1. Objetivo y Alcance
El presente documento establece la Política de Privacidad y Protección de Datos Personales de NUBACOM, aplicable al tratamiento de datos personales realizados a través de NubaAI Agents Platform. Esta política aplica a:
- Todos los datos personales de clientes finales procesados por NubaAI Agents Platform.
- Datos de empleados y contratistas de NUBACOM con acceso a los sistemas.
- Todos los sistemas, aplicaciones y bases de datos que procesen datos personales.
Marco normativo aplicable: Reglamento General de Protección de Datos (GDPR/RGPD) de la Unión Europea, Ley 1581 de 2012 de Colombia, Ley N 19.628 de Chile, Ley Federal de Protección de Datos Personales de México y el Reglamento Europeo de IA (AI Act).
2. Definiciones
- Dato personal: Cualquier información concerniente a personas naturales identificadas o identificables.
- Tratamiento: Cualquier operación realizada sobre datos personales (recolección, almacenamiento, uso, comunicación, etc.).
- Responsable del tratamiento: NUBACOM, como entidad que determina los propósitos y medios del tratamiento.
- Encargado del tratamiento: ElevenLabs, Inc. y Microsoft Azure, como proveedores que procesan datos por cuenta de NUBACOM.
- DPO: Delegado de Protección de Datos – Constantino Maldonado Alvarado.
- PIA: Evaluación de Impacto en Privacidad (Privacy Impact Assessment).
- Derechos ARCO: Derechos de Acceso, Rectificación, Cancelación y Oposición sobre datos personales.
3. Base Legal para el Tratamiento de Datos
El tratamiento de datos personales se fundamenta en las siguientes bases legales, según la jurisdicción:
| Jurisdicción | Base legal | Fundamento |
|---|---|---|
| Unión Europea | GDPR/RGPD Art. 6 | Ejecución de contrato (Art. 6.1.b) + Consentimiento (Art. 6.1.a) + Interés legítimo (Art. 6.1.f) |
| Colombia | Ley 1581 de 2012 | Autorización previa expresa del titular (Art. 9) + Contrato (Art. 10) |
| Chile | Ley N 19.628 | Consentimiento libre, informado y específico (Art. 4) |
| México | LFPDPPP | Consentimiento del titular + Relación contractual |
4. Principios del Tratamiento de Datos
- Licitud, lealtad y transparencia: Los datos se tratan de manera lícita, leal y transparente al titular.
- Limitación de la finalidad: Los datos se recogen para fines determinados, explícitos y legítimos sin tratarse de manera incompatible.
- Minimización de datos: Se recogen únicamente datos adecuados, pertinentes y limitados a lo necesario.
- Exactitud: Se mantienen los datos exactos y actualizados; se rectifican o suprimen los inexactos.
- Limitación del plazo de conservación: Se conservan los datos durante el tiempo necesario para los fines del tratamiento.
- Integridad y confidencialidad: Se tratan los datos de manera segura, protegiéndolos contra accesos no autorizados.
- Responsabilidad proactiva: El responsable es responsable del cumplimiento y debe demostrarlo.
5. Categorías de Datos Tratados
NubaAI Agents Platform trata las siguientes categorías de datos personales:
| Categoría | Ejemplos | Finalidad | Base legal |
|---|---|---|---|
| Datos de identificación | Nombre, apellidos, ID, número de teléfono | Atención al cliente mediante agente conversacional | Ejecución de contrato + Consentimiento |
| Datos de contacto | Email, dirección, ciudad | Comunicación y seguimiento de solicitudes | Ejecución de contrato |
| Datos de voz/audio | Grabaciones de conversaciones telefónicas | Procesamiento por motor IA (ElevenLabs) | Consentimiento expreso |
| Datos de interacción | Historial de conversaciones, consultas, preferencias | Mejora del servicio y personalización | Interés legítimo |
| Datos de geolocalización | País/región del usuario (derivado de teléfono/IP) | Enrutamiento y cumplimiento normativo | Interés legítimo |
| Datos técnicos | Dirección IP, agente de usuario, dispositivo | Seguridad y diagnóstico técnico | Interés legítimo |
NubaAI Agents Platform no procesa datos de categorías especiales (salud, origen étnico, opinión política, religión, etc.) salvo autorización expresa y justificación válida del titular.
