Saltar al contenido
Volver al blog
|8 min lectura|Samuel Martínez

RGPD para chatbots IA en España: checklist 2026 para PYMEs

Si tu negocio usa o piensa usar un chatbot con IA (en web, WhatsApp o teléfono), tarde o temprano tendrás que demostrar que cumple con el Reglamento UE 2016/679 (RGPD), la LOPDGDD, la LSSI-CE y, desde 2026, el AI Act. Esta guía es el checklist mínimo que toda PYME debería revisar antes de poner el bot en producción y antes de que un cliente, un proveedor o la AEPD pregunten.

Esta página es informativa. No constituye asesoramiento jurídico. La validación final del caso concreto la hace un asesor legal o el DPO del cliente. Para el enfoque técnico de STAKKER ver IA y protección de datos.

TL;DR

  • Identifica al usuario que está hablando con IA antes del primer mensaje (AI Act).
  • Define base legal explícita (consentimiento, contrato, interés legítimo) por flujo.
  • Firma DPA con el proveedor que opera el chatbot y lista subencargados.
  • Aplica retención corta de conversaciones (30-90 días por defecto).
  • Permite handoff a humano siempre.
  • Para datos sensibles (salud, menores, judicial), refuerza con DPIA + DPO.

Por qué tu chatbot es un tratamiento de datos

Un chatbot que recibe una pregunta y la responde está procesando un mensaje que casi siempre identifica al usuario: número de WhatsApp, IP, email, nombre que el usuario te da, contenido de la conversación. Eso son datos personales según el art. 4.1 RGPD.

Que sea una conversación corta no exime de cumplir el reglamento. Que el bot sea SaaS de un tercero tampoco: el tercero suele ser encargado del tratamiento y tu negocio sigue siendo responsable frente al usuario final.

El checklist mínimo (12 puntos)

1. Aviso de interacción con IA antes del primer mensaje

Desde 2026 el AI Act obliga a comunicar de forma clara que el usuario está interactuando con un sistema de IA. En la práctica:

  • En WhatsApp: primer mensaje del bot incluye "estás hablando con un asistente virtual".
  • En la web: badge o copy junto al chatbot identificando el sistema.
  • En llamadas: aviso en los primeros segundos ("le atiende un asistente virtual").

No vale ocultarlo "por experiencia". Es un requisito normativo, no una decisión estética.

2. Política de privacidad enlazada y específica al bot

La política general de la web vale como punto de partida, pero conviene mencionar explícitamente:

  • Que existe un chatbot que procesa los mensajes.
  • Qué datos recoge.
  • Para qué los usa.
  • Cuánto los conserva.
  • Quiénes son los encargados (proveedores).

Mejor un párrafo claro que un PDF infinito.

3. Base legal documentada por flujo

No vale escribir "consentimiento" como base legal universal. Cada flujo del bot puede tener una base legal distinta:

  • Consulta general de un visitante anónimo: consentimiento del usuario al iniciar el chat (informado).
  • Atención a un cliente con contrato activo: ejecución de contrato.
  • Comunicaciones comerciales por WhatsApp tras cierre: consentimiento expreso previo (LSSI art. 21).
  • Outbound de marketing: consentimiento previo o interés legítimo con LIA documentada.

Si tu bot envía mensajes a leads fríos sin opt-in y sin LIA, hay riesgo sancionable.

4. Minimización de datos

Pídele al bot solo lo que necesitas para la respuesta o el agendamiento. Pedir DNI o ingresos en una primera consulta es desproporcionado y se sanciona. Una clínica no necesita saber tus síntomas para agendarte una cita; pídelos solo en la consulta presencial.

5. Retención de conversaciones acotada

Defínela y publícala. Por defecto STAKKER trabaja con 30-90 días. Más allá necesita justificación. Conservar conversaciones tres años "por si acaso" no es una base legal.

6. DPA firmado con el proveedor del bot

Si externalizas el chatbot a un SaaS o a un proveedor técnico (sea STAKKER u otro), tienes que firmar acuerdo de encargo del tratamiento (art. 28 RGPD) que incluya:

  • Finalidad del tratamiento.
  • Lista de subencargados (Hetzner, Anthropic, OpenAI, Twilio, ElevenLabs, etc.).
  • Medidas técnicas y organizativas.
  • Plazo de conservación.
  • Notificación de brechas en 24-72h.
  • Devolución o supresión al final del contrato.

Sin DPA, ante una inspección, eres tú quien responde solo.

7. Lista pública de subencargados

Cada proveedor del chatbot procesa datos: el modelo LLM, la pasarela de WhatsApp, el sistema de transcripción de audio si lo hay, el CRM al que se vuelca el lead. La lista debe ser accesible para el usuario que la pida (ejercicio de derechos).

8. Cifrado en tránsito y en reposo

HTTPS obligatorio. Almacenamiento cifrado de la base de datos donde se guardan conversaciones. Acceso por roles para que solo personas con necesidad real lean los logs.

9. Logs de acceso y trazabilidad

Quién accede a las conversaciones, cuándo, desde dónde. Esto se exige para auditorías y para responder a derechos de los usuarios (acceso, rectificación, supresión).

