Cumplimiento de voice AI: LGPD, GDPR y PCI para datos de llamada

Voice AI hereda toda obligación de protección de datos de telecom, más varias específicas de IA. La voz del cliente es dato biométrico tanto bajo GDPR como bajo LGPD. El archivo de audio, la transcripción, el prompt del LLM y la salida del modelo son todos datos personales sujetos a consentimiento, minimización y reglas de retención. Suma PCI-DSS para agentes que manejan pagos y HIPAA para salud, y la superficie de cumplimiento crece rápido. Este post recorre los marcos que aplican, qué requieren en la práctica y cómo diseñar un deployment de voice AI que se mantenga en cumplimiento sin paralizar el producto. La mayor parte del trabajo es técnica (cifrado, redacción, control de acceso), pero una porción significativa es procedimental (consentimiento, disclosure, retención).

Los marcos de cumplimiento que aplican

Un deployment típico de voice AI en 2026 tiene que satisfacer varios marcos a la vez:

• LGPD (Lei Geral de Proteção de Dados): rige los datos personales de residentes brasileños
• GDPR: rige los datos personales de residentes de la UE y de la mayoría de los servicios dirigidos a la UE
• PCI-DSS: rige el almacenamiento y procesamiento de datos de tarjeta de pago, aplica cuando el agente toca números de tarjeta
• HIPAA: rige información de salud protegida en contextos de salud de EE.UU.
• Regulación local de telecom: por país, cubre reglas de caller ID, disclosure de grabación, consentimiento para llamadas de marketing

La mayoría de los deployments toca al menos dos. Un contact center brasileño que maneja pagos Visa está en LGPD y PCI-DSS como mínimo. Uno basado en la UE agrega GDPR. El diseño de cumplimiento tiene que cubrir la unión de los requisitos.

LGPD: datos de voz de residentes brasileños

LGPD aplica a cualquier voice AI procesando datos personales de residentes brasileños, sin importar dónde ocurra el procesamiento. El marco refleja los principios de GDPR: base legal para procesamiento, minimización de datos, transparencia, límites de retención, derechos del titular (acceso, corrección, eliminación).

Para voice AI específicamente, las obligaciones clave son:

• Base legal: consentimiento explícito o interés legítimo con un test de balanceo documentado
• Disclosure: el titular debe saber que está interactuando con un agente de IA y qué datos se están recolectando
• Retención: las grabaciones de voz y transcripciones tienen períodos de retención atados a la finalidad del procesamiento
• Derechos del titular: los clientes pueden solicitar acceso, corrección o eliminación de sus datos de voz
• Reglas de transferencia internacional aplican cuando los datos de voz salen de Brasil

Las penalidades de LGPD incluyen multas de hasta 2% de los ingresos (con tope de R$ 50 millones por infracción) más sanciones reputacionales y operativas. La ANPD ha señalizado fiscalización activa sobre procesamiento por IA.

GDPR: consentimiento explícito y protección biométrica

GDPR trata las grabaciones de voz y los voiceprints biométricos como datos sensibles que requieren consentimiento explícito y protección estricta. La base legal para procesar voz típicamente descansa en:

• Consentimiento explícito con mecanismos opt-in registrados al inicio de la interacción
• Interés legítimo con un test de balanceo documentado mostrando que los intereses del cliente no se sobreponen
• Necesidad contractual cuando la llamada es parte de una relación de servicio activa que el cliente inició

Las penalidades muerden. Las multas de GDPR pueden llegar a €20 millones o 4% de los ingresos globales, lo que sea mayor. La voz de un menor capturada durante una llamada es dato personal capturado sin consentimiento válido, lo que crea una violación automática que ha sido la base de penalidades millonarias.

