← Inicio

Legal

Política de Privacidad

Versión 2.0 · Junio 2026

1. Responsable del tratamiento

| | | |---|---| | Denominación social | Fusion Ingenieria Eficiente S.L.P | | NIF | B65619298 | | Domicilio | Carrer Costa Daurada, 8, 5º 3ª, 08394 Sant Vicenç de Montalt (Barcelona) | | Email | rgpd@talqi.io | | Producto | talqi — Agentes de IA para empresas |

2. Qué hacemos

talqi desarrolla y opera una plataforma de agentes de inteligencia artificial que se integran en los canales de comunicación y procesos digitales de nuestros clientes empresariales. La plataforma incluye, de forma no exhaustiva:

  • Agente conversacional: responde a consultas de clientes finales de forma automatizada vía WhatsApp Business u otros canales integrados.
  • Agente de reservas automáticas: gestiona reservas, citas o disponibilidad de forma autónoma en nombre del cliente empresarial.
  • Captación de leads: recoge datos de potenciales clientes a través de formularios web y de la integración con WhatsApp Business.
  • Otros agentes especializados: automatizaciones de procesos, flujos de atención, gestión documental u otras funcionalidades que talqi pueda incorporar a la plataforma.

En el contexto del RGPD, talqi actúa como Encargado del Tratamiento (Data Processor). Nuestros clientes empresariales son los Responsables del Tratamiento (Data Controllers) de los datos de sus propios clientes y leads. Esta relación se formaliza obligatoriamente mediante un Acuerdo de Encargo del Tratamiento (DPA) suscrito con cada cliente empresarial, conforme al Art. 28 RGPD.

3. Datos que recopilamos

3.1 De nuestros clientes empresariales

  • Nombre de la empresa y datos de contacto del representante
  • Dirección de email y número de teléfono profesional
  • Datos de facturación (nombre fiscal, NIF/CIF, dirección)
  • Credenciales de acceso a WhatsApp Business API (cifradas en reposo)
  • ID de grupo de Telegram para la administración del agente

3.2 De los clientes finales e interesados (en nombre de nuestros clientes empresariales)

  • Número de teléfono de WhatsApp
  • Nombre del contacto (si lo proporciona el usuario o WhatsApp)
  • Dirección de email (cuando se recopile a través de formularios de captación de leads)
  • Datos introducidos voluntariamente en formularios de captación (nombre, empresa, consulta u otros campos configurados por el cliente empresarial)
  • Contenido de las conversaciones (mensajes de texto, imágenes, documentos)
  • Notas de voz: recibidas vía WhatsApp y transcritas internamente; no se almacenan los archivos de audio originales más allá del procesamiento en tiempo real
  • Datos generados por agentes especializados (por ejemplo, datos de reserva, preferencias de servicio, información de disponibilidad) según las funcionalidades activas para cada cliente
  • Metadatos de la interacción (marcas de tiempo, duración, estado de resolución, tipo de agente interviniente)

4. Finalidad del tratamiento

  • Prestación del servicio: procesamiento de interacciones (conversaciones, reservas, formularios y automatizaciones) para generar respuestas y acciones automatizadas mediante IA.
  • Captación de leads: recogida y almacenamiento de datos de potenciales clientes a través de formularios web o de la integración con WhatsApp Business, en nombre y según las instrucciones del cliente empresarial.
  • Gestión de reservas y procesos automatizados: ejecución de flujos de reserva, confirmación, modificación o cancelación de citas y servicios de forma autónoma por parte del agente.
  • Mejora del agente: análisis de interacciones para optimizar la calidad de las respuestas y el rendimiento de los agentes.
  • Métricas y reporting: generación de estadísticas agregadas (tasa de resolución, tiempo de respuesta, volumen de leads) para los clientes.
  • Soporte técnico: diagnóstico y resolución de incidencias en el funcionamiento del agente.
  • Facturación: emisión de facturas y gestión de cobros a clientes empresariales.

No vendemos datos a terceros. No utilizamos los datos de conversación o de leads de un cliente para entrenar modelos de IA de uso general. No realizamos perfilado de clientes finales con fines publicitarios.