10. Mecanismo de derechos del usuario

El usuario debe poder ejercer sus derechos sin pelearse. Mínimo:

  • Email o formulario para solicitar acceso, rectificación, supresión, oposición, portabilidad y limitación.
  • Plazo de respuesta de 1 mes (RGPD).
  • En el bot, opción explícita para hablar con humano y pedir borrado.

11. Handoff humano siempre disponible

El RGPD art. 22 limita las decisiones automatizadas con efectos significativos sobre la persona. Si el bot rechaza una operación o cierra una venta, el usuario puede pedir revisión humana. Diséñalo de fábrica.

12. DPIA si el tratamiento es de alto riesgo

Datos de salud, datos de menores, datos judiciales, perfilado masivo, comunicaciones comerciales a gran escala: requieren Evaluación de Impacto en Protección de Datos (DPIA, art. 35 RGPD) antes de pasar a producción. La AEPD publica plantilla pública. No saltársela.

Categorías especiales: cuándo NO usar IA pública

Si tu negocio trata datos sensibles según el art. 9 RGPD (salud, biométricos, orientación sexual, opiniones políticas, datos judiciales, etc.) las reglas se endurecen:

  • DPO obligatorio o externalizado.
  • Base legal del art. 9.2 (no vale el simple consentimiento del 6.1.a).
  • DPIA obligatoria.
  • Cifrado y trazabilidad reforzados.
  • Revisión humana en cualquier decisión.
  • Subencargados con garantías verificadas.

En clínicas dentales, fisioterapia, estética, veterinaria: el bot puede gestionar el lado administrativo (citas, recordatorios, FAQs públicas) sin tocar datos clínicos. El detalle por sector está en Sistemas IA para clínicas.

Los errores más típicos de PYMEs

A. Bot que pide DNI en la primera consulta sin necesidad: minimización fallida.

B. Mensaje de WhatsApp marketing sin opt-in expreso: LSSI art. 21 + RGPD.

C. Política de privacidad sin mencionar al chatbot: incompleta.

D. SaaS de chatbot sin DPA firmado: responsabilidad solidaria.

E. Conservación "indefinida" de conversaciones: principio de limitación incumplido.

F. Ningún mecanismo claro para hablar con humano: art. 22 fallido.

G. Tratamiento de datos sensibles sin DPIA: riesgo alto y sancionable.

Cómo lo enfocamos en STAKKER

Construimos el sistema desde el principio con estos doce puntos en mente y entregamos:

  • DPA con cláusulas art. 28 listo para firmar.
  • Lista de subencargados específica del proyecto.
  • Política de retención por defecto 30-90 días, configurable.
  • Aviso de IA en el primer mensaje del bot, llamada o WhatsApp.
  • Handoff humano en todos los flujos.
  • Logs y trazabilidad activos desde día uno.
  • DPIA cuando el caso lo exige (clínicas, sectores regulados).

No firmamos un proyecto que viole alguno de los doce puntos. Si el cliente no tiene DPO y el caso lo exige, pausamos hasta que lo resuelva.

Más detalle en IA y protección de datos y en las páginas de servicio:

Preguntas frecuentes

¿Tengo que registrar mi chatbot ante la AEPD?

No hay un registro público de chatbots, pero el tratamiento debe constar en el registro de actividades del responsable (art. 30 RGPD) y en el DPA con el proveedor. La inspección AEPD pedirá esos documentos, no un "alta de chatbot".

¿Y si mi proveedor de IA está fuera de la UE (OpenAI, Anthropic)?

Necesitas garantías de transferencia internacional: Standard Contractual Clauses (SCC), adhesión al Data Privacy Framework EU-US o equivalente. Sin garantías, hay riesgo. Buena parte de los proveedores serios ya las tienen.

¿Vale el "aceptar política de privacidad" como consentimiento para todo?

No. El consentimiento debe ser específico, libre, informado y verificable. Un único checkbox no cubre múltiples finalidades distintas (chatbot + marketing + cookies + analítica).

¿Qué pasa si la AEPD investiga?

Te pedirán: política de privacidad, registro de actividades, DPA con proveedores, base legal documentada, mecanismo de derechos, retención efectiva, brechas notificadas. Si lo tienes ordenado, la inspección es trámite. Si no, las multas RGPD llegan a 20M EUR o 4% facturación global.

¿Tengo que avisar al usuario si grabo la llamada del agente IA?

Sí, antes de empezar a grabar. Aviso al inicio + base legal documentada + retención acotada. Sin aviso explícito y sin base legal, no se graba.

¿Puedo usar las conversaciones del bot para entrenar la IA?

Solo con consentimiento explícito, separado de la finalidad principal. Por defecto los grandes proveedores (Anthropic, OpenAI) ofrecen modos sin uso para entrenamiento; configúralo así.

Siguiente paso

Si vas a montar un chatbot IA y quieres saber qué te aplica antes de gastar un euro, podemos auditar tu caso. La primera revisión es gratis: explicamos qué te aplica del RGPD y del AI Act, qué riesgos tienes y qué hace falta para que el bot funcione legalmente.

Auditar mi caso · Ver enfoque legal completo

¿Quieres implementar esto en tu negocio?

Primera consulta gratis. Te decimos exactamente qué necesitas y cuánto cuesta. Sin compromisos.

Consulta gratis