Documento de Cumplimiento RGPD

Reglamento (UE) 2016/679 · LOPDGDD 3/2018 · LSSI-CE 34/2002

BravoAI — Iker López Bravo · NIF: 49886507J · Última actualización: 24 de marzo de 2026

1. Identificación del Responsable del Tratamiento

De conformidad con el artículo 13 del RGPD, se identifican a continuación los datos del responsable del tratamiento:

Titular	Iker López Bravo
NIF	49886507J
Forma jurídica	Autónomo (persona física)
Nombre comercial	BravoAI
Domicilio fiscal	C/ Pinyons 7, 08189 Sant Quirze Safaja, Cataluña, España
Teléfono	+34 672 246 423
Email	soporte@bravoai.com
Actividad	Servicios de asistente telefónico con inteligencia artificial para empresas

BravoAI actúa como responsable del tratamiento respecto a los datos recogidos a través del sitio web y durante el proceso de contratación. Para los datos tratados durante la prestación del servicio de atención telefónica en nombre de sus clientes, BravoAI actúa como encargado del tratamiento conforme al artículo 28 del RGPD.

2. Delegado de Protección de Datos (DPD)

De conformidad con los artículos 37 a 39 del RGPD y el artículo 34 de la LOPDGDD, el nombramiento de un Delegado de Protección de Datos es obligatorio en determinados supuestos (administraciones públicas, tratamiento a gran escala de categorías especiales de datos, o monitorización sistemática a gran escala).

Dada la naturaleza y escala actual de las actividades de tratamiento de BravoAI, no resulta preceptiva la designación de un DPD. No obstante, BravoAI se compromete a designar un DPD en el momento en que la evolución del negocio lo requiera conforme a la normativa aplicable.

Mientras tanto, todas las consultas relativas a la protección de datos pueden dirigirse a soporte@bravoai.com o al teléfono +34 672 246 423.

3. Registro de Actividades de Tratamiento

De conformidad con el artículo 30 del RGPD, BravoAI mantiene un registro de las actividades de tratamiento realizadas bajo su responsabilidad:

Actividad 1: Gestión de leads y solicitudes de contacto

Finalidad	Atender solicitudes de información recibidas a través del formulario web y gestionar la prueba gratuita de 7 días.
Base legal	Consentimiento del interesado (art. 6.1.a RGPD).
Categorías de datos	Nombre completo, email, teléfono de contacto.
Categorías de interesados	Potenciales clientes (leads).
Destinatarios	No se comunican a terceros salvo obligación legal.
Plazo de conservación	Hasta la retirada del consentimiento o 12 meses sin actividad.
Transferencias internacionales	Según proveedores utilizados (véase sección 9).

Actividad 2: Prestación del servicio de asistente telefónico con IA

Finalidad	Atención automatizada de llamadas, gestión de reservas, envío de SMS, integración con calendario, atención multicanal (WhatsApp/web) y monitorización (según plan).
Base legal	Ejecución de un contrato (art. 6.1.b RGPD).
Categorías de datos	Datos del cliente: nombre, email, teléfono, datos fiscales, credenciales de calendario. Datos de llamadas: metadatos, transcripciones, citas, registros SMS, mensajes WhatsApp/web.
Categorías de interesados	Clientes (empresas/autónomos) y clientes finales de estos (personas que llaman).
Destinatarios	Proveedores de telefonía/IA, SMS, calendario, WhatsApp, alojamiento cloud.
Plazo de conservación	Duración del contrato + plazos legales (véase sección 7).
Transferencias internacionales	Según proveedores utilizados (véase sección 9).

Actividad 3: Facturación y administración

Finalidad	Gestión de cobros, emisión de facturas y cumplimiento de obligaciones fiscales y contables.
Base legal	Ejecución de contrato (art. 6.1.b) y obligación legal (art. 6.1.c RGPD).
Categorías de datos	Nombre/razón social, NIF/CIF, dirección fiscal, datos de pago, historial de facturación.
Categorías de interesados	Clientes con suscripción activa o pasada.
Destinatarios	Administración tributaria, asesoría contable, entidades bancarias.
Plazo de conservación	4 años (Ley General Tributaria) / 5 años (Código Civil, acciones personales).

Actividad 4: Analítica web y cookies

Finalidad	Análisis del tráfico web, mejora de la experiencia de navegación y medición del rendimiento del sitio.
Base legal	Consentimiento (art. 6.1.a RGPD y art. 22.2 LSSI-CE).
Categorías de datos	Dirección IP, navegador, sistema operativo, páginas visitadas, tiempo de permanencia.
Categorías de interesados	Visitantes del sitio web.
Destinatarios	Proveedores de analítica web.
Plazo de conservación	Según política de cookies y configuración del proveedor de analítica.

