Aviso Legal

Aviso Legal, Política de Privacidad y Cookies

Política de Privacidad

La presente Política de Privacidad regula el tratamiento de los datos personales que Bayma Internet Servicios Comerciales S.L. (en adelante, «Bayma ISC» o «Baxilio») realiza a través de la plataforma SaaS Baxilio — centralita virtual con asistente conversacional de inteligencia artificial integrado — y de los servicios accesorios asociados (telefonía VoIP, SMS, mensajería de texto, análisis de llamadas, base de conocimiento RAG y canales de mensajería).

1. Responsable del tratamiento

  • Responsable: Bayma Internet Servicios Comerciales S.L. («Bayma ISC», en adelante «Baxilio»)
  • CIF: B90004441
  • NIF intracomunitario: ESB90004441
  • Datos registrales: Inscrita en el Registro Mercantil de Sevilla, Tomo 5542, Folio 216, Sección 8, Hoja SE-93600, Inscripción 3
  • Domicilio social: C/ Astronomía 1, Torre 1, Planta 11, 41015 Sevilla (España)
  • Email comercial y de contacto general: info@baxilio.com
  • Teléfono: 955 284 880

2. Delegado de Protección de Datos (DPO)

Baxilio ha designado un Delegado de Protección de Datos (DPO) al que cualquier interesado puede dirigirse para ejercer sus derechos o plantear cualquier cuestión sobre el tratamiento de sus datos personales:

Esta dirección es el canal preferente y oficial para comunicaciones relativas a protección de datos. Las comunicaciones dirigidas al email comercial (info@baxilio.com) que tengan por objeto el ejercicio de derechos RGPD serán reenviadas al DPO.

3. Doble rol de Baxilio: Responsable y Encargado del tratamiento

Baxilio actúa simultáneamente con dos roles distintos en función de los datos tratados, de conformidad con los artículos 4.7 y 4.8 del Reglamento (UE) 2016/679 (RGPD):

  • Como Responsable del Tratamiento respecto a los datos personales del Cliente titular de la cuenta (autónomos y micropymes contratantes del servicio) y de las cuentas de los usuarios internos creados por dicho Cliente dentro de su organización: datos de identificación, contacto, facturación, accesos a la plataforma, IP, métricas de uso de la consola.
  • Como Encargado del Tratamiento (RGPD Art. 28) respecto a los datos personales de los interlocutores finales del Cliente — esto es, las personas físicas que llaman, escriben o interactúan con el asistente virtual del Cliente a través de cualquier canal (voz, SMS, email, Telegram, WhatsApp, web). En este caso el Responsable del tratamiento es el Cliente, y Baxilio se limita a tratar los datos siguiendo sus instrucciones documentadas, conforme al contrato de encargo de tratamiento (DPA) que se entiende perfeccionado por la aceptación de los Términos y Condiciones.

4. Base legal del tratamiento

El tratamiento de los datos personales se fundamenta en las siguientes bases jurídicas previstas en el artículo 6 del RGPD:

  • Ejecución del contrato (Art. 6.1.b RGPD): tratamiento necesario para la prestación del servicio de centralita virtual con asistente IA, gestión de la cuenta del Cliente, facturación, atención al cliente y soporte técnico.
  • Cumplimiento de una obligación legal (Art. 6.1.c RGPD): conservación de registros de tráfico de comunicaciones (CDR) durante 12 meses según la Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas; conservación de datos fiscales y contables durante 6 años conforme al Código de Comercio y normativa fiscal española.
  • Consentimiento (Art. 6.1.a RGPD): envío de comunicaciones comerciales propias por medios electrónicos (LSSI 34/2002, Art. 21) y uso de cookies analíticas o de marketing, en ambos casos previa marcación expresa en checkbox no preseleccionado.
  • Interés legítimo (Art. 6.1.f RGPD): mejora del servicio mediante análisis agregado y anonimizado, prevención del fraude (PBX hacking, IRSF), seguridad de la plataforma y elaboración de resúmenes estructurados de conversaciones para coaching del agente configurado por el Cliente.

