Política de Privacidad
Voice Edge
Última actualización: 27 de junio de 2026 · Versión 1.0
Responsable del Tratamiento: [RAZÓN SOCIAL DEL PROVEEDOR], con [CIF] y domicilio social en [DOMICILIO SOCIAL] (en adelante, el "Proveedor"). Voice Edge es la marca comercial del servicio de centralita en la nube y contact-center prestado por el Proveedor a través del dominio ellisce.com. Contacto en materia de privacidad: [EMAIL DE PRIVACIDAD]. Delegado de Protección de Datos (DPO): [DPO si aplica].
Esta Política explica cómo trata el Proveedor los Datos Personales de los que es Responsable del Tratamiento: los Datos de Cuenta de los Usuarios Autorizados. No regula los Datos del Cliente (contactos, grabaciones, transcripciones, registros de llamada (CDR), entre otros): respecto de esos datos el Proveedor actúa como Encargado del Tratamiento y prevalecen la sección 2 de esta Política, el contrato de servicio y el Acuerdo de Tratamiento de Datos (DPA).
1. Quién es el Responsable y cómo contactar
1.1. El Responsable del Tratamiento de los datos descritos en esta Política es [RAZÓN SOCIAL DEL PROVEEDOR], [CIF], [DOMICILIO SOCIAL].
1.2. Para cualquier cuestión sobre esta Política o sobre el tratamiento de Datos Personales por el Proveedor, así como para ejercer los derechos de la sección 8, el canal de contacto es [EMAIL DE PRIVACIDAD]. Si el Proveedor ha designado Delegado de Protección de Datos, sus datos de contacto son [DPO si aplica].
1.3. El tratamiento se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE), la Directiva 2002/58/CE (ePrivacy) y, en cuanto a comunicaciones comerciales y servicios de comunicaciones electrónicas, la Ley 11/2022 General de Telecomunicaciones.
2. Qué cubre esta Política y qué no: roles de protección de datos
2.1. El Proveedor es Responsable del Tratamiento únicamente respecto de los Datos de Cuenta: los datos de los Usuarios Autorizados (identificación, credenciales y seguridad, datos técnicos, geolocalización aproximada por IP, cookies de sesión, soporte) y los datos de facturación de la cuenta del Cliente. Esta Política regula ese tratamiento.
2.2. El Proveedor es Encargado del Tratamiento, y no Responsable del Tratamiento, respecto de los Datos del Cliente: los contactos y listas que el Cliente sube al Servicio, y las grabaciones, transcripciones, metadatos, registros de llamada (CDR), etiquetas, notas y demás contenido generado por las llamadas que el Cliente realiza o recibe. El Responsable del Tratamiento de esos datos es el Cliente. El Proveedor los almacena y procesa siguiendo las instrucciones del Cliente, en los términos del contrato de servicio y del Acuerdo de Tratamiento de Datos (DPA).
2.3. En consecuencia, las personas cuyos datos figuran en los Datos del Cliente (por ejemplo, los Interlocutores de las llamadas o los contactos de las listas del Cliente) deben dirigir sus solicitudes y el ejercicio de derechos al Cliente como Responsable del Tratamiento, a través de la política de privacidad del propio Cliente. El Proveedor, como Encargado del Tratamiento, asistirá al Cliente conforme al DPA, pero no decide por su cuenta sobre esos datos.
2.4. El resto de esta Política se refiere exclusivamente a los Datos de Cuenta.
3. Categorías de Datos Personales tratadas por el Proveedor
3.1. Datos identificativos. Nombre y apellidos del Usuario Autorizado, dirección de correo electrónico, organización del Cliente a la que pertenece y rol o permisos dentro de ella.
3.2. Credenciales y datos de seguridad. Contraseña almacenada siempre en forma cifrada mediante función de hash, nunca en claro; estado y secreto del segundo factor de autenticación (TOTP) cuando el Usuario lo activa; tokens de verificación de correo y de restablecimiento de contraseña, de vida corta; identificadores de sesión; y registros de seguridad (inicios de sesión, intentos fallidos, revocación y cierre de sesiones, cambios de credenciales).
