Regla de esta casa: no se vende como cerrado lo que no lo está. Cada control dice si está verificado en producción hoy, o en curso con fecha y motivo.
Art. 50Disclosure de IA en conversación
● verificado en producciónQué exige: La persona debe saber que habla con una IA, desde el principio.
Sara se identifica como IA en su primera frase, en cada llamada. Y no se asume: el sistema VERIFICA contra la transcripción real de cada llamada que el disclosure se dijo, y lo registra.
Art. 50Registro forense de cada llamada
● verificado en producciónQué exige: Poder demostrar el cumplimiento, no solo declararlo.
Cada llamada terminada escribe una fila en una cadena de auditoría con hash SHA-256 encadenado (inmutable por diseño): cuándo se hizo el disclosure, qué marcador se detectó, duración y coste.
Art. 52Marcado del audio sintético (watermark)
◐ en curso · fecha 2-agoQué exige: El audio generado por IA debe ser identificable como tal.
La cadena de auditoría del watermark está en producción y registra cada llamada. La firma acústica en origen (PerTH/AudioSeal, ambos open source auditables) se ejecuta en servidor propio EU.
El sidecar de firmado se despliega con nuestro servidor soberano EU antes del 2-ago-2026. Lo decimos claro: hoy la cadena registra; la firma acústica llega con esa pieza.
GDPRResidencia de datos EU
● verificado en producciónQué exige: Datos de prospectos y clientes tratados en la UE.
Base de datos en Frankfurt (EU) con aislamiento por cliente a nivel de fila (RLS) en el propio motor de datos — no en la capa de aplicación.
GDPR / ePrivacyAnalítica de prospectos sin invadir
● verificado en producciónQué exige: Medir sin identificar ni rastrear entre sitios.
Las webs de prospecto miden engagement first-party sin cookies, sin fingerprint y con coordenadas agregadas — nunca texto tecleado ni identificadores persistentes.
Art. 15 (seguridad)Postura de seguridad medida, no declarada
● verificado en producciónQué exige: Robustez y ciberseguridad demostrables del sistema.
La consola de seguridad mide EN VIVO sobre la base de datos: funciones expuestas, aislamiento por tenant, estado de la cadena de auditoría. Cabeceras de seguridad, firmas de webhook fail-closed y guard SSRF en producción.
B2B outboundOpt-out que se respeta solo
● verificado en producciónQué exige: Derecho de oposición efectivo (GDPR art. 21).
Una respuesta pidiendo no recibir más emails entra en la lista de supresión automáticamente (detector + clasificador) y las secuencias activas se pausan para ese contacto.