En 2023, las autoridades de protección de datos en América Latina impusieron sanciones por un valor acumulado de cientos de millones de dólares a empresas que operaban sin los controles adecuados para el tratamiento de información personal.
Los contact centers figuraron entre los sectores con mayor número de incidentes reportados, en parte por el volumen de datos que procesan a diario y en parte por la falta de protocolos claros dentro de las operaciones.
La protección de datos en contact centers no es un tema exclusivo de los equipos legales o de TI. Es una responsabilidad operativa que afecta a cada agente que toma una llamada, responde un chat o envía un correo en nombre de la empresa.
Entender qué normativas aplican, qué obligaciones concretas generan y cómo preparar la operación para cumplirlas es el punto de partida para reducir el riesgo legal y proteger la confianza de tus clientes.
Qué es la protección de datos en un contact center
Un contact center es, por definición, un punto de concentración de datos personales. En cada interacción se captura, almacena o transmite información que identifica o puede identificar a una persona: nombre, número de teléfono, correo electrónico, historial de compras, datos bancarios, situación médica o cualquier otro dato que el cliente comparte al contactar a la empresa.
Por eso, los contact centers son entornos de alto riesgo desde la perspectiva de la privacidad. No solo por el volumen de datos que manejan, sino por la variedad de canales a través de los cuales los reciben —voz, chat, correo, redes sociales, WhatsApp— y por la cantidad de personas que tienen acceso a esa información dentro de la operación.
Si quieres saber cómo automatizar la atención en múltiples canales, mira este video 👇
Los tipos de datos más comunes en un contact center incluyen:
-
Datos de identificación básica: nombre, documento de identidad, dirección, teléfono.
-
Datos financieros: número de cuenta, tarjeta de crédito, historial de pagos.
-
Datos sensibles: información de salud, situación legal o filiación religiosa, en operaciones especializadas.
-
Grabaciones de voz y transcripciones de chat, que contienen datos en contexto y con mayor nivel de detalle.
-
Metadatos de interacción: hora de contacto, canal usado, duración, número de recontactos.
La protección de datos en contact centers implica garantizar que toda esa información se recopile con una base legal válida, se almacene de forma segura, se use solo para los fines para los que fue recabada y se elimine cuando ya no sea necesaria. Ese ciclo completo es lo que las normativas buscan regular.
Normativas internacionales que aplican a los contact centers
Aunque cada país tiene su propia legislación, hay marcos regulatorios internacionales que establecen los estándares de referencia y que, en muchos casos, aplican directamente a operaciones en LATAM cuando se procesan datos de ciudadanos europeos o se trabaja con empresas internacionales.
GDPR — Reglamento General de Protección de Datos (Unión Europea)
El GDPR es el marco regulatorio más exigente y de mayor alcance global. Aunque es una norma europea, aplica a cualquier empresa fuera de la UE que procese datos de ciudadanos europeos, lo que incluye a contact centers en LATAM que prestan servicios a empresas con clientes en Europa. Sus principios centrales —licitud, transparencia, minimización de datos, limitación de la finalidad, exactitud, integridad y confidencialidad— son hoy el estándar de referencia para cualquier operación que aspire a un nivel alto de cumplimiento.
LGPD — Lei Geral de Proteção de Dados (Brasil)
Vigente desde 2020, la LGPD es la norma de protección de datos más relevante de América Latina por el tamaño del mercado brasileño. Está modelada en gran parte sobre el GDPR y establece obligaciones similares: bases legales para el tratamiento, derechos de los titulares, designación de un Encarregado de Proteção de Dados (DPO) y notificación obligatoria de incidentes. Para contact centers que operen o tengan clientes en Brasil, el cumplimiento de la LGPD es obligatorio.
ISO 27001 — Gestión de la Seguridad de la Información
La ISO 27001 no es una ley, sino un estándar internacional de gestión. Sin embargo, muchas empresas y reguladores en LATAM la utilizan como referencia para evaluar si un contact center tiene los controles técnicos y organizativos adecuados. Obtener la certificación ISO 27001 es una señal concreta de madurez en seguridad de la información y puede ser un requisito contractual cuando se trabaja con clientes corporativos o del sector financiero.
Regulaciones de protección de datos en países de LATAM
Los principales mercados de LATAM donde operan contact centers tienen legislación propia en materia de protección de datos. Conocerla no es opcional: el incumplimiento puede derivar en sanciones, suspensión de operaciones o pérdida de contratos con clientes que exigen cumplimiento regulatorio como condición.
México — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
Vigente desde 2010, la LFPDPPP establece que toda empresa privada que trate datos personales en México debe contar con un aviso de privacidad, obtener el consentimiento del titular cuando sea necesario, garantizar los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y aplicar medidas de seguridad administrativas, técnicas y físicas. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad de control.