3.3. Datos técnicos y de conexión. Dirección IP, agente de usuario (navegador y dispositivo) y marcas de tiempo de uso (último acceso y última actividad de cada sesión).
3.4. Geolocalización aproximada por IP. País deducido de la dirección IP de la sesión. El Proveedor lo utiliza con fin de seguridad: detectar accesos desde un país distinto al de inicio de la sesión y cerrar la sesión cuando procede. La deducción se realiza localmente, mediante una base de datos de geolocalización instalada en la infraestructura del Proveedor, sin consultar a terceros. No se obtiene ubicación precisa ni de GPS.
3.5. Cookies de sesión. Cookie técnica necesaria para mantener iniciada la sesión del Usuario Autorizado y para la protección frente a accesos no autorizados. Véase la sección 11.
3.6. Datos de facturación. Plan contratado, consumo del Servicio (entre otros, créditos de inteligencia artificial y saldo del monedero prepago), datos de facturación y los datos necesarios para procesar el pago a través del proveedor de pago. El Proveedor no almacena los datos completos de la tarjeta; el pago lo gestiona el proveedor indicado en la sección 5.
3.7. Datos de soporte. Contenido de los tickets de soporte y de los mensajes del hilo de atención que el Usuario Autorizado envía al Proveedor, junto con los datos de cuenta asociados a la solicitud.
3.8. Origen de los Datos de Cuenta. El Usuario Autorizado facilita sus datos directamente al registrarse o, cuando su cuenta la crea el administrador de la organización del Cliente (por ejemplo, mediante invitación), el Proveedor recibe del Cliente los datos identificativos necesarios para dar de alta la cuenta (nombre, correo electrónico y rol). En ese caso, los Datos de Cuenta proceden del Cliente y esta Política se pone a disposición del Usuario Autorizado en su primer acceso al Servicio (art. 14 RGPD).
4. Finalidades y bases jurídicas
4.1. Prestación del Servicio y gestión de la cuenta. Crear y administrar la cuenta del Usuario Autorizado, autenticarlo, asignarle la organización del Cliente y sus permisos, y permitirle usar las funciones contratadas (entre otras, webphone, flujos de llamada, colas, campañas, informes). Base jurídica: ejecución del contrato (art. 6.1.b RGPD).
4.2. Facturación y cobro. Emitir facturas, cobrar el Servicio, controlar el consumo y el saldo, y gestionar impagos. Base jurídica: ejecución del contrato (art. 6.1.b RGPD) y cumplimiento de obligaciones legales contables y fiscales (art. 6.1.c RGPD).
4.3. Seguridad de las cuentas y del Servicio. Registrar inicios de sesión y eventos de seguridad, aplicar límites de intentos de acceso, bloquear direcciones IP abusivas, mantener el segundo factor de autenticación y cerrar sesiones ante un cambio de país de conexión. Base jurídica: interés legítimo del Proveedor (art. 6.1.f RGPD) en proteger las cuentas y el Servicio frente a accesos no autorizados y fraude, y, en su caso, cumplimiento de obligaciones legales (art. 6.1.c RGPD).
4.4. Soporte. Atender y resolver las solicitudes enviadas a través del módulo de soporte. Base jurídica: ejecución del contrato (art. 6.1.b RGPD) e interés legítimo en prestar un soporte adecuado (art. 6.1.f RGPD).
4.5. Comunicaciones del Servicio. Enviar avisos operativos y de seguridad relacionados con la cuenta (por ejemplo, verificación de correo, restablecimiento de contraseña, cambios relevantes del Servicio o de esta Política, e incidencias de soporte). Base jurídica: ejecución del contrato (art. 6.1.b RGPD) e interés legítimo (art. 6.1.f RGPD). Estas comunicaciones no son marketing y resultan necesarias para usar el Servicio.
4.6. Cumplimiento normativo y defensa de reclamaciones. Conservar la información estrictamente necesaria para atender requerimientos de autoridades competentes y para formular o defender reclamaciones. Base jurídica: cumplimiento de obligaciones legales (art. 6.1.c RGPD) e interés legítimo (art. 6.1.f RGPD).