  • Ejecución del contrato de servicio (Art. 6.1.b RGPD) — para los datos de nuestros clientes empresariales.
  • Interés legítimo, consentimiento u otra base legal aplicable según determine el Responsable del Tratamiento (Art. 6.1.a, b o f RGPD) — talqi, como Encargado, no determina ni es responsable de la base legal aplicable al tratamiento de datos de clientes finales o leads; esta determinación corresponde exclusivamente al cliente empresarial.
  • Cumplimiento de obligaciones legales (Art. 6.1.c RGPD) — para conservación de datos fiscales.

En particular, para la captación de leads mediante formularios o WhatsApp Business, el cliente empresarial (Responsable) es quien determina y garantiza la base legal aplicable (habitualmente el consentimiento del interesado o el interés legítimo), y quien debe informar a los interesados conforme a los Arts. 13 y 14 RGPD.

6. Acuerdo de Encargo del Tratamiento (DPA)

Conforme al Art. 28 RGPD, talqi suscribe con cada cliente empresarial un Acuerdo de Encargo del Tratamiento antes del inicio de la prestación del servicio. El texto íntegro del DPA se puede consultar en la pestaña «DPA» de esta página. Para solicitarlo previamente a la contratación: rgpd@talqi.io

7. Encargados del tratamiento (subprocesadores)

Para prestar nuestro servicio, compartimos datos con los siguientes proveedores:

| Subprocesador | Ubicación | Servicio | Garantía | |---|---|---|---| | Anthropic PBC | EE.UU. | Procesamiento IA (API Claude) | CCT UE + TIA realizada | | Amazon Web Services | UE (Irlanda) | Alojamiento infraestructura y BBDD | Región eu-west-1 | | Neon Inc. | UE | Almacenamiento datos conversación | Neon EU | | Meta Platforms | UE (Irlanda) | Infraestructura WhatsApp Business API | Entidad europea de Meta |

Transferencias internacionales: para transferencias a Anthropic (EE.UU.) se han suscrito las CCT aprobadas por la Comisión Europea y se ha realizado una Transfer Impact Assessment (TIA). Los datos se seudonimizarán siempre que sea técnicamente posible.

8. Conservación de datos

  • Mensajes de conversación e interacciones de agentes: 90 días desde el último mensaje o interacción (eliminación automática vía TTL).
  • Datos de leads capturados (formularios y WhatsApp Business): duración del contrato + 30 días tras la baja, salvo que el cliente empresarial instruya un período diferente o la normativa aplicable exija otro plazo.
  • Datos de reservas gestionadas por el agente: 90 días desde la fecha de la reserva o el plazo que determine el cliente empresarial.
  • Datos de clientes empresariales: duración del contrato + obligaciones fiscales (4 años para facturas).
  • Métricas agregadas y anonimizadas: se conservan indefinidamente.

9. Medidas de seguridad

  • Cifrado de credenciales de API en reposo (AES-256).
  • Aislamiento de datos por tenant — cada consulta a base de datos se filtra por tenant_id.
  • Comunicaciones cifradas mediante TLS 1.3 (Cloudflare).
  • Copias de seguridad diarias automatizadas de la base de datos.
  • Alojamiento en servidores de la UE (AWS eu-west-1, Irlanda).
  • Verificación criptográfica de webhooks de WhatsApp en todas las peticiones entrantes.
  • Alertas automáticas ante errores del sistema vía canal de Telegram del operador.

10. Notificación de brechas de seguridad

En caso de detectarse una brecha de seguridad que afecte a datos personales tratados en nombre de un cliente empresarial, talqi:

  • Notificará al cliente (Responsable) sin dilación indebida y en un plazo máximo de 24 horas desde la detección.
  • Incluirá en la notificación: descripción de la brecha, categorías y volumen aproximado de datos afectados, consecuencias probables y medidas adoptadas.
  • El cliente dispondrá así del margen necesario para notificar a la AEPD dentro del plazo de 72 horas (Art. 33 RGPD).
  • talqi colaborará activamente en la investigación, contención y documentación de la brecha.

Contacto para incidencias de seguridad: rgpd@talqi.io (respuesta garantizada en menos de 2 horas en horario laboral)

11. Derechos de los interesados

Conforme al RGPD y a la LOPDGDD, cualquier persona tiene derecho a acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento de sus datos.