4. Base Legal del Tratamiento

El tratamiento de datos personales por parte de BravoAI se fundamenta en las siguientes bases legales del artículo 6 del RGPD:

4.1. Consentimiento (art. 6.1.a): Aplicable cuando el usuario facilita voluntariamente sus datos a través del formulario de contacto o solicita la prueba gratuita de 7 días. El consentimiento es libre, específico, informado e inequívoco. Puede ser retirado en cualquier momento sin que ello afecte a la licitud del tratamiento previo a su retirada.

4.2. Ejecución de un contrato (art. 6.1.b): Aplicable para la prestación del servicio de asistente telefónico con IA contratado por el cliente, incluyendo: gestión de llamadas, reservas, integraciones con calendario (Google Calendar / Outlook), envío de SMS de confirmación y recordatorios, atención multicanal (WhatsApp, chatbot web), monitorización y análisis de conversaciones.

4.3. Interés legítimo (art. 6.1.f): Aplicable para mejorar la calidad del servicio, optimizar el rendimiento del asistente de IA y analizar la experiencia del usuario en el sitio web. BravoAI ha realizado la correspondiente ponderación para garantizar que dicho interés no prevalece sobre los derechos y libertades fundamentales de los interesados.

4.4. Obligación legal (art. 6.1.c): Aplicable para el cumplimiento de obligaciones legales, fiscales y contables conforme a la legislación española, en particular la Ley General Tributaria, el Código de Comercio y la normativa contable aplicable.

5. Categorías de Datos Personales

BravoAI trata las siguientes categorías de datos personales. No se tratan categorías especiales de datos (art. 9 RGPD) ni datos relativos a condenas e infracciones penales (art. 10 RGPD).

5.1. Datos identificativos

Nombre y apellidos.
NIF/CIF (en el caso de clientes con suscripción).
Nombre comercial del negocio.

5.2. Datos de contacto

Dirección de correo electrónico.
Número de teléfono (personal y/o del negocio).
Dirección postal (a efectos de facturación).

5.3. Datos económicos y de facturación

Datos de facturación (dirección fiscal, NIF/CIF).
Historial de pagos y plan contratado.

5.4. Datos de llamadas e interacciones

Metadatos de llamadas (hora, duración, número del llamante).
Transcripciones y registros de conversaciones.
Detalles de citas (nombre, fecha, hora).
Registros de SMS (confirmaciones, recordatorios, reactivación).
Mensajes de WhatsApp y chatbot web.

5.5. Datos técnicos

Dirección IP, navegador, sistema operativo.
Datos de navegación y uso del panel de gestión.

6. Finalidades del Tratamiento

Los datos personales se tratan exclusivamente para las siguientes finalidades:

Gestión de solicitudes de información y contacto a través del formulario web.
Tramitación del alta, onboarding e implementación (en 24-72 horas) y prestación del servicio contratado.
Gestión de la agenda de citas e integración con Google Calendar y Microsoft Outlook.
Envío de SMS de confirmación, recordatorios (24 h y 30 min antes) y reactivación (3 meses).
Atención multicanal: teléfono, WhatsApp y chatbot web (según plan contratado).
Monitorización de llamadas en tiempo real, análisis de conversaciones y panel centralizado (plan Premium).
Gestión de facturación y cobro de cuotas de suscripción.
Comunicación con el cliente sobre su cuenta, soporte e incidencias.
Mejora de la calidad y precisión del asistente de IA.
Cumplimiento de obligaciones legales, fiscales y contables.
Análisis del uso del sitio web y mejora de la experiencia de navegación.

7. Plazos de Conservación

Los datos personales se conservarán durante los siguientes plazos:

Categoría de datos	Plazo de conservación	Fundamento
Datos de leads (formulario)	Hasta retirada del consentimiento o 12 meses sin actividad	Art. 6.1.a RGPD
Datos contractuales y de servicio	Duración del contrato + 5 años	Art. 1964 Código Civil
Datos de facturación	Duración del contrato + 4 años	Art. 66 Ley General Tributaria
Registros de llamadas y transcripciones	Duración del contrato + plazos legales aplicables	Según plan y normativa sectorial
Datos de navegación	Según política de cookies	Art. 22.2 LSSI-CE

Transcurridos los plazos indicados, los datos serán suprimidos o, en su caso, bloqueados conforme al artículo 32 de la LOPDGDD.

