Esta página es la vista de cara al usuario de cómo Aitelier maneja tus datos. El Anexo de Tratamiento de Datos completo y la Política de Privacidad viven en /dpa y /privacy — esto es el resumen práctico.
Dónde viven tus datos
Los datos primarios — la configuración de tus proyectos, tu base de conocimiento, tus grabaciones de llamadas, tus transcripciones, tus registros de uso — se alojan en infraestructura dedicada de Hetzner en Alemania, con almacenamiento de objetos en regiones de la UE.
Una serie de subencargados impulsan la propia IA y están fuera de la UE: los proveedores de modelos y de voz detrás de los tiers de voz (OpenAI, Anthropic, Google, Deepgram, Cartesia), LiveKit para los medios en tiempo real, Twilio para la telefonía y Stripe para los pagos. Para cada uno, la transferencia está cubierta por las Cláusulas Contractuales Tipo de la UE, y la plataforma envía a un proveedor solo el contexto de conversación que necesita para ejecutar tu agente.
La lista completa de subencargados está publicada en el DPA. Nos comprometemos a avisar con 30 días de antelación antes de añadir cualquier subencargado nuevo.
Aislamiento de tenants
Cada tabla de datos de negocio de nuestra base de datos lleva un tenant_id. Cada consulta a la base de datos pasa por una capa de repositorios que inyecta el id de tenant automáticamente. Una regla de linter bloquea el acceso directo al ORM fuera de los repositorios — es decir, un programador no puede escribir por accidente una consulta que lea la fila de otro tenant.
Es aislamiento a nivel de fila, no de tabla. Desde fuera parece que cada tenant tiene su propia copia de la plataforma.
Cifrado
- En tránsito — TLS en cada endpoint público. Los medios WebRTC van por DTLS/SRTP.
- Credenciales de plugins y secretos SIP — cifrado AES-256-GCM a nivel de columna, además de la capa de cifrado en reposo.
- Claves de API y secretos de webhooks — las claves de API se guardan hasheadas en reposo (nunca recuperables); los secretos de firma se muestran una sola vez al crearlos.
Una vez que un secreto entra en la plataforma, no lo vuelves a ver — la UI muestra un prefijo identificativo, nunca el valor completo.
Autenticación
Inicias sesión con un código de 6 dígitos enviado a tu email — caducidad de diez minutos, un solo uso. Sin contraseña que recordar, sin base de datos de contraseñas que vulnerar.
Una vez dentro, tienes un token de acceso de corta vida (1 hora) más un refresh token con rotación continua de 30 días y detección de reutilización — un refresh token robado que se reutiliza se detecta y la sesión se elimina.
La autenticación de dos factores (TOTP) está en la hoja de ruta a corto plazo.
Claves de API
Cada clave de API tiene scopes — le concedes solo las operaciones que necesita, nunca más. Una clave con outbound:trigger no puede leer sesiones; una clave con sessions:read no puede lanzar una llamada. Esto se aplica en la capa de la API.
Las claves se muestran una sola vez al crearlas, se guardan hasheadas en reposo y son revocables en cualquier momento.
Roles y permisos
Dentro de un proyecto, tres roles:
- Owner — control total, incluida facturación, miembros y borrado
- Editor — puede configurar plugins, editar scenarios, ejecutar pruebas, pero no cambiar la facturación ni eliminar miembros
- Viewer — acceso de solo lectura
Las membresías pueden cruzar tenants — las agencias suelen dar a su personal acceso de editor en los proyectos de sus clientes sin fusionar tenants.
Retención de datos
Valores por defecto actuales:
- Grabaciones de llamadas — se conservan 30 días y luego expiran. Hay otras retenciones disponibles bajo petición.
- Transcripciones y datos estructurados de sesión — se conservan mientras tu cuenta está activa.
- Registros de facturación y uso — se conservan según lo exija el cumplimiento financiero.
Borrar un proyecto lo elimina de tu workspace y borra su índice de conocimiento. Para el borrado completo de las grabaciones y transcripciones subyacentes, contacta con privacy@aitelier.org y completamos la eliminación.
Solicitudes de los interesados (DSAR)
Si un llamante te pide borrar sus datos — normalmente las grabaciones y transcripciones de sus llamadas — tienes la obligación bajo el RGPD (y leyes similares) de actuar en 30 días.
Envía la solicitud a privacy@aitelier.org con el número de teléfono del llamante: localizamos sus sesiones, borramos las grabaciones y transcripciones, y te confirmamos la finalización para que puedas cerrar la solicitud con prueba. También aceptamos DSAR directamente si un llamante nos contacta a nosotros en lugar de a ti; encaminamos la solicitud al tenant correcto y confirmamos la finalización a ambas partes.
Consentimiento del llamante
Tú controlas el saludo del agente y el texto de revelación por scenario. Si tu jurisdicción exige revelar la IA o pedir consentimiento de grabación — una lista creciente — ponlo en el saludo del scenario; el agente lo pronuncia en cada llamada, y los packs incluyen plantillas de saludo sensatas de las que partir.
Reporte de vulnerabilidades
Si encuentras un problema de seguridad, repórtalo a security@aitelier.org. Acusamos recibo en dos días laborables y priorizamos los problemas críticos por delante de todo lo demás. Clave PGP bajo petición.
Hoja de ruta de cumplimiento
Estado actual:
- Alineados con el RGPD con DPA firmado, residencia en la UE, gestión de DSAR y transparencia de subencargados
- SOC 2 Type I — auditoría en curso; la ventana de Type II empieza en el Q3 de 2026
- HIPAA-ready — BAA disponible bajo petición para despliegues sanitarios; el manejo de PHI es configurable por proyecto
- ISO 27001 — en la hoja de ruta, tras SOC 2
Si tu equipo de cumplimiento necesita algo concreto (una certificación regional particular, una cláusula de DPA a medida, un diagrama de arquitectura apto para reguladores), escríbenos a security@aitelier.org — la mayoría de las peticiones tienen respuesta, y esas respuestas suelen servir también a otros clientes del mismo espacio regulatorio.