4.7. Cookies. La cookie de sesión técnica descrita en la sección 11 es necesaria para prestar el Servicio y está exenta de consentimiento conforme al art. 22.2 LSSI-CE. Si en el futuro el Proveedor incorporara cookies no necesarias (por ejemplo, de análisis), solicitaría el consentimiento previo del usuario (art. 6.1.a RGPD) y actualizaría esta Política.
4.8. Ponderación del interés legítimo. En los tratamientos basados en el interés legítimo del Proveedor (cláusulas 4.3, 4.4, 4.5 y 4.6), el Proveedor ha realizado la ponderación exigida por el art. 6.1.f RGPD entre ese interés y los derechos y libertades del Usuario Autorizado. El Usuario puede oponerse a estos tratamientos por motivos relacionados con su situación particular, conforme al art. 21 RGPD, dirigiéndose a [EMAIL DE PRIVACIDAD].
4.9. Decisiones automatizadas. El Proveedor no adopta decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos sobre el Usuario Autorizado o le afecten significativamente de modo similar, en el sentido del art. 22 RGPD. El cierre automático de sesión ante un cambio del país de conexión (cláusula 4.3) es una medida de seguridad y no una decisión de esa naturaleza.
5. Destinatarios y encargados del Proveedor
5.1. El Proveedor no vende los Datos de Cuenta ni los cede a terceros para sus propios fines. Para prestar el Servicio recurre a proveedores que tratan Datos de Cuenta por cuenta del Proveedor, como Encargados del Tratamiento, bajo contrato conforme al art. 28 RGPD:
5.2. Alojamiento e infraestructura: [PROVEEDOR DE HOSTING/INFRAESTRUCTURA], para hospedar la aplicación y la base de datos.
5.3. Correo transaccional: [PROVEEDOR DE EMAIL TRANSACCIONAL], para enviar los correos de cuenta y seguridad descritos en la cláusula 4.5.
5.4. Procesamiento de pagos: [PROVEEDOR DE PAGO], para tramitar el cobro del Servicio.
5.5. Los proveedores que tratan Datos del Cliente (entre otros, Deepgram para transcripción de voz y el proveedor o proveedores de modelos de lenguaje a través de pasarela, por ejemplo [OpenRouter], para el control de calidad y el asistente de IA) actúan como Subencargados respecto de esos datos y se detallan en el Acuerdo de Tratamiento de Datos (DPA), no en esta Política, porque tratan Datos del Cliente y no Datos de Cuenta.
5.6. El Proveedor podrá comunicar Datos de Cuenta a autoridades, juzgados o fuerzas y cuerpos de seguridad cuando exista obligación legal o requerimiento válido.
6. Transferencias internacionales y Región de Datos
6.1. Los Datos de Cuenta se alojan y tratan principalmente dentro de la Unión Europea. Determinados Encargados del Tratamiento —en particular el procesamiento de pagos y el correo transaccional (cláusulas 5.3 y 5.4)— pueden tratar datos limitados fuera del Espacio Económico Europeo, en cuyo caso se aplican las garantías de la cláusula 6.3.
6.2. La Región de Datos (UE o América) determina dónde se alojan y procesan los datos del Servicio y la elige el Cliente para su organización. Actualmente el Proveedor presta el Servicio desde la región de la Unión Europea. Cuando el Cliente seleccione la región de América, el Proveedor la prestará en los términos del contrato de servicio y del DPA. La telefonía PBX se trata conforme al estándar del RGPD con independencia de la Región de Datos. Las transferencias y garantías aplicables a la Región de Datos elegida se regulan en el DPA, incluidas, cuando proceda, las Cláusulas Contractuales Tipo.
6.3. Si algún Encargado del Tratamiento del Proveedor tratara Datos de Cuenta fuera del Espacio Económico Europeo, dicha transferencia se ampararía en una decisión de adecuación de la Comisión Europea o, en su defecto, en las Cláusulas Contractuales Tipo aprobadas por la Comisión y en las garantías adicionales que procedan (arts. 44 a 49 RGPD).
7. Plazos de conservación
7.1. Datos de la cuenta. Mientras la cuenta del Usuario Autorizado esté activa y subsista la relación con el Cliente.
7.2. Tras la baja. Una vez extinguida la cuenta o la relación contractual, el Proveedor suprime o anonimiza los Datos de Cuenta en un plazo de 30 días, salvo que deba conservarlos por las obligaciones de la cláusula 7.5.