5. Categorías de datos tratados

Baxilio trata, según el rol y la finalidad, las siguientes categorías de datos personales:

  • Datos identificativos: nombre, apellidos, razón social, NIF/CIF, cargo profesional.
  • Datos de contacto: dirección postal, email, número de teléfono.
  • Datos de facturación y pago: dirección fiscal, datos tributarios; los datos de tarjeta se tokenizan en Redsys y Baxilio no almacena en ningún caso el PAN ni el CVV.
  • Tráfico de comunicaciones (CDR): número origen, número destino, fecha, hora, duración, estado de la llamada, identificadores técnicos.
  • Grabaciones de voz: audio bruto de las llamadas atendidas por el agente IA del Cliente, almacenado de forma temporal para su procesamiento.
  • Transcripciones y resúmenes: transcripción intermedia y resumen estructurado de la conversación (intención del llamante, resolución, sentimiento agregado, eventos relevantes).
  • Contenido de mensajes: texto de los mensajes intercambiados a través de los canales habilitados (email, Telegram y, en el futuro, WhatsApp Business).
  • Metadatos de conversación: identificador de hilo, canal, duración, marca temporal, estado de entrega y lectura, agente IA utilizado.
  • Datos técnicos y de navegación: dirección IP, user agent, idioma del navegador, logs de acceso a la plataforma.

Baxilio NO solicita ni necesita datos sensibles en el sentido del artículo 9 RGPD (origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos o biométricos, salud, vida u orientación sexual). Si tales datos fuesen aportados voluntariamente por un interlocutor en el curso de una conversación, se aplicarán los principios de minimización y limitación del plazo de conservación.

6. Finalidades del tratamiento

  • Prestación del servicio de centralita virtual con asistente conversacional IA contratado por el Cliente.
  • Gestión de la relación contractual: alta, facturación, cobro, renovación, soporte y baja.
  • Cumplimiento de las obligaciones legales aplicables a Baxilio en su condición de operador de telecomunicaciones (Ley 11/2022 General de Telecomunicaciones, Ley 25/2007) y en materia tributaria.
  • Seguridad de la plataforma, prevención y detección de fraude (incluido fraude telefónico tipo IRSF), antiabuso y antispam.
  • Elaboración de resúmenes estructurados y métricas de calidad para coaching y mejora del agente IA configurado por el Cliente, en su exclusivo beneficio.
  • Mejora interna del servicio mediante datos agregados y anonimizados que no permiten reidentificación.
  • Atención de consultas y solicitudes recibidas a través de los formularios web o canales de soporte.

Baxilio asume contractualmente y se compromete a:

  • NO usar las conversaciones del Cliente ni de sus interlocutores finales para entrenar modelos, ni propios ni de los proveedores de IA. Esta obligación se exige contractualmente a todos los subprocesadores de IA listados en el apartado 9.
  • NO extraer patrones agregados con fines comerciales ni venderlos a terceros.
  • NO realizar publicidad dirigida basada en el contenido de las conversaciones o en el consumo de los servicios.
  • NO vender ni ceder datos personales del Cliente o de sus interlocutores finales a terceros con fines comerciales o publicitarios.

7. Plazos de conservación

Categoría Plazo Base legal / justificación
Registros de llamada (CDR) 12 meses mínimo Obligación legal (Ley 25/2007)
Grabaciones de voz (audio bruto) Menos de 72 horas, salvo solicitud explícita y motivada del Cliente Minimización (Art. 5.1.c RGPD)
Transcripción y resumen estructurado de la conversación 24 meses tras finalización de la conversación Interés legítimo (coaching y calidad del agente del Cliente)
Datos fiscales y de facturación 6 años Código de Comercio y normativa fiscal española
Logs técnicos y de aplicación 90 días Interés legítimo (seguridad)
Cookies y datos de marketing Hasta retirada del consentimiento o, como máximo, 24 meses Consentimiento (LSSI / RGPD)

Baxilio aplica el principio de minimización: una vez generado el resumen estructurado de la conversación, el audio bruto se elimina de forma definitiva y solo se conservan el resumen y los metadatos de llamada (CDR).

8. Información obligatoria sobre uso de Inteligencia Artificial (Art. 50 AI Act)

En cumplimiento del artículo 50 del Reglamento (UE) 2024/1689 (Ley europea de Inteligencia Artificial, «AI Act»), Baxilio informa expresamente de que:

  • Toda persona que interactúe con un buzón, número o canal gestionado por Baxilio recibirá respuestas generadas por un asistente virtual basado en sistemas de inteligencia artificial (modelos generativos de lenguaje, reconocimiento y síntesis de voz).
  • Esta condición se comunicará de forma clara y comprensible al inicio de cada interacción mediante locución de voz o mensaje de texto.
  • El interlocutor tiene derecho a solicitar interlocución humana en cualquier momento de la conversación, derivándose la llamada o el mensaje al personal del Cliente cuando este haya configurado dicha vía de escalado.
  • Las respuestas del asistente virtual no constituyen asesoramiento profesional vinculante y pueden contener imprecisiones (alucinaciones).

