Política de Tratamiento y Protección de Datos Personales

Esta Política aplica a todas las bases de datos y archivos que contengan datos personales tratados por MONTECHELO INVERSIONES SAS — Soul Voice AI, ya sea como responsable o encargado del tratamiento, en los términos de la Ley 1581 de 2012, el Decreto 1377 de 2013 y sus normas concordantes en Colombia, así como el Reglamento General de Protección de Datos (GDPR — Reglamento UE 2016/679) para operaciones con residentes de la Unión Europea.

El tratamiento de datos en Soul Voice AI se rige por los siguientes principios establecidos en el artículo 4 de la Ley 1581 de 2012 y el artículo 5 del GDPR:

• Legalidad: el tratamiento se realiza conforme a las normas legales vigentes y aplicables.
• Finalidad: el tratamiento responde a una finalidad legítima, explícita y determinada, informada al titular.
• Libertad: el tratamiento solo se lleva a cabo con el consentimiento previo, expreso e informado del titular.
• Veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada y comprobable.
• Transparencia: el titular debe ser informado sobre el tratamiento de sus datos en todo momento.
• Acceso y circulación restringida: los datos solo pueden ser compartidos con los encargados autorizados.
• Seguridad: se implementan medidas técnicas y organizativas para proteger los datos.
• Confidencialidad: quienes intervengan en el tratamiento están obligados a guardar reserva.
• Minimización: solo se recaban los datos estrictamente necesarios para la finalidad declarada.

Soul Voice AI gestiona las siguientes bases de datos:

• Clientes corporativos: empresas que contratan los servicios de call center con IA.
• Usuarios finales: personas naturales que interactúan con el sistema de voz automatizado.
• Colaboradores: empleados y contratistas de Soul Voice AI.
• Prospectos y leads comerciales: contactos en proceso de vinculación comercial.

Dado el carácter sensible de los datos de voz, Soul Voice AI adopta las siguientes medidas específicas:

• Las grabaciones de llamadas se almacenan cifradas con AES-256.
• El acceso a grabaciones está restringido a personal autorizado con necesidad legítima.
• Los modelos de IA no retienen datos de voz fuera del procesamiento en tiempo real, salvo autorización.
• Las grabaciones son eliminadas de forma segura al vencimiento del plazo de retención.

La voz constituye un dato biométrico conforme al artículo 5 de la Ley 1581/2012 y requiere autorización expresa del titular para su tratamiento.

Los titulares de datos pueden ejercer los siguientes derechos ante Soul Voice AI:

• Acceso (A): conocer los datos personales que se tratan sobre ellos.
• Rectificación (R): corregir datos inexactos, incompletos o desactualizados.
• Cancelación/Supresión (C): solicitar la eliminación de datos cuando no exista obligación de conservación.
• Oposición (O): oponerse al tratamiento por motivos legítimos.
• Portabilidad (P): recibir datos en formato electrónico estructurado.
• Limitación (L): restringir el tratamiento en determinadas circunstancias.

Canal de ejercicio de derechos: privacidad@soulvoice.lat — Plazo de respuesta: 10 días hábiles para consultas, 15 días hábiles para reclamos.

Soul Voice AI implementa las siguientes medidas de seguridad de la información:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
• Control de acceso basado en roles (RBAC) y principio de mínimo privilegio.
• Autenticación multifactor (MFA) para accesos críticos.
• Monitoreo continuo de amenazas y respuesta a incidentes (SIEM).
• Auditorías de seguridad periódicas y pruebas de penetración.
• Plan de continuidad del negocio y recuperación ante desastres (BCP/DRP).

Las transferencias internacionales de datos personales se realizan únicamente a países o entidades que ofrezcan niveles adecuados de protección, o bajo mecanismos legales apropiados como cláusulas contractuales tipo o certificaciones reconocidas (e.g., Marco de Privacidad de Datos UE-EE.UU.).

En caso de brecha de seguridad que afecte datos personales, Soul Voice AI notificará a la Superintendencia de Industria y Comercio (SIC) y, cuando corresponda, a los titulares afectados, en el plazo máximo de 72 horas desde el conocimiento del incidente, conforme al GDPR y las directrices de la SIC.

Esta política rige a partir de su fecha de emisión. Soul Voice AI se reserva el derecho de modificarla, notificando a los titulares mediante publicación en soulvoice.lat con antelación mínima de 10 días hábiles antes de su entrada en vigor.