas en las que los clientes comparten números de tarjetas de crédito o información bancaria, la CNIL exige que tu sistema de grabación pueda pausar o excluir esa parte de la llamada. La CNIL ha emitido múltiples decisiones de ejecución sobre este punto, considerando que la información bancaria requiere una mayor protección debido al riesgo de fraude. Si Allo graba una llamada en la que un cliente lee el número de una tarjeta, lo ideal sería excluir ese segmento de la grabación y la transcripción.

Conclusión

El cumplimiento de la grabación de llamadas no es una casilla de verificación que se haga una sola vez. Es una decisión de configuración continua que refleja dónde opera, a quién llama y qué hace con los datos que recopila. La buena noticia es que, con las herramientas adecuadas, cumplir con las normas no significa renunciar a nada. El modo de privacidad, los mensajes de consentimiento, los controles de transcripción y las opciones para proveedores de inteligencia artificial de Allo están diseñadas específicamente para permitir que los equipos de ventas capten la información que necesitan de cada llamada y, al mismo tiempo, eliminar la exposición legal que conllevan las prácticas de grabación no gestionadas.

Si no está seguro de cuál es su configuración actual, es una buena razón para dedicar 30 minutos a revisar la configuración de Allo. Es mucho más fácil hablar sobre el cumplimiento antes de que algo salga mal que después.

No items found.
Prueba Allo
Prueba Allo

Demo

Keep reading

AI & Answering Services

Los mejores servicios de respuesta de IA para HVAC (selección 2026)

Seis servicios de respuesta de IA para equipos de HVAC, comparados en cuanto al costo, el acceso móvil y lo que realmente importa en un día ajetreado.

Read the article
SMB Tech & Trends

Llamadas en frío: lo que realmente funciona en 2026

Basado en nuestra clase magistral con Pauline Perez y Adrien Gaucher, organizada en Morning Général en París, y en entrevistas en profundidad realizadas con Pauline sobre el arte de las llamadas en frío B2B.

Read the article
Phone Systems

Los 7 mejores Power Dialers para Salesforce en 2026

¿Está buscando un marcador de energía conectado a Salesforce? Hemos desglosado 7 opciones por precio, características y para quién están realmente diseñadas.

Read the article

Make business calls easier with Allo

Manage calls, voicemails, and messages—all in one app.
Download Allo and enjoy a 7-day free trial.

Try Allo
Try Allo
See pricing
See pricing
Mockup illustration of Allô product.