Legal

Política de Privacidad

Última actualización: 3 de mayo de 2026

1. Responsable del tratamiento

IAVoz.Pro es una marca comercial operada por Mercadonet Global S.L. (en adelante, "el Responsable"), entidad mercantil titular del cobro y la facturación del servicio. Datos identificativos conforme al artículo 10 de la Ley 34/2002 (LSSI-CE) y al Reglamento (UE) 2016/679 (RGPD):

  • Denominación social: Mercadonet Global S.L.
  • CIF: B98407901
  • Domicilio social: Partida Cortixelles, 98 — 46900 Torrent (Valencia), España
  • Datos registrales: Registro Mercantil de Valencia, Tomo 9.414, Folio 76, Hoja V-149644
  • Teléfono: +34 628 20 12 18
  • Email general: info@mercadonet.es
  • Email del servicio IAVoz.Pro: iavoz@mercadonet.es

Mercadonet Global S.L. no tiene Delegado de Protección de Datos (DPO) designado por no resultar obligatorio según el artículo 37 RGPD. Las solicitudes en materia de protección de datos pueden dirigirse a iavoz@mercadonet.es.

2. Datos personales que tratamos

  • Datos de cuenta: email, nombre, número de teléfono (cuando lo proporcione el usuario), contraseña cifrada.
  • Conversaciones por voz y texto: contenido íntegro de las interacciones del usuario con el agente, incluida la transcripción del audio cuando se procesa para responder.
  • Audio de voz: la voz capturada durante la conversación constituye un dato personal (incluso, en caso de uso para clonación, un dato biométrico de categoría especial — art. 9 RGPD).
  • Datos técnicos: dirección IP, agente de usuario (navegador y dispositivo), fecha y hora de acceso, páginas visitadas.
  • Datos de pago: gestionados directamente por el TPV virtual de BBVA (Banco Bilbao Vizcaya Argentaria, S.A.) sobre la red Redsys, en virtud del contrato de comercio electrónico suscrito por Mercadonet Global S.L. (FUC 370237745). Mercadonet Global S.L. no almacena en ningún momento los números completos de tarjeta ni los códigos CVV/CVC: estos datos los teclea el cliente directamente en la pasarela segura del banco. Mercadonet Global S.L. solo conserva metadatos de la operación (importe, referencia, estado, últimos cuatro dígitos de la tarjeta como referencia, marca de la tarjeta).
  • Voz clonada (opcional, planes Growth+): muestra de voz proporcionada con consentimiento explícito y firmado del titular. Constituye dato biométrico — categoría especial.

3. Finalidades del tratamiento

  • Prestar el servicio contratado: responder a las peticiones del usuario por voz o texto.
  • Gestionar el alta, mantenimiento y baja de la cuenta.
  • Facturación y cumplimiento de obligaciones contables y fiscales.
  • Atender consultas, solicitudes y reclamaciones.
  • Mejorar el servicio mediante análisis agregado y anónimo. Las conversaciones del usuario no se utilizan para entrenar modelos de inteligencia artificial generales.
  • Envío de comunicaciones comerciales por email solo si el usuario presta consentimiento expreso y separado, con derecho de baja en cada envío.

4. Bases jurídicas

  • Ejecución del contrato (art. 6.1.b RGPD) — para prestar el servicio.
  • Consentimiento del interesado (art. 6.1.a RGPD; art. 9.2.a para datos biométricos) — para clonación de voz, comunicaciones comerciales y cookies no esenciales.
  • Cumplimiento de obligación legal (art. 6.1.c RGPD) — para facturación, conservación de documentos contables y atención a requerimientos de autoridades.
  • Interés legítimo (art. 6.1.f RGPD) — para seguridad del servicio, prevención del fraude y mejora interna del producto sobre datos agregados y anonimizados.

5. Transparencia sobre el uso de inteligencia artificial

El servicio IAVOZ utiliza modelos de inteligencia artificial generativa de terceros para entender al usuario y responderle por voz. Cuando el usuario interactúa con el agente, el sistema le informa de manera clara y comprensible —al inicio de la conversación y siempre que lo solicite— de que está hablando con una inteligencia artificial y no con una persona, conforme al artículo 50 del Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial).