9. Subprocesadores

Para la prestación del servicio, Baxilio se apoya en los siguientes subprocesadores. Cada uno está vinculado por un contrato de encargo del tratamiento (DPA) con obligaciones equivalentes a las del artículo 28 RGPD, y para los situados fuera del Espacio Económico Europeo (EEE) se aplica el mecanismo legal de transferencia internacional indicado.

Nombre Función Ubicación de procesamiento Mecanismo legal de transferencia
Anthropic, PBC LLM Claude (generación de respuestas) Estados Unidos SCCs UE + addendum no-train (Commercial/Enterprise)
Microsoft Ireland Operations Ltd. (Azure OpenAI Service) LLM GPT vía Azure UE (Irlanda) con posible procesamiento en EE.UU. EU-US Data Privacy Framework + RGPD UE
Mistral AI SAS LLM europeo, STT (Voxtral) y análisis post-llamada Francia (UE) RGPD nativo (no se requiere mecanismo adicional)
Microsoft Ireland Operations Ltd. (Azure) Hosting de servicios LLM y Azure Speech (STT/TTS) UE (Irlanda) EU-US Data Privacy Framework
ElevenLabs Inc. Síntesis de voz (TTS) Estados Unidos SCCs UE + cláusulas específicas EU AI
Proveedor de runtime de voz IA Orquestación de agente de voz IA en tiempo real Estados Unidos SCCs UE
ComVision Sp. z o.o. (SMSAPI.com) Envío de SMS / MMS Polonia (UE) RGPD nativo
Operadores telco mayoristas Rutas SIP salientes y entrantes para terminación de llamadas en operador final España (UE) RGPD nativo
Redsys Servicios de Procesamiento SL Procesador de pagos (tokenización tarjetas y cobros) España RGPD nativo + PCI-DSS L1
Plataforma de centralita virtual (on-premise) Software de centralita virtual operado en CPD propio de Bayma España RGPD UE
Twilio Inc. Canal WhatsApp Business (previsto) Estados Unidos / Irlanda SCCs UE
Meta Platforms Inc. (WhatsApp Business) Canal WhatsApp Business Cloud API (previsto) Estados Unidos / Irlanda SCCs UE
Google LLC Gmail OAuth, Gemini y servicios auxiliares Estados Unidos EU-US Data Privacy Framework
Telegram FZ-LLC Canal de mensajería Telegram UE RGPD nativo
Bayma Internet Servicios Comerciales S.L. Procesamiento interno, hosting de aplicación, SSO e identidad España (CPD propio) RGPD nativo
Proxmox Mail Gateway Filtrado y antispam de correo España (autohospedado en CPD propio Bayma) RGPD nativo
Vaultwarden Gestión de secretos y credenciales internas España (autohospedado en CPD propio Bayma) RGPD nativo
Qdrant Base de datos vectorial para RAG (base de conocimiento del agente) España (autohospedado en CPD propio Bayma) RGPD nativo

Baxilio notificará al Cliente con preaviso mínimo de 30 días naturales la incorporación o sustitución de cualquier subprocesador, vía email a la dirección de contacto registrada. La lista pública y actualizada de subprocesadores podrá consultarse en el futuro en una página específica de baxilio.com; entretanto, prevalece la lista incluida en este apartado.

Algunas categorías agrupan a varios proveedores con función equivalente para preservar el secreto empresarial (Ley 1/2019, de 20 de febrero, de Protección de Secretos Empresariales), al amparo del Art. 13.1.e RGPD que permite informar mediante "categorías de destinatarios". Los Clientes contratantes pueden solicitar la lista nominativa y actualizada de subprocesadores, así como la documentación TIA y SCCs aplicables, escribiendo al DPO en dpo.007@baxilio.com en el marco del Acuerdo de Encargado del Tratamiento (Art. 28 RGPD).

10. Transferencias internacionales

Las transferencias de datos personales fuera del EEE se realizan exclusivamente al amparo de los siguientes mecanismos previstos por el RGPD:

  • Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914) más Transfer Impact Assessment (TIA) documentado conforme a la doctrina Schrems II.
  • Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework) para los subprocesadores estadounidenses certificados (Decisión 2023/1795 de la Comisión Europea).
  • Decisiones de adecuación de la Comisión Europea, cuando existan para el país de destino.

El interesado puede solicitar información sobre las garantías aplicadas a cada transferencia escribiendo a dpo.007@baxilio.com.

11. Servicios de telecomunicaciones y emergencias

Baxilio es un servicio de centralita virtual con asistente IA dirigido a empresas. No sustituye a los servicios públicos de emergencia ni a los teléfonos armonizados de interés social. Los Clientes y los usuarios finales deben mantener vías alternativas (telefonía móvil tradicional, fija o cualquier otro medio) para contactar con los siguientes números, cuyo acceso queda no obstante garantizado en todo momento desde el servicio Baxilio:

  • 112 — Emergencia europea (sanitaria, incendios, seguridad ciudadana).
  • 016 — Atención a víctimas de violencia de género.
  • 017 — Línea de ayuda en ciberseguridad (INCIBE).
  • 019 — Línea de bienestar emocional para infancia y adolescencia (INCIBE).
  • 024 — Atención a la conducta suicida.