PCI-DSS: redacción y controles de acceso para flujos de pago

Cualquier voice AI que tome un número de tarjeta de crédito dispara PCI-DSS. El marco requiere:

• Minimización de datos: capturar y almacenar solo los datos mínimos requeridos, idealmente ninguno después de la transacción
• Controles de acceso fuertes con acceso basado en roles a cualquier dato de tarjeta retenido
• Cifrado: el almacenamiento usa AES-256, el tránsito usa TLS 1.2 o superior
• Redacción: el Primary Account Number (PAN) y los códigos de seguridad (CVV) deben eliminarse de transcripciones y audio antes de almacenarlos

El voice AI de producción que maneja pagos típicamente pausa la grabación durante el turno del número de tarjeta, captura los dígitos vía DTMF o un servicio tokenizado de captura de tarjeta y redacta el PAN de cualquier transcripción retenida antes de que aterrice en la base de datos.

Disclosure obligatorio: el agente debe anunciarse

A través de LGPD, GDPR y la mayoría de las leyes estatales de EE.UU., un agente de voz de IA debe identificarse claramente como un sistema automatizado al comienzo de una llamada. El cliente necesita saber que está hablando con una máquina y qué datos se están recolectando. Saltarse esto es el error de cumplimiento más común en deployments tempranos de voice AI y el más fácil de corregir.

El disclosure no tiene que ser robótico. "Hola, soy el asistente automatizado de Acme y la llamada se está grabando para calidad de servicio" satisface la regla y se lee como diálogo natural. Lo que no funciona es una voz amable que pretende ser humana mientras extrae datos personales.

Cifrado, retención y los detalles aburridos que importan

La línea base técnica no cambia entre marcos:

• Cifrado en tránsito: TLS 1.2 o superior protege los streams de voz entre cliente, agente y almacenamiento
• Cifrado en reposo: AES-256 protege grabaciones, transcripciones y cualquier dato derivado
• Controles de acceso: basados en roles, auditados, con separación de funciones para operaciones sensibles
• Políticas de retención: atadas a la base legal del procesamiento; el audio típicamente tiene retención más corta que las transcripciones; ambas más cortas que registros de negocio como CDRs
• Derecho a eliminación: los clientes pueden solicitar borrado, que tiene que propagarse por almacenamiento de audio, transcripciones, embeddings y cualquier caché de LLM

La documentación de cumplimiento también importa. Un Data Processing Addendum (DPA) con cada proveedor de voice AI, registros de consentimiento, registros de tests de balanceo de interés legítimo y procedimientos de respuesta a incidentes son esperados tanto por procurement empresarial como por reguladores en una auditoría.

Dónde encaja SipPulse AI

SipPulse AI está construido con estos marcos en mente. La plataforma soporta TLS 1.2+ para todo transporte, AES-256 en reposo, controles de acceso basados en roles y ventanas de retención configurables para audio y transcripciones. Los deployments con conciencia PCI pueden enrutar el turno del número de tarjeta a través de captura DTMF para que el PAN nunca entre al contexto del LLM ni a la transcripción.

El disclosure obligatorio de sistema automatizado viene incorporado en el scaffold de prompts para nuevos agentes de voz y puedes personalizar la redacción por idioma y marca. Para deployments brasileños, nuestra inteligencia de audio Pulse Precision Pro envía redacción de PII afinada para CPF, CNPJ y otros identificadores locales.

Proveemos un Data Processing Addendum a pedido y tratamos el cumplimiento como un requisito de deployment, no un retrofit post-lanzamiento. Habla con el equipo para recorrer el marco específico que aplica a tu deployment.

Lee también

• Inteligencia de audio para QA automatizado de contact center
• Voice AI vs IVR: análisis de ROI para contact centers
• Conectando agentes de voz a la telefonía con SIP trunks

Conclusión

El cumplimiento de voice AI no es opcional ni negociable. LGPD, GDPR y PCI-DSS cada uno carga penalidades reales y el trabajo técnico (cifrado, redacción, control de acceso, retención) está bien entendido. La pregunta de producto es si tu proveedor de voice AI trata el cumplimiento como una capacidad de primera clase o como una conversación post-venta. Habla con el equipo sobre desplegar voice AI en tu workload regulado.