8. Destinatarios y Encargados del Tratamiento

BravoAI no vende, alquila ni cede datos personales a terceros con fines comerciales. Los datos podrán comunicarse a las siguientes categorías de destinatarios:

Proveedores de infraestructura de telefonía y voz con IA.
Proveedores de envío de SMS.
Google (integración con Google Calendar) y Microsoft (integración con Outlook).
Meta/WhatsApp (atención vía WhatsApp en planes Business y Premium).
Proveedores de alojamiento y almacenamiento en la nube.
Asesoría contable y fiscal.
Entidades bancarias para la gestión de cobros.
Autoridades públicas, jueces o tribunales cuando medie obligación legal.

Todos los encargados del tratamiento están vinculados mediante contratos de encargo de tratamiento conformes al artículo 28 del RGPD y al artículo 33 de la LOPDGDD, que garantizan la confidencialidad, las medidas de seguridad adecuadas y el cumplimiento normativo.

9. Transferencias Internacionales de Datos

Algunos proveedores de servicios utilizados por BravoAI pueden estar ubicados fuera del Espacio Económico Europeo (EEE). En tales casos, BravoAI garantiza que las transferencias se realizan con las garantías adecuadas previstas en el Capítulo V del RGPD:

Decisiones de adecuación de la Comisión Europea (art. 45 RGPD).
Cláusulas contractuales tipo aprobadas por la Comisión (art. 46.2.c RGPD).
Normas corporativas vinculantes (art. 47 RGPD), cuando proceda.
Cualquier otro mecanismo de transferencia válido conforme a la normativa.

BravoAI verificará periódicamente que las garantías adoptadas siguen siendo válidas y adecuadas.

10. Medidas de Seguridad (Art. 32 RGPD)

BravoAI adopta las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

Medidas técnicas

Cifrado de datos en tránsito (TLS/SSL) y en reposo.
Control de acceso basado en roles y principio de mínimo privilegio.
Autenticación robusta para el acceso a sistemas y paneles de gestión.
Copias de seguridad periódicas con verificación de integridad.
Monitorización y registro de accesos a sistemas que contienen datos personales.
Actualización periódica de software y parches de seguridad.
Separación de entornos (desarrollo, pruebas, producción).

Medidas organizativas

Compromiso de confidencialidad de todo el personal con acceso a datos personales.
Formación y concienciación periódica en materia de protección de datos.
Políticas internas de uso aceptable de sistemas y datos.
Procedimientos de revisión y auditoría de las medidas de seguridad.
Procedimiento de gestión de brechas de seguridad (véase sección 14).

11. Evaluación de Impacto en la Protección de Datos (EIPD)

De conformidad con el artículo 35 del RGPD, BravoAI evaluará la necesidad de realizar una Evaluación de Impacto relativa a la Protección de Datos cuando un tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Dado que BravoAI emplea inteligencia artificial para el tratamiento automatizado de llamadas telefónicas, se llevará a cabo una EIPD específica para este tratamiento cuando la escala del servicio o la naturaleza de los datos tratados lo requieran conforme a los criterios de la Agencia Española de Protección de Datos (AEPD).

BravoAI revisará periódicamente la necesidad de actualizar la EIPD ante cambios significativos en la tecnología utilizada, la escala del tratamiento o el tipo de datos tratados.

12. Derechos de los Interesados (Arts. 15-22 RGPD)

De conformidad con el RGPD y la LOPDGDD, los interesados pueden ejercer los siguientes derechos:

Derecho	Descripción	Artículo
Acceso	Obtener confirmación y acceso a los datos tratados.	Art. 15 RGPD
Rectificación	Corregir datos inexactos o incompletos.	Art. 16 RGPD
Supresión	Solicitar la eliminación de datos (derecho al olvido).	Art. 17 RGPD
Limitación	Solicitar la limitación del tratamiento.	Art. 18 RGPD
Portabilidad	Recibir datos en formato estructurado y transmitirlos.	Art. 20 RGPD
Oposición	Oponerse al tratamiento en determinadas circunstancias.	Art. 21 RGPD
No ser objeto de decisiones automatizadas	No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos.	Art. 22 RGPD

13. Procedimiento de Ejercicio de Derechos

Para ejercer cualquiera de los derechos descritos en la sección anterior, el interesado deberá:

Dirigir su solicitud por correo electrónico a soporte@bravoai.com o por teléfono al +34 672 246 423.
Indicar claramente el derecho que desea ejercer.
Adjuntar copia de su DNI, NIE o documento equivalente para verificar su identidad.

BravoAI responderá en el plazo máximo de un (1) mes desde la recepción de la solicitud, pudiendo ampliarse en dos (2) meses adicionales cuando se trate de solicitudes especialmente complejas o numerosas, previa comunicación al interesado dentro del primer mes.