Para los clientes finales y leads que interactúan con cualquier agente talqi o que hayan facilitado sus datos a través de formularios: las solicitudes deben dirigirse al negocio correspondiente, que es el Responsable del Tratamiento.

En caso de que talqi reciba directamente una solicitud de ejercicio de derechos de un cliente final o lead, la redirigirá al Responsable correspondiente en un plazo máximo de 72 horas e informará al solicitante. talqi colaborará con el Responsable para facilitar el ejercicio efectivo conforme al Art. 28.3.e RGPD.

Contacto: rgpd@talqi.io · Reclamaciones ante la AEPD: www.aepd.es

12. Uso de inteligencia artificial

talqi opera múltiples tipos de agentes de IA. Con carácter general, se aplican los siguientes principios:

  • Los mensajes e interacciones se envían a la API de Anthropic para su procesamiento. Anthropic no utiliza estos datos para entrenar sus modelos generales.
  • Las respuestas y acciones son generadas o ejecutadas en tiempo real y no se almacenan por parte de Anthropic más allá del tiempo de procesamiento.
  • Cada agente opera con instrucciones específicas del negocio (system prompt) que definen su comportamiento, límites y alcance funcional.
  • El agente conversacional está diseñado para escalar a un humano cuando no puede resolver una consulta con confianza.
  • El agente de reservas actúa únicamente dentro de los parámetros configurados por el cliente empresarial y no realiza acciones fuera de dicho ámbito.
  • No se realizan decisiones automatizadas con efectos jurídicos significativos sobre clientes finales o leads únicamente sobre la base del tratamiento por IA (Art. 22 RGPD), salvo que el cliente empresarial lo habilite expresamente y garantice la base legal correspondiente.

13. Captación de leads

talqi ofrece a sus clientes empresariales funcionalidades para la captación de leads a través de dos canales principales:

13.1 Formularios web

Los clientes empresariales pueden integrar formularios de captación en sus sitios web o landings gestionados a través de la plataforma talqi. Los datos recogidos (nombre, email, teléfono u otros campos configurados) son tratados por talqi en calidad de Encargado del Tratamiento, siguiendo las instrucciones del cliente empresarial.

El cliente empresarial es responsable de:

  • Obtener el consentimiento informado de los interesados antes de la recogida de datos, cuando sea la base legal aplicable.
  • Incluir la información preceptiva (Arts. 13/14 RGPD) en el formulario o en la política de privacidad de su propio sitio web.
  • Garantizar que el uso posterior de los datos captados es conforme a la base legal declarada.

13.2 WhatsApp Business

A través de la integración con WhatsApp Business API, el agente talqi puede actuar como canal de captación de leads, recogiendo datos de contacto e interés de usuarios que inicien una conversación o respondan a campañas autorizadas.

El cliente empresarial es responsable de:

  • Cumplir con las Políticas de Uso de WhatsApp Business y Meta para el envío de mensajes y captación de datos.
  • Garantizar que los usuarios han prestado su consentimiento o que existe otra base legal válida para la recogida y tratamiento de sus datos a través de este canal.
  • Informar a los interesados sobre el uso de sus datos conforme al RGPD.

Los datos de leads captados se conservan según lo indicado en el apartado 8 de esta política.

14. Cookies y seguimiento web

El Sitio Web utiliza Cloudflare Web Analytics: no utiliza cookies, ni localStorage, ni fingerprinting de usuarios. Los datos se procesan de forma agregada y anónima. No requiere consentimiento previo conforme al Art. 22.2 LSSI-CE.

El Sitio Web puede utilizar cookies técnicas estrictamente necesarias para su funcionamiento. Estas no requieren consentimiento previo.

Cualquier herramienta de análisis o marketing que utilice cookies (por ejemplo, Google Analytics 4 o Meta Pixel) solo se activará tras el consentimiento previo y expreso del usuario, otorgado a través del panel de configuración de cookies del Sitio Web. Para más detalle, consulta la Política de Cookies.

15. Modificaciones

talqi se reserva el derecho de actualizar esta política. Cualquier modificación sustancial será comunicada a los clientes empresariales por email y publicada en esta página con la fecha de actualización.