Colombia — Ley 1581 de 2012
Colombia cuenta con una de las legislaciones más desarrolladas de la región. La Ley 1581, reglamentada por el Decreto 1074 de 2015, obliga a los contact centers a registrar sus bases de datos ante la Superintendencia de Industria y Comercio (SIC), obtener autorización expresa de los titulares para el tratamiento de sus datos, designar un responsable interno y atender solicitudes de consulta o reclamo en plazos definidos por ley.
Perú — Ley 29733 de Protección de Datos Personales
La Ley 29733 y su reglamento establecen que los datos personales solo pueden tratarse con el consentimiento libre, previo, expreso e informado del titular, salvo excepciones legales. Los bancos de datos personales deben inscribirse ante la Autoridad Nacional de Protección de Datos Personales, dependiente del Ministerio de Justicia. El incumplimiento puede derivar en sanciones que van desde amonestaciones hasta multas de hasta 100 UIT.
Chile, Argentina y otros mercados
Chile está en proceso de actualizar su Ley 19.628 con una reforma que la acerca al estándar del GDPR. Argentina cuenta con la Ley 25.326 y está considerada por la UE como un país con nivel adecuado de protección. En ambos casos, los contact centers que operen en estos mercados deben revisar las obligaciones locales vigentes y estar atentos a las actualizaciones regulatorias, que en los últimos años han sido frecuentes en toda la región.
Obligaciones del contact center como responsable o encargado del tratamiento
Una distinción legal clave que muchos contact centers pasan por alto es si actúan como responsable del tratamiento o como encargado del tratamiento. La diferencia no es solo semántica: determina qué obligaciones legales recaen directamente sobre la operación.
El responsable es quien decide con qué finalidad y bajo qué condiciones se tratan los datos. Si el contact center gestiona su propia base de clientes —por ejemplo, para campañas de ventas propias—, actúa como responsable y asume la carga completa de cumplimiento: aviso de privacidad, gestión de consentimientos, atención de derechos ARCO, registro de bases de datos y respuesta ante incidentes.
El encargado es quien trata datos por cuenta de un tercero —el responsable— bajo sus instrucciones. Muchos contact centers operan en este rol cuando prestan servicios a otras empresas. En ese caso, la relación debe estar regulada por un contrato de encargo del tratamiento que especifique qué datos se tratan, con qué finalidad, por cuánto tiempo, bajo qué medidas de seguridad y qué ocurre con los datos al terminar la relación contractual.
Operar sin ese contrato, o hacerlo con uno genérico que no cubre los requisitos legales, es una de las causas más frecuentes de incumplimiento en contact centers que prestan servicios externalizados.
Consentimiento, bases legales y derechos de los titulares
Bases legales para el tratamiento
El consentimiento es la base legal más conocida, pero no es la única. Las normativas de LATAM —siguiendo el modelo del GDPR— permiten tratar datos sin consentimiento cuando existe una obligación legal, un contrato con el titular, un interés legítimo debidamente documentado o una misión de interés público. Para un contact center, esto significa que no siempre es necesario pedir consentimiento explícito: si el tratamiento es necesario para ejecutar un contrato con el cliente, esa base legal es suficiente.
El problema aparece cuando se tratan datos para finalidades secundarias —como campañas de marketing o cesión a terceros— sin una base legal adecuada. En esos casos, el consentimiento sí es necesario y debe ser libre, específico, informado y revocable.
Derechos ARCO y cómo gestionarlos
Los derechos ARCO —Acceso, Rectificación, Cancelación y Oposición— son el mecanismo que permite a los titulares ejercer control sobre sus datos. En la práctica, el contact center debe tener un proceso definido para recibir, validar, responder y documentar estas solicitudes dentro de los plazos que establece cada legislación nacional.
Los plazos varían: en México son 20 días hábiles, en Colombia 15 días hábiles para consultas y 15 días adicionales si se requiere más tiempo, en Perú 20 días hábiles. No atender una solicitud ARCO en plazo es, por sí solo, una infracción sancionable, independientemente de si el tratamiento original fue correcto.
Medidas técnicas y organizativas para cumplir la normativa
Las normativas no solo exigen buenas intenciones: requieren controles concretos, documentados y auditables. Las medidas que un contact center debe implementar se dividen en dos categorías: técnicas y organizativas.
Medidas técnicas
Las medidas técnicas son los controles tecnológicos que protegen los datos contra acceso no autorizado, pérdida o manipulación:
-
Cifrado de datos en tránsito y en reposo, especialmente para grabaciones de voz, transcripciones y bases de datos de clientes.
-
Control de accesos basado en roles (RBAC): cada agente solo debe poder acceder a los datos que necesita para su función específica.