El ejercicio de estos derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas, en cuyo caso BravoAI podrá cobrar un canon razonable o negarse a actuar conforme al artículo 12.5 del RGPD.

14. Gestión de Brechas de Seguridad (Arts. 33-34 RGPD)

BravoAI dispone de un procedimiento interno para la gestión de violaciones de seguridad de los datos personales:

14.1. Detección y evaluación: Cualquier incidente que pueda suponer una violación de seguridad será detectado, documentado y evaluado de forma inmediata para determinar su naturaleza, alcance, categorías de datos y número de interesados afectados.

14.2. Notificación a la autoridad de control: Si la violación entraña un riesgo para los derechos y libertades de las personas físicas, BravoAI notificará la brecha a la AEPD sin dilación indebida y, a más tardar, en el plazo de 72 horas desde que se tenga constancia de la misma (art. 33 RGPD).

14.3. Comunicación a los interesados: Cuando la violación entrañe un alto riesgo para los derechos y libertades de los interesados, BravoAI comunicará la brecha a los afectados sin dilación indebida, utilizando un lenguaje claro y sencillo (art. 34 RGPD).

14.4. Registro de incidentes: BravoAI mantendrá un registro documentado de todas las violaciones de seguridad, incluyendo los hechos, efectos y medidas correctivas adoptadas, conforme al artículo 33.5 del RGPD.

15. Tratamiento mediante Inteligencia Artificial

BravoAI utiliza tecnología de inteligencia artificial para la atención automatizada de llamadas telefónicas con voz natural. En relación con este tratamiento:

Las conversaciones son procesadas por sistemas de IA para generar respuestas, gestionar reservas y, cuando sea necesario, derivar la llamada al equipo humano del cliente (disponible a partir del plan Estándar).
En los planes que incluyen análisis de conversaciones (Premium), los datos de las llamadas se procesan para generar informes y métricas.
BravoAI podrá utilizar datos anonimizados y agregados para mejorar su tecnología de IA, siempre de forma que no permita la identificación de personas físicas.
De conformidad con el artículo 22 del RGPD, BravoAI no adopta decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar.
Los clientes de BravoAI son responsables de informar a las personas que llaman, cuando la legislación lo requiera, de que la llamada puede ser atendida por un asistente de inteligencia artificial.

16. Cookies y Tecnologías Similares

El sitio web de BravoAI puede utilizar cookies y tecnologías similares de almacenamiento y recuperación de datos. De conformidad con el artículo 22.2 de la LSSI-CE:

BravoAI informará al usuario mediante un banner visible antes de la instalación de cookies no esenciales.
Se solicitará el consentimiento explícito del usuario antes de instalar cookies analíticas o de terceros.
Las cookies técnicas o estrictamente necesarias podrán instalarse sin consentimiento previo.
El usuario podrá retirar su consentimiento y configurar las preferencias de cookies en cualquier momento.

17. Datos de Menores

El servicio de BravoAI está dirigido exclusivamente a profesionales y empresas. BravoAI no recopila intencionadamente datos personales de menores de 14 años, límite de edad establecido por el artículo 7 de la LOPDGDD.

Si BravoAI tuviera conocimiento de haber recogido datos de un menor sin el consentimiento de su representante legal, procederá a la supresión inmediata de dichos datos.

18. Revisión y Actualización

El presente documento será revisado y actualizado de forma periódica, y en todo caso:

Cuando se produzcan cambios en la legislación aplicable en materia de protección de datos.
Cuando se modifiquen los tratamientos de datos realizados por BravoAI.
Cuando se incorporen nuevos proveedores o encargados del tratamiento.
Cuando se detecten incidencias o mejoras necesarias en las medidas de seguridad.
Al menos una vez al año como parte de la auditoría interna de cumplimiento.

Las modificaciones sustanciales serán comunicadas a los clientes con antelación razonable.

19. Contacto y Autoridad de Control

Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de datos personales por parte de BravoAI:

Responsable: Iker López Bravo (BravoAI)
Email: soporte@bravoai.com
Teléfono: +34 672 246 423
Domicilio: C/ Pinyons 7, 08189 Sant Quirze Safaja, Cataluña, España

Si el interesado considera que el tratamiento de sus datos vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la autoridad de control competente:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6 — 28001 Madrid
https://www.aepd.es

Asimismo, en Cataluña, el interesado puede dirigirse a la Autoritat Catalana de Protecció de Dades (APDCAT) en caso de que el tratamiento sea competencia de esta autoridad autonómica: https://apdcat.gencat.cat