Los cambios que afecten al DPA se notificarán con un mínimo de 30 días de antelación.

Política de Privacidad v2.0 — talqi · Agentes de IA para empresas — Junio 2026

CLÁUSULA 1. Objeto y ámbito de aplicación

1.1. El presente Acuerdo regula las condiciones bajo las cuales el Encargado tratará datos personales por cuenta del Responsable en el marco de la prestación del servicio talqi, consistente en el despliegue y operación de agentes de inteligencia artificial integrados en los canales digitales del Responsable, incluyendo sin limitación: agente conversacional, agente de reservas automáticas, captación de leads mediante formularios y WhatsApp Business, y otros agentes especializados que talqi pueda incorporar a la plataforma.

1.2. El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, salvo que una norma de Derecho de la Unión Europea o del Estado miembro aplicable al Encargado lo exija de otro modo, en cuyo caso informará al Responsable de dicha exigencia legal antes del tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.

1.3. El Acuerdo es parte integrante del Contrato Principal. En caso de contradicción entre ambos documentos en materia de protección de datos, prevalecerá el presente DPA.

CLÁUSULA 2. Descripción del tratamiento

2.1. La descripción detallada del tratamiento se recoge en el Apéndice A (Descripción del Tratamiento) que forma parte de este Acuerdo.

2.2. A efectos informativos, el tratamiento comprende:

| Aspecto | Descripción | |---|---| | Naturaleza | Recogida, registro, organización, consulta, comunicación, modificación y supresión mediante sistemas automatizados de IA (conversacional, reservas, automatizaciones, formularios y canales digitales) | | Finalidad | Prestación del servicio de agentes de IA en nombre del Responsable; atención al cliente final; automatización de reservas y procesos; captación de leads; análisis para mejora del servicio | | Tipo de datos | Número de teléfono, nombre del contacto, email, datos del formulario de captación, contenido de conversaciones (texto, imágenes, documentos), transcripciones de notas de voz, metadatos de interacción, datos de reserva o gestión automatizada | | Categorías de interesados | Clientes finales, usuarios, contactos del Responsable y leads captados que interactúen con cualquier agente talqi vía WhatsApp, formulario web u otros canales integrados | | Duración | Duración del Contrato Principal + período de retención aplicable (ver Cláusula 9 de la Política de Privacidad) |

CLÁUSULA 3. Obligaciones del Encargado

3.1 Instrucciones del Responsable

El Encargado tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable. El Encargado informará inmediatamente al Responsable si, en su opinión, alguna instrucción infringe el RGPD u otras disposiciones aplicables en materia de protección de datos.

3.2 Confidencialidad

El Encargado garantizará que las personas autorizadas para tratar los datos personales se han comprometido a guardar confidencialidad o están sujetas a una obligación legal de confidencialidad. Esta obligación se mantendrá incluso después de la extinción del Contrato Principal.

3.3 Seguridad del tratamiento

El Encargado aplicará las medidas técnicas y organizativas descritas en el Apéndice B, que garantizan un nivel de seguridad adecuado al riesgo conforme al Art. 32 RGPD, incluyendo:

  • Cifrado de datos en reposo (AES-256) y en tránsito (TLS 1.3)
  • Seudonimización de datos cuando sea técnicamente posible
  • Garantía de confidencialidad, integridad, disponibilidad y resiliencia permanentes
  • Capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente
  • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas
  • Aislamiento de datos por tenant mediante filtrado por tenant_id en todas las consultas
  • Verificación criptográfica de webhooks de WhatsApp

3.4 Subencargados del tratamiento

El Responsable otorga al Encargado una autorización general para contratar subencargados, sujeta a las condiciones siguientes:

  • El Encargado notificará al Responsable con al menos 30 días de antelación cualquier incorporación o sustitución de subencargados.
  • El Responsable podrá oponerse motivadamente a dicho cambio dentro del plazo de 30 días.
  • El Encargado impondrá a los subencargados las mismas obligaciones de protección de datos establecidas en este DPA.
  • El Encargado responderá ante el Responsable del cumplimiento de las obligaciones del subencargado.