-
Trazabilidad y logs de auditoría: el sistema debe registrar quién accedió a qué datos, cuándo y desde qué dispositivo.
- Gestión de grabaciones: las grabaciones de llamadas deben almacenarse con acceso restringido, durante el tiempo estrictamente necesario y con registros de quién las consultas.
-
Autenticación multifactor (MFA) para el acceso a plataformas que contengan datos personales.
Medidas organizativas
Las medidas organizativas son los procesos, políticas y capacitaciones que garantizan que el equipo entiende sus obligaciones y las cumple:
-
Política de privacidad interna que establezca cómo se tratan los datos en cada proceso de la operación.
-
Formación obligatoria para todos los agentes sobre protección de datos, con foco en qué pueden y qué no pueden hacer con la información de los clientes.
-
Designación de un responsable de privacidad o DPO (Data Protection Officer), obligatorio en algunas legislaciones y recomendable en todas.
-
Evaluaciones de impacto (DPIA) antes de implementar nuevos procesos que impliquen tratamiento masivo o de datos sensibles.
Gestión de incidentes y brechas de seguridad
Una brecha de seguridad no es solo un problema técnico: es un evento con consecuencias legales, reputacionales y operativas que requiere una respuesta estructurada. La mayoría de las legislaciones de LATAM ya establece plazos obligatorios de notificación que van desde 24 horas hasta 72 horas según el tipo de incidente y la normativa aplicable.
Detección y contención
El primer paso es detectar el incidente lo antes posible. Para eso, el contact center necesita sistemas de monitoreo activo y un equipo que sepa identificar señales de alerta: accesos inusuales, transferencias masivas de datos, fallos de autenticación repetidos. Una vez detectado el incidente, la prioridad inmediata es contenerlo: limitar el acceso comprometido, aislar los sistemas afectados y preservar evidencia para el análisis posterior.
Notificación y documentación
Una vez contenido el incidente, el contact center debe evaluar si la brecha afecta datos personales y en qué medida. Si existe riesgo para los titulares, la notificación a la autoridad de protección de datos es obligatoria en los plazos definidos por cada legislación. En algunos casos, también es necesario notificar directamente a los titulares afectados, especialmente si el incidente puede generarles daño económico o reputacional.
Todo el proceso debe quedar documentado: qué ocurrió, cuándo se detectó, qué medidas se tomaron, a quién se notificó y en qué plazo. Esa documentación es la principal defensa ante una investigación regulatoria posterior.
Consecuencias del incumplimiento y cómo prepararse para una auditoría
Sanciones por incumplimiento
Las sanciones por incumplimiento de la normativa de protección de datos en LATAM han aumentado significativamente en los últimos años, tanto en frecuencia como en monto. En México, el INAI puede imponer multas de hasta 320,000 días de salario mínimo. En Colombia, la SIC puede llegar a 2,000 salarios mínimos mensuales por infracción. En Perú, las multas alcanzan hasta 100 UIT.
Más allá de las multas, las consecuencias reputacionales suelen ser más costosas que las sanciones económicas. Un contact center que aparece en medios por una brecha de datos o por incumplimiento regulatorio enfrenta pérdida de contratos, dificultades para renovar acuerdos con clientes corporativos y daño a la relación con sus propios clientes.
Cómo prepararse para una auditoría regulatoria
Una auditoría regulatoria no es necesariamente reactiva: puede ser programada o aleatoria. La mejor preparación es operar siempre como si una revisión pudiera ocurrir en cualquier momento. Eso implica:
-
Tener el registro de actividades de tratamiento actualizado y accesible.
-
Contar con avisos de privacidad vigentes y revisados por un especialista legal.
-
Documentar los contratos de encargo del tratamiento con cada cliente o proveedor.
-
Mantener evidencia de las formaciones impartidas al equipo.
-
Registrar las solicitudes ARCO recibidas, el plazo de respuesta y la resolución aplicada.
-
Tener un plan de respuesta ante incidentes aprobado y practicado, no solo redactado.
Un contact center que puede presentar esa documentación de forma ordenada ante un auditor demuestra madurez en cumplimiento, lo que no solo reduce el riesgo de sanción, sino que también genera confianza en sus clientes y diferencia a la operación en el mercado.
Conclusión
La protección de datos en contact centers es hoy una obligación legal en todos los mercados principales de LATAM, no una opción ni una buena práctica voluntaria. Cumplir con las normativas aplicables —desde la LFPDPPP en México hasta la Ley 29733 en Perú— requiere una combinación de controles técnicos, procesos organizativos y formación continua del equipo.
Si quieres evaluar el nivel de cumplimiento de tu operación o conocer cómo una plataforma omnicanal puede ayudarte a centralizar y proteger los datos de tus clientes, conoce cómo funciona Beex y solicita una demostración.