El acceso a estos números está garantizado incluso en modo restringido por saldo agotado o por suspensión por impago, en cumplimiento de la Ley 11/2022 General de Telecomunicaciones.

12. Derechos de los interesados (ARCO-POL)

De conformidad con el RGPD y con la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), todo interesado tiene derecho a ejercer los siguientes derechos:

  • Acceso: conocer si Baxilio trata sus datos personales y obtener una copia de los mismos.
  • Rectificación: solicitar la corrección de datos inexactos o incompletos.
  • Cancelación / Supresión («derecho al olvido»): solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
  • Oposición: oponerse al tratamiento de sus datos en determinadas circunstancias, incluida la elaboración de perfiles.
  • Portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica.
  • Limitación del tratamiento: solicitar la limitación cuando concurran las circunstancias del Art. 18 RGPD.

El ejercicio de cualquiera de estos derechos es gratuito y se canaliza preferentemente por correo electrónico al DPO:

dpo.007@baxilio.com

La solicitud deberá incluir nombre completo del solicitante, copia de un documento identificativo (DNI, NIE o pasaporte), descripción precisa del derecho que se ejerce y, en su caso, los datos de contacto a los que dirigir la respuesta. Baxilio responderá en un plazo máximo de 30 días naturales, ampliable otros dos meses cuando se trate de solicitudes especialmente complejas, informando al interesado de tal ampliación.

Si el interesado considera que el tratamiento de sus datos no se ajusta a la normativa vigente o que sus derechos no han sido satisfechos adecuadamente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente, en www.aepd.es.

Cuando los datos sean tratados por Baxilio en calidad de Encargado del tratamiento (interlocutores finales del Cliente), el ejercicio de derechos podrá dirigirse igualmente al Cliente Responsable a través de los medios que este haya facilitado; Baxilio prestará la colaboración necesaria para la atención de la solicitud.

13. Seguridad de los datos

Baxilio aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD. Entre ellas:

  • Cifrado de datos en tránsito (TLS 1.2 o superior) y en reposo (AES-256 donde aplica).
  • Tokenización de los datos de tarjeta a través de Redsys; Baxilio no almacena el PAN ni el CVV.
  • Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
  • Monitorización, registro y auditoría de accesos a sistemas críticos.
  • Copias de seguridad periódicas y verificación de restauración.
  • Acuerdos de confidencialidad con todo el personal y con los proveedores con acceso a datos.
  • Procedimiento documentado de notificación de quiebras de seguridad a la AEPD en plazo máximo de 72 horas, conforme a los artículos 33 y 34 RGPD.

14. Última actualización y versión

La presente Política de Privacidad fue actualizada por última vez el 3 de mayo de 2026 (versión v2.0). Baxilio podrá modificarla para adaptarla a cambios normativos, jurisprudenciales o técnicos, notificando al Cliente cualquier modificación sustancial con preaviso razonable.

Política de Cookies

Este sitio web utiliza cookies propias y de terceros para garantizar el correcto funcionamiento del sitio, mejorar la experiencia del usuario y analizar los hábitos de navegación.

¿Qué son las cookies?

Las cookies son pequeños archivos de texto que los sitios web almacenan en el dispositivo del usuario al visitarlos. Sirven para recordar preferencias, facilitar la navegación y recopilar información estadística.

Tipos de cookies que utilizamos

  • Cookies técnicas (necesarias): permiten la navegación y el uso de las funciones básicas del sitio web. Sin estas cookies, el sitio no puede funcionar correctamente.
  • Cookies analíticas: recopilan información de forma agregada sobre el uso del sitio web para ayudarnos a mejorar su rendimiento y contenido.
  • Cookies de terceros: instaladas por servicios externos (como herramientas de análisis) que pueden recopilar datos sobre su navegación en este y otros sitios web.

¿Cómo gestionar las cookies?

Puede configurar su navegador para aceptar o rechazar todas las cookies, o para que le notifique cuando se envíe una cookie. Cada navegador tiene un método diferente para gestionar las preferencias de cookies. Consulte el menú de ayuda de su navegador para obtener instrucciones.

Si desactiva las cookies, es posible que algunas funciones del sitio web no estén disponibles o no funcionen correctamente.

Última actualización: 17 de marzo de 2026.

Scroll to Top