7.3. Sesiones y datos técnicos asociados. Hasta la expiración de la sesión, su cierre por el Usuario o su revocación. Los registros de seguridad se conservan durante 12 meses.
7.4. Tokens de verificación de correo y de restablecimiento de contraseña. Durante su breve periodo de validez; expiran automáticamente.
7.5. Datos de facturación. Durante los plazos exigidos por la normativa mercantil y fiscal aplicable (en España, con carácter general, los previstos en el Código de Comercio y en la normativa tributaria).
7.6. Datos de soporte. Durante la relación contractual y, después, el plazo necesario para atender obligaciones legales y para la defensa frente a posibles reclamaciones.
8. Derechos de protección de datos
8.1. El Usuario Autorizado puede ejercer, respecto de sus Datos de Cuenta, los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como retirar el consentimiento cuando el tratamiento se base en él, sin que ello afecte a la licitud del tratamiento previo.
8.2. Para ejercerlos basta una solicitud a [EMAIL DE PRIVACIDAD] indicando el derecho que se ejerce. El Proveedor podrá pedir información razonable para verificar la identidad del solicitante. El ejercicio es gratuito y se responde en el plazo de un mes, prorrogable conforme al art. 12 RGPD.
8.3. Parte de estos derechos puede ejercerse directamente desde el panel del Servicio: el Usuario Autorizado puede consultar y actualizar sus datos, revisar y revocar sesiones activas y gestionar el segundo factor de autenticación desde la sección de cuenta.
8.4. Las solicitudes relativas a los Datos del Cliente (por ejemplo, de un Interlocutor o de un contacto de una lista) deben dirigirse al Cliente como Responsable del Tratamiento, según se indica en la cláusula 2.3.
9. Reclamación ante la autoridad de control
9.1. El Usuario Autorizado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid, www.aepd.es, o ante la autoridad de control de su Estado miembro de residencia, si considera que el tratamiento de sus Datos de Cuenta infringe la normativa de protección de datos. Con carácter previo puede dirigirse al Proveedor a través de [EMAIL DE PRIVACIDAD].
10. Medidas de seguridad
10.1. El Proveedor aplica medidas técnicas y organizativas adecuadas al riesgo, conforme al art. 32 RGPD. Entre ellas: cifrado de las comunicaciones en tránsito; almacenamiento de las contraseñas mediante función de hash, nunca en claro; segundo factor de autenticación (TOTP) disponible para los Usuarios; control de acceso basado en roles y permisos; aislamiento de los datos por organización del Cliente; registro de eventos de seguridad; límites de intentos de acceso; bloqueo de direcciones IP abusivas; y cierre de sesiones ante un cambio del país de conexión.
10.2. El Proveedor no presta asesoramiento jurídico. El Cliente es responsable del cumplimiento normativo de su propia actividad, incluida la legalidad de grabar las llamadas, la base jurídica para contactar a las personas de sus listas y el cumplimiento de las normas de telemarketing y exclusión publicitaria, en los términos del contrato de servicio y del DPA.
11. Cookies
11.1. El Servicio utiliza una cookie de sesión técnica, necesaria para autenticar al Usuario Autorizado, mantener iniciada su sesión y protegerla frente a accesos no autorizados. Sin esta cookie el Servicio no puede funcionar.
11.2. El Proveedor no utiliza cookies de publicidad ni cookies de seguimiento de terceros, ni en el sitio ellisce.com ni en el panel del Servicio. Por su carácter necesario, la cookie de sesión está exenta de consentimiento conforme al art. 22.2 LSSI-CE.
11.3. Si en el futuro se incorporaran cookies no necesarias, se solicitaría el consentimiento previo del usuario y se actualizaría esta sección.
12. Cambios en esta Política
12.1. El Proveedor puede modificar esta Política. La versión vigente es siempre la publicada en ellisce.com, identificada por su número de versión y su fecha de última actualización.
12.2. Cuando los cambios sean sustanciales, el Proveedor lo avisará por correo electrónico o a través del panel del Servicio con antelación razonable antes de su entrada en vigor.