Legalidad de las llamadas con IA en España: marco aplicable y riesgos reales

Cuando una empresa instala un agente telefónico IA, la pregunta técnica suele estar resuelta antes que la legal. La voz funciona, descuelga, agenda. Pero la AEPD ha mirado este tema con lupa desde 2023 y la entrada en vigor del AI Act añade obligaciones específicas. Esta guía resume qué normativa se aplica, qué prácticas son seguras y dónde está la línea que no conviene cruzar.

Esta página es informativa. No constituye asesoramiento jurídico. El alcance legal del caso concreto debe validarlo un asesor legal o el DPO del cliente. Detalle técnico-legal en IA y protección de datos.

TL;DR

• Inbound (llamada que recibes): permitido con aviso de IA y base legal clara.
• Outbound (llamada que tu sistema inicia): requiere consentimiento previo o LIA documentada del cliente.
• Grabación: solo con aviso al inicio y retención acotada (30-90 días por defecto).
• Datos sensibles: DPIA + DPO + revisión humana obligatorios.
• AEPD ya ha sancionado prácticas comerciales de voz IA sin consentimiento.

Marco normativo aplicable

Un agente telefónico con IA cae en la intersección de varios marcos:

• RGPD (Reglamento UE 2016/679): tratamiento de datos personales (voz del usuario, número, contenido de la conversación, transcripción).
• LOPDGDD (Ley Orgánica 3/2018): aplicación nacional del RGPD en España.
• LSSI-CE (Ley 34/2002): comunicaciones comerciales electrónicas, incluye voz IA en outbound comercial.
• AI Act (Reglamento UE 2024/1689): obliga a transparencia frente al usuario al interactuar con sistema de IA.
• Real Decreto 12/2024: normativa española sobre tratamientos automatizados de voz, transposición parcial.

Y según sector:

• Sanitario: Ley 41/2002 + normativa autonómica.
• Financiero: Ley 10/2014 + circulares Banco de España.
• Telecomunicaciones: Ley General de Telecomunicaciones.

No hay que ser jurista para usar voz IA, pero sí entender que la responsabilidad última es del responsable del tratamiento (tu empresa), aunque la voz la opere un proveedor técnico.

Inbound vs outbound: el punto donde se rompe lo legal

Inbound (llamada entrante)

Cuando el cliente llama a tu número y le contesta el agente IA, la base legal suele estar clara:

• Ejecución de contrato o medidas precontractuales (art. 6.1.b RGPD) si ya hay relación o el cliente quiere iniciarla.
• Interés legítimo si el cliente busca información pública.

Requisitos:

• Aviso al inicio: "le atiende un asistente virtual". Es obligatorio (AI Act).
• Si grabas: aviso adicional ("la llamada puede ser grabada con fines de calidad").
• Política de privacidad accesible y enlazada (web, ticket, etc.).

El inbound bien hecho es uno de los usos más seguros de voz IA en España. La mayoría de los agentes IA que despliegan clínicas, inmobiliarias y servicios B2B con STAKKER funcionan en este modo.

Outbound (llamada que el sistema inicia)

Aquí es donde están las sanciones. Iniciar una llamada con IA hacia un destinatario humano sin base legal previa es comunicación comercial no solicitada (LSSI art. 21) y tratamiento sin base legal (RGPD art. 6).

La AEPD ha publicado criterios desde 2023 limitando estos usos. En 2024 hubo sanciones a empresas que hacían marketing telefónico con voz IA contra listas no opt-in.

Si quieres outbound voz IA, las opciones legales son:

• Consentimiento previo expreso del receptor (opt-in claro y documentado).
• Interés legítimo con LIA documentada: evaluación que justifica la llamada y permite oposición previa.
• Existencia de relación contractual previa activa (cliente actual, no leads viejos olvidados).

En STAKKER no activamos outbound voz IA hasta que el cliente nos aporte uno de estos tres documentos. Y aún así, monitorizamos opt-outs y tasa de queja.

Grabación de llamadas: qué se puede y qué no

La grabación de una llamada es un tratamiento adicional. La Audiencia Nacional ha confirmado en varias resoluciones que, aunque la llamada sea legal, la grabación necesita base legal propia.

Buenas prácticas que aplicamos:

• Aviso al inicio de la llamada. Sin aviso, no se graba.
• Base legal documentada: ejecución de contrato (clientes activos), prueba contractual (negocios donde la palabra dada vincula), o consentimiento explícito.
• Retención acotada: por defecto 30-90 días. Conservación más larga necesita justificación.
• Acceso restringido: solo personas con necesidad. RBAC + audit log.
• Cifrado en reposo del audio.
• Posibilidad real de borrado si el usuario lo pide y no hay obligación legal de conservar.

Si tu sistema no cumple alguno de estos puntos, no grabes. Vale más una transcripción de texto retenida unos días que un archivo de audio que no puedes justificar.

Datos sensibles y voz IA: cuándo NO usarla

Sectores donde la conversación puede tocar datos del art. 9 RGPD (salud, datos sensibles) tienen reglas especiales:

• Clínicas (dental, estética, fisio, veterinaria, psicología): la IA puede gestionar agendamiento, recordatorios y FAQs administrativas. NO debe responder preguntas clínicas, opinar sobre síntomas o gestionar resultados de pruebas.
• Despachos jurídicos: triaje administrativo OK. Detalles del caso, comunicaciones sensibles del cliente: humano.
• RRHH y selección: cualificación inicial OK. Decisiones de contratación: humano (art. 22 RGPD).
• Servicios financieros: información general OK. Asesoramiento financiero, scoring crediticio: humano + DPIA.

