Cumplimiento AI Act & RGPD

1 Clasificación de riesgo (AI Act)

El Reglamento (UE) 2024/1689 clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo. Los empleados digitales de NodeZen operan por defecto en el nivel de riesgo limitado: informan al usuario de que está interactuando con un sistema de IA, respetan obligaciones de transparencia y mantienen supervisión humana. Antes de cualquier despliegue, realizamos un análisis del caso de uso concreto para descartar que entre en la categoría de alto riesgo (por ejemplo, decisiones médicas, crediticias o de contratación).

2 Transparencia y supervisión humana

Todo empleado digital se identifica al inicio de la conversación como un sistema automatizado. Cada interacción queda registrada y puede ser revisada, corregida o reanudada por un humano desde el CRM. Ningún mensaje saliente que implique compromisos legales o contractuales se envía sin validación humana explícita.

3 Base legal del tratamiento (RGPD)

Actuamos como Encargado del Tratamiento de los datos personales que procesa cada empleado digital por cuenta de nuestros clientes, que son los Responsables. Toda la relación se formaliza en un Contrato de Encargado del Tratamiento (art. 28 RGPD). Las bases jurídicas habituales son la ejecución de contrato y el interés legítimo, documentadas en el Registro de Actividades de Tratamiento (RAT) de cada cliente.

4 Minimización y retención de datos

Solo procesamos los datos estrictamente necesarios para cumplir con el objetivo de cada conversación. Los datos se conservan mientras exista la relación contractual con el cliente y, tras su finalización, durante los plazos de prescripción legales aplicables. El cliente puede solicitar la eliminación anticipada en cualquier momento.

5 Seguridad técnica

• Cifrado en tránsito con TLS 1.3 y en reposo con AES-256.
• Autenticación por usuario y control de acceso basado en roles (RBAC).
• Hosting en proveedores europeos con certificaciones ISO 27001 y SOC 2.
• Backups cifrados y registro de auditoría de accesos.

6 Proveedores de IA

Utilizamos modelos de Google (Gemini) y otros proveedores europeos y estadounidenses. Todos nuestros proveedores tienen firmado un Acuerdo de Encargado del Tratamiento y ofrecen garantías adecuadas para transferencias internacionales (cláusulas contractuales tipo de la Comisión Europea, art. 46 RGPD). Los datos de clientes no se utilizan para entrenar modelos salvo autorización expresa.

7 Derechos de los interesados

Cualquier persona cuyos datos sean tratados por un empleado digital de NodeZen puede ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. La vía principal es contactar con el Responsable del Tratamiento (nuestro cliente); alternativamente puede escribir a hola@nodezen.es y trasladaremos la solicitud.

8 Incidentes y notificación

Disponemos de un protocolo interno de detección y respuesta ante incidentes de seguridad. En caso de brecha que afecte a datos personales, notificamos al cliente en un plazo máximo de 48 horas desde su detección, con la información necesaria para que pueda cumplir con sus propias obligaciones ante la autoridad de control (art. 33 RGPD).