6. Finalidades del Tratamiento
- Prestación del servicio de atención al cliente mediante agentes conversacionales de IA.
- Gestión y resolución de consultas, quejas y solicitudes de los clientes.
- Mejora continua de la calidad del servicio y del modelo de IA.
- Cumplimiento de obligaciones legales y contractuales.
- Seguridad y prevención de fraude.
- Análisis estadístico anonimizado para mejora de procesos.
Prohibiciones: Los datos personales de los clientes no se utilizan para entrenar modelos de IA de terceros sin autorización expresa. ElevenLabs opera en modo de “Zero Retención”: no retiene datos de audio ni de texto después del procesamiento.
7. Derechos de los Titulares y su Ejercicio
Los titulares de datos personales tienen los siguientes derechos:
- Derecho de acceso: Conocer qué datos personales suyos están siendo tratados por NUBACOM.
- Derecho de rectificación: Solicitar la corrección de datos inexactos o incompletos.
- Derecho de supresión (“derecho al olvido”): Solicitar la eliminación de sus datos cuando ya no sean necesarios.
- Derecho de oposición: Oponerse al tratamiento de sus datos por motivos legítimos.
- Derecho de portabilidad: Recibir sus datos en formato estructurado y transferirlos a otro responsable.
- Derecho de limitación del tratamiento: Solicitar la limitación del tratamiento en determinadas circunstancias.
- Derecho a no ser objeto de decisiones automatizadas: Solicitar intervención humana en decisiones basadas únicamente en IA.
7.1 Procedimiento para ejercer derechos
- Canal: Portal web dedicado para ejercicio de derechos ARCO (https://privacidad.nubacom.mx).
- Email: dpo@nubacom.mx
- Plazo de respuesta: Máximo 20 días hábiles (Colombia/Chile) o 30 días (GDPR).
- Verificación de identidad: Se requiere documento de identidad válido.
- Sin costo: El ejercicio de derechos es gratuito para el titular.
- Responsable: DPO Constantino Maldonado Alvarado.
8. Transferencias Internacionales de Datos
Dado que NubaAI Agents Platform opera en múltiples jurisdicciones y utiliza proveedores en diferentes países, se realizan las siguientes transferencias internacionales de datos:
| Origen | Destino | Finalidad | Mecanismo de transferencia |
|---|---|---|---|
| Colombia/Chile/México | Estados Unidos (Azure US) | Procesamiento y almacenamiento en la nube | Cláusulas Contractuales Tipo (CCT) + Certificación AICPA SOC 2 |
| Unión Europea | Estados Unidos (ElevenLabs) | Procesamiento de audio/voz por IA | Cláusulas Contractuales Tipo (CCT) + DPA firmado + Zero Retention |
| México Central (Azure) | South Central US (Azure) | Replicación para continuidad del negocio | Intra‑grupo: Política de privacidad vinculante |
Todas las transferencias internacionales se realizan con las salvaguardas adecuadas conforme al GDPR (Capítulo V), la Decisión de Ejecución (UE) 2021/914 sobre Cláusulas Contractuales Tipo, y las regulaciones locales aplicables.
9. Medidas de Seguridad
9.1 Medidas técnicas
- Cifrado en reposo (AES‑256) para bases de datos y almacenamiento.
- Cifrado en tránsito (TLS 1.2/1.3) para todas las comunicaciones.
- Autenticación multifactor (MFA) para accesos administrativos.
- Control de acceso basado en roles (RBAC) con privilegio mínimo.
- Firewall de aplicaciones web (WAF) y protección anti‑DDoS.
- Monitorización continua de seguridad (SIEM, IDS/IPS).
- Segmentación de red y aislamiento de entornos.
- Copias de seguridad cifradas con retención de 7 años.
9.2 Medidas organizativas
- Política de seguridad de la información documentada y aprobada.
- Capacitación periódica del personal en protección de datos.
- Acuerdos de confidencialidad (NDA) con todo el personal.
- Procedimiento de gestión de incidentes de seguridad.
- Auditorías internas periódicas de seguridad y privacidad.
- Evaluación de Impacto en Privacidad (PIA) para nuevos proyectos.
