Marco de RGPD y gobernanza de IA: LeadROJO

Estado del documento: Final (versión lanzamiento 2026)

Entidad matriz: LeadROJO (Costa del Sol, España)

1. Gobernanza e identidad corporativa

LeadROJO es un nombre comercial de LeadROJO Operamos bajo un mandato de "Privacy by Design", garantizando que toda automatización con IA para el mercado inmobiliario español cumple con:

• RGPD UE (Reglamento 2016/679)
• LOPDGDD española (Ley Orgánica 3/2018)
• EU AI Act 2024/2026 (requisitos de transparencia y riesgo)

2. Autoridad de control

LeadROJO está establecida en España. La autoridad de control competente para nuestras actividades de tratamiento es la Agencia Española de Protección de Datos (AEPD), con sede en Madrid.

• Autoridad principal: AEPD (https://www.aepd.es)
• Jurisdicción principal: España

3. Lógica de "transparencia de IA" (EU AI Act y Art. 13 RGPD)

En cumplimiento del EU AI Act (2026) y del Artículo 13 del RGPD, ofrecemos plena transparencia sobre los sistemas automatizados utilizados:

• Divulgación algorítmica: Usamos Modelos de Lenguaje (LLM) para calificar leads en función de intención, presupuesto y ubicación.
• Sin decisiones automatizadas de alto riesgo: Nuestra IA no toma decisiones con efectos legales (p. ej., scoring crediticio o rechazo de alquiler). Genera una Puntuación de Calificación y un resumen para revisión de la Agencia.
• Requisito "Human-in-the-Loop": La arquitectura impide que la IA firme contratos o haga ofertas vinculantes. Toda acción inmobiliaria final debe ser iniciada por un usuario humano verificado de la Agencia.

4. Transferencias internacionales y soberanía

Aplicamos un enfoque escalonado:

1. Residencia de datos: Todos los datos de leads y el historial de conversaciones se almacenan en reposo en AWS eu-central-1 (Frankfurt).
2. Procesamiento transitorio: Para la calificación con IA, los datos pueden transitar por APIs de IA fuera del EEE (p. ej., OpenAI/Anthropic). Estos flujos están protegidos por acuerdos de Zero Data Retention (ZDR) y las Cláusulas Contractuales Tipo de 2021, asegurando que los datos de ciudadanos de la UE no se usan para entrenar modelos fundacionales.
3. Registro de subencargados: Disponible bajo petición para todos los clientes Agencia.

5. Derechos digitales en España (ARCO-POL+)

Además de los derechos estándar del RGPD, ofrecemos herramientas específicas para los "Derechos Digitales" españoles (LOPDGDD):

• Derecho a intervención humana: Los leads pueden activar un comando "Bypass AI" en cualquier momento para hablar con un agente humano.
• Derecho de supresión (ARCO): Ofrecemos un botón de "Derecho al Olvido" en el panel de la Agencia para eliminar registros de leads en logs de WhatsApp y bases de datos.
• Derecho a la desconexión: La plataforma permite silenciar fuera de horario para cumplir la normativa laboral española sobre desconexión digital.

6. Seguridad y supervisión técnica

• Cifrado: TLS 1.3 en tránsito y AES-256 en reposo.
• Auditabilidad: Mantenemos un ROPA (Registro de Actividades de Tratamiento) para cada cliente, documentando el ciclo de datos desde Meta Lead Ads hasta la calificación con IA.
• Protocolo de brechas: En caso de incidente, LeadROJO notificará al Responsable (la Agencia) en un plazo de 48 horas, facilitando su reporte obligatorio de 72 horas ante la AEPD.