6. Encargados de tratamiento y cesiones

Para prestar el servicio, Mercadonet Global S.L. utiliza encargados de tratamiento con los que ha firmado el correspondiente Acuerdo de Encargado de Tratamiento (DPA) ex art. 28 RGPD:

  • Anthropic, PBC (modelos de lenguaje Claude). DPA firmado. Transferencia a EE. UU. con cláusulas contractuales tipo (SCCs) y compromiso contractual de no utilizar los datos del cliente para entrenar modelos.
  • ElevenLabs Inc. (síntesis de voz). DPA firmado. Servidores con replicación en EE. UU. y EU; transferencia con SCCs y compromiso de no entrenamiento.
  • BBVA — Banco Bilbao Vizcaya Argentaria, S.A. y Redsys Servicios de Procesamiento, S.L. (pasarela de pago TPV virtual, FUC 370237745). En este caso BBVA y Redsys actúan como responsables de tratamiento independientes bajo su propia base jurídica (contrato bancario, Directiva PSD2 y normativa aplicable a entidades financieras), no como encargados de tratamiento del comercio. Los datos de tarjeta se procesan en entornos certificados PCI-DSS y nunca pasan por los sistemas de Mercadonet Global S.L..
  • PythonAnywhere LLP (hosting de aplicación). DPA firmado.
  • Google LLC (Workspace y, opcionalmente, Google Analytics 4 sólo con consentimiento del usuario). DPA firmado. Anonimización de IP y SCCs aplicables.
  • Twilio Inc. y Meta Platforms Ireland Ltd. (canal WhatsApp Business API, cuando aplique). DPA firmado.

Mercadonet Global S.L. no vende, alquila ni cede los datos personales del usuario a terceros con fines comerciales. Las únicas cesiones se producen a las administraciones públicas competentes cuando exista obligación legal.

7. Transferencias internacionales

Algunos encargados de tratamiento (Anthropic, ElevenLabs, Google) están establecidos en los Estados Unidos. Las transferencias se realizan con base en:

  • Decisión de Adecuación EU-US Data Privacy Framework (cuando el proveedor está certificado).
  • Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
  • Garantías técnicas adicionales: cifrado en tránsito (TLS 1.3) y, cuando aplica, en reposo (AES-256).

8. Plazos de conservación

  • Cuenta activa: mientras dure la relación contractual.
  • Conversaciones: configurable por el usuario, de 0 días (no se guardan) a 90 días por defecto.
  • Datos de facturación: 6 años desde la emisión, por aplicación del Código de Comercio y la Ley General Tributaria.
  • Voz clonada: hasta que el titular la elimine o cancele su cuenta. Tras la baja, eliminación en 30 días naturales.
  • Logs técnicos: 12 meses por motivos de seguridad e investigación de incidentes.

9. Derechos del usuario

Conforme a los artículos 15 a 22 del RGPD, el usuario puede ejercer en cualquier momento los siguientes derechos:

  • Acceso: pedir copia de los datos que el Responsable tiene sobre él.
  • Rectificación: corregir datos inexactos.
  • Supresión ("derecho al olvido"): borrar los datos cuando proceda.
  • Limitación del tratamiento.
  • Portabilidad: recibir los datos en formato estructurado y de uso común.
  • Oposición: oponerse a tratamientos basados en interés legítimo o marketing directo.
  • Decisiones automatizadas: no ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos.
  • Revocación del consentimiento en cualquier momento, sin afectar a la licitud del tratamiento previo.

Para ejercer cualquiera de estos derechos, escribir a iavoz@mercadonet.es aportando copia de un documento identificativo.

El usuario tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es; C/ Jorge Juan, 6, 28001 Madrid) si considera que el tratamiento no se ajusta a la normativa.

10. Medidas de seguridad

  • Cifrado TLS 1.3 en tránsito.
  • Cifrado AES-256 en reposo para datos sensibles.
  • Autenticación reforzada del personal con acceso a datos.
  • Registros de acceso y auditoría.
  • Hosting con replicación en servidores europeos cuando es posible.
  • Procedimiento documentado de notificación de brechas de seguridad ex art. 33-34 RGPD (notificación a la AEPD en menos de 72 horas).

11. Menores

El servicio no está dirigido a menores de 14 años. Si Mercadonet Global S.L. detectara el alta de un menor sin consentimiento parental, procederá a la cancelación inmediata de la cuenta y borrado de los datos.

12. Cambios en esta política

Cualquier cambio material se notificará por email con al menos 30 días de antelación a la entrada en vigor, salvo que la modificación sea exigida por ley con efecto inmediato.