En todos estos casos:

• DPO obligatorio.
• DPIA antes de producción.
• Revisión humana en decisiones críticas.
• Cifrado y trazabilidad reforzados.

Más sobre cómo se aplica esto a clínicas en Sistemas IA para clínicas.

El AI Act y los agentes telefónicos

El Reglamento UE 2024/1689 (AI Act) entra por fases hasta 2027. Lo que ya aplica desde 2025 y afecta directamente a voz IA:

• Obligación de transparencia (art. 50): el receptor debe saber que está interactuando con una IA. Aviso al inicio de la llamada, no en la política de privacidad.
• Prohibición de prácticas inaceptables: manipulación subliminal, explotación de vulnerabilidades, scoring social. Cualquier campaña que use voz IA para presionar emocionalmente entra en zona peligrosa.
• Sistemas de alto riesgo: si el bot toma decisiones que afectan al acceso a empleo, servicios esenciales, justicia o procesos democráticos, hay obligaciones reforzadas (registro, auditoría, supervisión humana).

Para una PYME normal con agente inbound de recepción, el AI Act significa básicamente: avisa al inicio. Para casos avanzados, hay más papel.

Cómo enfoca STAKKER la legalidad de voz IA

Antes de pasar a producción cualquier agente telefónico IA, exigimos:

• Aviso de IA configurado al inicio de cada llamada.
• Política de privacidad publicada y enlazada desde la web del cliente.
• DPA firmado con cláusulas art. 28 RGPD.
• Lista de subencargados: Hetzner (UE), ElevenLabs / Vapi / Retell (US, con SCC), Twilio (US, SCC), modelos LLM (Anthropic / OpenAI con SCC).
• Política de retención acordada y documentada.
• Handoff humano disponible en cualquier momento.
• Outbound desactivado por defecto hasta que el cliente entregue base legal documentada.

Si el caso entra en sector regulado (clínicas, financiero, jurídico), exigimos además DPO acreditado del cliente y DPIA antes de despliegue.

Errores típicos que vemos

A. "Grabamos todo por si acaso". No: minimización + retención acotada.

B. "El aviso lo metemos en la política de privacidad". No: el aviso es al inicio de la llamada, audible.

C. "Subimos la lista de leads viejos al outbound". Riesgo alto: sin opt-in, sin LIA, sin relación activa, es sancionable.

D. "El proveedor de voz se encarga de la legalidad". No: tu empresa es responsable del tratamiento. El proveedor es encargado.

E. "Lo conservamos un año por seguridad". Si no justificas el plazo, no se conserva.

F. "El bot decide a quién dar cita y a quién no". Decisiones automatizadas con efecto significativo: art. 22 RGPD, revisión humana.

Resumen práctico

Lo que sí puedes hacer hoy con voz IA en España sin sobresaltos:

• Recepción inbound 24/7 con aviso de IA y agenda integrada.
• Cualificación previa de leads que llaman a tu número público.
• FAQs administrativas (horario, ubicación, precios orientativos públicos).
• Recordatorios de citas con confirmación.
• Derivación humana cuando el caso lo requiere.

Lo que requiere documentación legal antes:

• Outbound a leads que no han dado consentimiento.
• Grabación de llamadas con retención larga.
• Tratamiento de datos sensibles (sanidad, jurídico, financiero).
• Decisiones automatizadas con efecto sobre el usuario.

Preguntas frecuentes

¿Necesito DPO para tener un agente telefónico IA?

No siempre. Si el tratamiento no incluye datos sensibles ni es a gran escala, basta con responsable del tratamiento. Para clínicas, RRHH masivo, financiero, sí o sí.

¿Puedo usar voz IA para llamar a clientes que ya están en mi CRM?

Si la finalidad encaja con la base legal por la que están en tu CRM (ejecución de contrato, atención postventa con su consentimiento) sí. Para marketing, necesitas consentimiento separado y específico.

¿Cuánto puedo retener una grabación de llamada?

Por defecto 30-90 días. Más allá: justificación documentada (prueba contractual, exigencia regulatoria sectorial, conflicto activo). Sin justificación, se borra.

¿La AEPD ha sancionado a alguien por voz IA?

Sí. Hay resoluciones públicas desde 2023 a empresas con outbound voz IA sin opt-in. Las multas en RGPD llegan a 4% de facturación global o 20M EUR.

¿Y si el proveedor del modelo (Anthropic, OpenAI) está en EE.UU.?

Necesita garantías de transferencia internacional: SCC o Data Privacy Framework. Los principales proveedores las tienen. Tu DPA con tu proveedor técnico debe listarlas.

¿Puedo no avisar de que es IA si la voz suena humana?

No. El AI Act lo prohíbe. Y la AEPD ya ha valorado el aviso como obligación de transparencia.

Siguiente paso

Si tienes un proyecto de agente telefónico IA y quieres saber qué te aplica antes de gastar un euro, podemos revisarlo gratis. Te decimos qué requisitos tiene tu caso, qué papel hace falta, y si encaja con voz IA o conviene otra solución.

Auditar mi caso · Ver agente telefónico IA · Ver enfoque legal completo

Si trabajas en sector inmobiliario, aquí está el caso aplicado a inmobiliarias. Para clínicas, aquí.