10. Encargados del Tratamiento (Subprocesadores)
NUBACOM utiliza los siguientes subprocesadores para el tratamiento de datos personales:
| Encargado | Servicio | Ubicación | Certificaciones | DPA |
|---|---|---|---|---|
| Microsoft Azure | Infraestructura cloud (cómputo, almacenamiento, red) | México Central + South Central US | ISO 27001, ISO 27017, ISO 27018, SOC 2, CSA STAR | DPA estándar de Azure |
| ElevenLabs, Inc. | Motor de IA para procesamiento de voz y audio | Estados Unidos | SOC 2 Type II | DPA firmado (Zero Retention Mode) |
NUBACOM mantiene un registro actualizado de subprocesadores disponible en el portal de privacidad. Se notificará al cliente con al menos 30 días de anticipación sobre cualquier cambio de subprocesador.
11. Notificación de Incidentes de Seguridad y Brechas de Datos
11.1 Detección y respuesta
- Detección: Monitorización continua mediante SIEM, IDS/IPS y auditorías de seguridad.
- Contención: Aislamiento inmediato de sistemas afectados para limitar el impacto.
- Investigación: Análisis forense para determinar el alcance y causa raíz del incidente.
- Remediación: Corrección de vulnerabilidades y restauración de sistemas afectados.
11.2 Notificación a titulares y autoridades
- A la autoridad de control: En un plazo máximo de 72 horas desde la detección (GDPR).
- A los titulares afectados: Sin dilación indebida cuando el riesgo sea alto.
- A los clientes: Notificación inmediata (máximo 24 horas) como contraparte contractual.
- El DPO liderará el proceso de notificación y coordinará con las autoridades competentes.
12. Privacidad desde el Diseño y Evaluación de Impacto
12.1 Privacy by Design
- Minimización de datos: Solo se recogen los datos estrictamente necesarios.
- Configuración de privacidad por defecto: Las opciones más restrictivas están activadas por defecto.
- Seguridad integrada: Cifrado, autenticación y autorización incorporados desde el diseño.
- Transparencia: Los usuarios son informados claramente sobre el uso de sus datos.
- Intervención humana: Supervisión humana habilitada para decisiones críticas de IA.
12.2 Evaluación de Impacto en Privacidad (PIA)
Se realiza una PIA para NubaAI Agents Platform con los siguientes componentes:
- Descripción del tratamiento: Tipos de datos, finalidades y destinatarios.
- Evaluación de necesidad y proporcionalidad: Justificación de cada dato recolectado.
- Evaluación de riesgos: Para los derechos y libertades de los titulares.
- Medidas para mitigar riesgos: Controles técnicos y organizativos implementados.
- Fecha de la PIA: enero 2026 | Próxima revisión: enero 2027.
13. Plazos de Conservación de Datos
| Categoría de datos | Plazo de conservación | Justificación |
|---|---|---|
| Datos de interacción del cliente | Durante la vigencia del contrato + 3 años | Obligaciones contractuales y legales |
| Grabaciones de voz/audio | 12 meses desde la grabación (consentimiento) | Calidad del servicio y resolución de disputas |
| Logs de auditoría | 7 años | Cumplimiento normativo y evidencia forense |
| Datos de usuarios dados de baja | 30 días (soft delete) + 90 días (hard delete) | Ejercicio de derechos ARCO |
| Datos anonimizados | Ilimitado (no son datos personales) | Análisis estadístico y mejora continua |
Al vencimiento del plazo de conservación, los datos serán eliminados de forma segura conforme al procedimiento de supresión de datos establecido.
14. Revisión de la Política
Esta política será revisada anualmente o cuando ocurran cambios significativos en la legislación, la tecnología o los servicios ofrecidos. La revisión es responsabilidad del DPO y debe ser aprobada por la Alta Dirección de NUBACOM.
15. Contacto del Delegado de Protección de Datos (DPO)
Para cualquier consulta, solicitud o reclamación relacionada con la protección de datos personales, contactar a:
- Nombre: Constantino Maldonado Alvarado
- Cargo: Presidente y Delegado de Protección de Datos (DPO)
- Empresa: NUBACOM
- Email: dpo@nubacom.mx
- Teléfono: +52 811 696 3966
Versión y Aprobación
| Versión | Fecha | Clasificación | Elaborado por |
|---|---|---|---|
| 2.0 | 21/04/2026 | Confidencial | Constantino Maldonado Alvarado – Presidente |
| Rol | Nombre | Cargo | Firma |
|---|---|---|---|
| Aprobado por | Constantino Maldonado Alvarado | Presidente |