Política de Protección de Datos en Servicios CX e Inteligencia Artificial

1. Objetivo

Esta política establece los principios y controles aplicados por ExperiencIA CX en servicios relacionados con experiencia de clientes, medición NPS, CSAT, CES, Voz del Cliente, análisis de comentarios abiertos, automatización, integración de datos e inteligencia artificial aplicada a CX.

Su objetivo es asegurar que la información tratada en proyectos de clientes sea utilizada de forma limitada, segura, trazable y alineada con la finalidad definida para cada servicio.

2. Alcance

Esta política aplica a servicios prestados por ExperiencIA CX que involucren encuestas y mediciones de experiencia, bases de clientes o contactos, respuestas de encuestas, comentarios abiertos, datos de interacciones, tickets, llamadas, chats o WhatsApp cuando corresponda, dashboards e indicadores, integraciones con plataformas SaaS o cloud, y procesamiento mediante inteligencia artificial.

3. Roles en el tratamiento

En proyectos empresariales, ExperiencIA CX normalmente actúa como encargado del tratamiento de datos personales, procesando información conforme a las instrucciones del cliente.

El cliente mantiene la responsabilidad sobre la base de datos entregada, la finalidad del tratamiento, la autorización o base legal de contacto, las reglas de contactabilidad, los criterios de exclusión y las instrucciones de retención, devolución o eliminación.

ExperiencIA CX se limita a procesar los datos necesarios para ejecutar el servicio acordado.

4. Principios aplicados

ExperiencIA CX aplica los principios de finalidad específica, minimización de datos, acceso restringido, uso limitado al servicio contratado, seguridad proporcional al riesgo, trazabilidad operativa, retención limitada, eliminación o devolución al cierre, confidencialidad y no uso de datos para fines propios no autorizados.

5. Flujo general de información

El flujo de información puede variar según el proyecto, pero normalmente considera recepción de base o información autorizada por el cliente, carga o integración en plataforma de encuestas, automatización o análisis, captura de respuestas o datos del proceso, almacenamiento operacional en la plataforma definida, integración hacia repositorio analítico cuando corresponda, normalización y preparación de datos, procesamiento de comentarios o información textual si aplica, generación de dashboards, reportes o alertas, retención durante el periodo acordado y eliminación, devolución o anonimización al cierre.

6. Recepción de información

La recepción de información podrá realizarse mediante canales seguros acordados con el cliente, tales como SFTP, repositorios cloud autorizados, APIs, integraciones o cargas manuales controladas.

Cuando se utilicen repositorios compartidos, se definirán controles de acceso, permisos, trazabilidad y plazos de disponibilidad de archivos.

7. Plataformas utilizadas

Dependiendo del servicio, ExperiencIA CX podrá utilizar plataformas como QuestionPro para encuestas, VoC y NPS; Google Cloud Platform para integración y procesamiento; BigQuery para almacenamiento analítico; Looker Studio para visualización; Cloud Run o Cloud Functions para recepción de eventos; Vertex AI / Gemini para análisis de comentarios cuando corresponda; u otras plataformas autorizadas según el proyecto.

Cada proyecto definirá expresamente las plataformas involucradas.

8. Tratamiento de comentarios abiertos

Los comentarios abiertos pueden contener información personal ingresada voluntariamente por los usuarios. Por ello, ExperiencIA CX podrá aplicar controles como detección de datos personales, enmascaramiento de nombres, teléfonos, correos, documentos o direcciones, eliminación de información no necesaria, restricción de acceso a respuestas literales, clasificación de motivos, sentimiento, riesgo o prioridad y generación de resultados estructurados para análisis.

9. Uso de inteligencia artificial

Cuando se utilice IA, esta se aplicará exclusivamente a las finalidades definidas en el servicio, tales como análisis de sentimiento, clasificación de motivos, detección de riesgo, resumen o generación de acciones sugeridas.

Los prompts y salidas se diseñarán para obtener respuestas estructuradas, trazables y consistentes.

La capa IA podrá ejecutarse fuera de la plataforma core de encuestas, por ejemplo sobre Google Cloud / Vertex AI / Gemini, evitando procesamientos no autorizados dentro de herramientas personales o no gobernadas.

Cuando el cliente lo requiera, el servicio IA seleccionado deberá permitir condiciones de no uso de datos para entrenamiento de modelos generales.

10. Seguridad y control de accesos

ExperiencIA CX aplicará controles proporcionales al alcance del servicio, incluyendo accesos restringidos, roles diferenciados, cuentas de servicio para integraciones, credenciales no compartidas, principio de mínimo privilegio, revocación de accesos al cierre del proyecto, rotación de credenciales cuando corresponda, logs disponibles en plataformas cloud o SaaS utilizadas y separación entre datos originales, normalizados y resultados analíticos.

11. Retención y eliminación

La información será conservada solo durante el periodo necesario para ejecutar el servicio y cumplir los acuerdos establecidos con el cliente.

Al cierre del proyecto, ExperiencIA CX podrá ejecutar acciones de eliminación, devolución, respaldo o anonimización conforme a las instrucciones del cliente.

Cuando corresponda, podrá emitirse una constancia de borrado que indique el alcance de eliminación realizado. Los backups técnicos de plataformas cloud o SaaS estarán sujetos a los ciclos de retención propios de cada proveedor.

12. Gestión de incidentes

En caso de identificarse un evento que pueda afectar la seguridad o confidencialidad de datos tratados en un proyecto, ExperiencIA CX aplicará un proceso de detección, clasificación, contención, análisis de impacto, comunicación al cliente, remediación, cierre y acciones preventivas.

Los plazos y canales de notificación podrán establecerse contractualmente para cada cliente.

13. Derechos de titulares

Cuando ExperiencIA CX trate datos por cuenta de un cliente, cualquier solicitud de acceso, rectificación, supresión, oposición, bloqueo, portabilidad o desuscripción será informada al cliente responsable del tratamiento, salvo que exista instrucción distinta o exigencia legal aplicable.

ExperiencIA CX apoyará técnicamente la búsqueda, actualización, bloqueo, eliminación o anonimización de datos cuando sea instruido por el cliente.

14. Confidencialidad

ExperiencIA CX mantendrá confidencialidad respecto de la información recibida o procesada en el marco de sus servicios. La información de clientes no será utilizada para fines comerciales, demostraciones públicas, entrenamiento de modelos, casos de éxito o materiales promocionales sin autorización expresa.

15. Contacto

Para consultas relacionadas con esta política, puede contactar a ExperiencIA CX al correo jmora@experienciacx.com.