1) Alcance y finalidades
Telecajas utiliza inteligencia artificial (IA) para apoyar la atención al cliente, el análisis documental y de datos, la redacción asistida y la automatización de procesos. Para estos fines pueden tratarse datos personales estrictamente necesarios (por ejemplo, nombres, pedidos, direcciones y datos de facturación) conforme a los principios del Reglamento General de Protección de Datos (RGPD).
2) Roles en el tratamiento
-
Telecajas actúa como Responsable del tratamiento.
-
Los proveedores de IA actúan como Encargados del tratamiento, bajo Acuerdo de Tratamiento de Datos – DPA (Data Processing Addendum) que incorpora instrucciones, confidencialidad, medidas técnicas y organizativas, asistencia en el ejercicio de derechos y supresión/devolución de datos (art. 28 RGPD).
3) Salvaguardas técnicas y organizativas
Telecajas aplica “privacidad desde el diseño y por defecto” y exige a sus proveedores, como mínimo, las siguientes garantías:
-
No entrenamiento por defecto del contenido empresarial: nuestros prompts y resultados no se emplean para entrenar modelos salvo activación/consentimiento expreso y documentado.
-
Cifrado en tránsito mediante TLS (Transport Layer Security) y cifrado en reposo mediante AES-256 (Advanced Encryption Standard, 256 bits) o equivalentes.
-
Controles de acceso con MFA (Multi-Factor Authentication, autenticación multifactor) y SSO (Single Sign-On, inicio de sesión único); soporte de SAML (Security Assertion Markup Language) y/o OIDC (OpenID Connect); gestión de roles y permisos y registros de auditoría.
-
Monitorización y respuesta a incidentes 24/7, pruebas de seguridad (incluido red-teaming, pruebas ofensivas controladas) y enfoque de defensa en profundidad.
-
Retención mínima y borrado seguro; cuando el servicio lo permita, no retención de contenidos.
-
Residencia/localización de datos (por ejemplo, en la UE) cuando sea viable y transferencias internacionales con Cláusulas Contractuales Tipo – SCCs (Standard Contractual Clauses) y medidas complementarias.
-
Evaluaciones de Impacto en Protección de Datos – DPIA (Data Protection Impact Assessment) cuando el uso de IA pueda implicar alto riesgo para los derechos y libertades.
4) Estándares y certificaciones exigidos
Priorizamos proveedores con acreditaciones internacionales como ISO/IEC 27001 (SGSI), ISO/IEC 27017 (controles de nube), ISO/IEC 27018 (PII en nube pública) y ISO/IEC 27701 (gestión de privacidad); auditorías SOC 2 Tipo 2(controles operativos evaluados en el tiempo, Control de seguridad, disponibilidad, confidencialidad de datos) y registro CSA STAR (Cloud Security Alliance – Security, Trust, Assurance and Risk); así como alineamiento con RGPD y marcos equivalentes (por ejemplo, CCPA en EE. UU.). Para nuevas herramientas de IA, exigimos niveles sustancialmente equivalentes.
5) Integraciones y conectores
Las integraciones con repositorios corporativos (por ejemplo, Google Drive, SharePoint, GitHub, Notion) se habilitan y limitan por el equipo de TI, aplicando principio de mínimo privilegio y segregación de permisos. Toda conexión queda sujeta a controles de acceso y trazabilidad.
6) Bases jurídicas y minimización
Tratamos datos personales sobre la base de ejecución de contrato y/o interés legítimo (art. 6.1.b/f RGPD), aplicando minimización, seudonimización y enmascaramiento cuando proceda. Realizamos DPIA en usos de IA que lo requieran y documentamos las medidas de mitigación (incluida revisión humana).
7) Derechos de las personas
Telecajas garantiza el ejercicio de acceso, rectificación, supresión, oposición, limitación y portabilidad. Colaboramos con los Encargados para responder en plazo y con trazabilidad.
8) Conservación y supresión
Los datos procesados por herramientas de IA se conservan solo el tiempo imprescindible en función de la finalidad y de obligaciones legales/contractuales. Implementamos borrado seguro y configuraciones de no retención cuando estén disponibles.
9) Gestión de incidentes y transparencia
Disponemos de procedimientos de detección, respuesta y notificación. En caso de brecha con riesgo, Telecajas notificará a la AEPD (Agencia Española de Protección de Datos) y a los interesados conforme al RGPD. Mantenemos revisión humana en decisiones con efectos relevantes, controles anti-uso indebido y validación de resultados generativos.
10) Actualizaciones del anexo
Este anexo se revisará y actualizará cuando incorporemos nuevas herramientas de IA o cambien materialmente las garantías ofrecidas por los proveedores, manteniendo el mismo umbral de seguridad, privacidad y cumplimiento descrito.