Los subencargados actualmente autorizados se recogen en el Apéndice C.

3.5 Asistencia al Responsable

El Encargado asistirá al Responsable, en la medida de lo posible, en el cumplimiento de sus obligaciones en materia de:

  • Ejercicio de derechos por parte de los interesados (Arts. 15 a 22 RGPD): el Encargado redirigirá al Responsable cualquier solicitud recibida en un plazo máximo de 72 horas.
  • Notificación de brechas de seguridad a la autoridad supervisora y comunicación a los interesados (Arts. 33 y 34 RGPD): el Encargado notificará al Responsable en un plazo máximo de 24 horas desde la detección.
  • Evaluaciones de impacto sobre la protección de datos (EIPD) cuando sean requeridas (Art. 35 RGPD).
  • Consulta previa a la autoridad supervisora (Art. 36 RGPD).

3.6 Notificación de brechas de seguridad

En caso de producirse una brecha de seguridad que afecte a datos personales tratados bajo este Acuerdo, el Encargado:

  • Notificará al Responsable sin dilación indebida y en un plazo máximo de 48 horas desde la detección.
  • Facilitará al Responsable la siguiente información mínima: (a) descripción de la naturaleza de la brecha; (b) categorías y número aproximado de interesados afectados; (c) número aproximado de registros de datos afectados; (d) nombre y datos de contacto del delegado de protección de datos o punto de contacto; (e) consecuencias probables; (f) medidas adoptadas o propuestas para remediar la brecha.
  • Colaborará en la investigación, contención y documentación de la brecha.
  • Adoptará de inmediato las medidas necesarias para limitar el daño.

CLÁUSULA 4. Transferencias internacionales de datos

4.1. El Encargado no transferirá datos personales a terceros países u organizaciones internacionales salvo que así lo requiera la prestación del servicio y siempre que se garantice un nivel de protección adecuado conforme al Capítulo V del RGPD.

4.2. Para el tratamiento por parte de Anthropic PBC (EE.UU.) mediante su API de procesamiento de lenguaje natural:

  • Se han suscrito las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
  • Se ha realizado una Transfer Impact Assessment (TIA) que concluye que las garantías son adecuadas.
  • Los datos se seudonimizarán previamente a su envío siempre que sea técnicamente posible.
  • El Encargado mantendrá actualizada la TIA y notificará al Responsable de cualquier cambio relevante en las condiciones de la transferencia.

CLÁUSULA 5. Obligaciones del Responsable

El Responsable se compromete a:

  • Facilitar al Encargado instrucciones documentadas, lícitas y suficientemente precisas para el tratamiento de los datos personales.
  • Garantizar que dispone de la base jurídica adecuada para el tratamiento de los datos de sus clientes finales y leads antes de encargar al Encargado el tratamiento de los mismos.
  • Informar a sus clientes finales y leads sobre el uso de agentes de IA (conversacional, reservas, formularios u otros) en la atención al cliente y captación, conforme a los Arts. 13 y 14 RGPD.
  • Notificar sin demora al Encargado cualquier cambio en las instrucciones de tratamiento.
  • Cooperar con el Encargado para el cumplimiento de las obligaciones establecidas en este DPA.
  • Garantizar que el uso del servicio talqi es conforme a la normativa aplicable en su sector de actividad.

CLÁUSULA 6. Responsabilidad

6.1. Cada parte será responsable frente a los interesados y a las autoridades supervisoras por el cumplimiento de las obligaciones que le incumben conforme al RGPD en su respectiva condición de Responsable o Encargado.

6.2. El Encargado responderá ante el Responsable por los daños causados como consecuencia del incumplimiento de las obligaciones establecidas en este DPA que le sean específicamente imputables.

6.3. El Encargado quedará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños, conforme al Art. 82.3 RGPD.

CLÁUSULA 7. Ley aplicable y jurisdicción

El presente DPA se regirá e interpretará conforme a la legislación española y al RGPD. Para la resolución de cualquier controversia derivada de su interpretación o ejecución, las partes se someten a los Juzgados y Tribunales de Barcelona, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

Acuerdo de Encargo de Tratamiento (DPA) v2.0 — talqi · Agentes de IA para empresas — Junio 2026