RCC (ES)

CallOnAlarm — Compromiso de Cumplimiento Normativo

Versión 1.0 — Febrero 2026

1. Introducción

CallOnAlarm es una plataforma de notificación de alertas que permite a sus clientes recibir llamadas telefónicas automatizadas cuando se detecta un evento. Estos eventos pueden provenir de dispositivos físicos (sensores, equipos conectados, centrales de seguridad) o ser activados a través de nuestra API por aplicaciones de terceros.

Nuestro servicio implica el tratamiento de datos personales (números de teléfono, nombres de contactos de emergencia) y la realización de llamadas telefónicas automatizadas. Estas actividades están sujetas a normativas estrictas que nos comprometemos a cumplir escrupulosamente.

Este documento detalla las medidas que hemos implementado para garantizar el cumplimiento de nuestro servicio con las normativas aplicables en materia de protección de datos personales y comunicaciones electrónicas.

Nota sobre Norteamérica: En la fecha de publicación de este documento, CallOnAlarm está disponible únicamente en Europa. Las secciones relativas a Estados Unidos y Canadá (TCPA, CCPA, PIPEDA, CASL, etc.) describen las medidas que implementaremos en cuanto se lance el servicio en estas regiones. Hemos optado por anticipar estos requisitos normativos para garantizar un cumplimiento total desde el primer día de disponibilidad en estos mercados.

2. Nuestro compromiso

CallOnAlarm se compromete a:

• Respetar la privacidad de todas las personas cuyos datos son tratados por nuestra plataforma

• Obtener y documentar el consentimiento de cada persona antes de cualquier llamada telefónica

• Proteger los datos personales mediante medidas técnicas y organizativas apropiadas

• Garantizar la transparencia sobre nuestras prácticas de tratamiento de datos

• Facilitar el ejercicio de los derechos de los interesados

• Cooperar con las autoridades de control competentes

• Mantener una relación de confianza con nuestros socios tecnológicos

3. Cumplimiento en Europa

3.1 Reglamento General de Protección de Datos (RGPD)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) constituye el principal marco jurídico aplicable a nuestra actividad dentro de la Unión Europea.

3.1.1 Base jurídica del tratamiento

De conformidad con el artículo 6 del RGPD, todo tratamiento de datos personales debe basarse en una base jurídica. CallOnAlarm fundamenta sus tratamientos en:

a) Consentimiento explícito (Artículo 6.1.a)

Para los contactos de emergencia designados por nuestros clientes, obtenemos un consentimiento explícito, libre, específico, informado e inequívoco a través de nuestro sistema de verificación telefónica.

«El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen.» — Considerando 32 del RGPD

b) Ejecución de un contrato (Artículo 6.1.b)

Para nuestros clientes directos, el tratamiento es necesario para la ejecución del contrato de servicio que han suscrito.

c) Interés legítimo (Artículo 6.1.f)

En ciertos casos limitados (seguridad del sistema, prevención del fraude), podemos invocar nuestro interés legítimo, tras haber realizado una evaluación de impacto apropiada.

3.1.2 Principios fundamentales respetados

3.1.3 Derechos de los interesados

Garantizamos el ejercicio efectivo de los derechos previstos en los artículos 15 a 22 del RGPD:

• Derecho de acceso (Art. 15)

• Derecho de rectificación (Art. 16)

• Derecho de supresión (Art. 17)

• Derecho a la limitación del tratamiento (Art. 18)

• Derecho a la portabilidad de los datos (Art. 20)

• Derecho de oposición (Art. 21)

Los detalles de estos derechos y las modalidades de ejercicio se presentan en la Sección 8.

3.1.4 Transferencias internacionales

De conformidad con el Capítulo V del RGPD, toda transferencia de datos a un tercer país está sujeta a garantías apropiadas:

• Nuestros servidores principales están alojados dentro de la Unión Europea (Hetzner, Alemania)

• Las transferencias a Estados Unidos (Twilio) están reguladas por el Marco de Privacidad de Datos UE-EE.UU. y las Cláusulas Contractuales Tipo de la Comisión Europea

• No se realiza ninguna transferencia a países sin un nivel de protección adecuado sin garantías apropiadas

3.2 Directiva ePrivacy

La Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva ePrivacy) regula específicamente las comunicaciones electrónicas.

3.2.1 Comunicaciones no solicitadas (Artículo 13)

El artículo 13 de la Directiva ePrivacy establece que:

«La utilización de sistemas de llamada automática y comunicación sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa solo se podrá autorizar respecto de aquellos abonados o usuarios que hayan dado su consentimiento previo.»

Nuestro cumplimiento:

CallOnAlarm no realiza ninguna prospección comercial. Nuestras llamadas automatizadas están destinadas exclusivamente a:

• Verificar el consentimiento de los contactos de emergencia (llamada única de validación)

• Notificar alertas de seguridad a los contactos que hayan consentido previamente

Estas finalidades están expresamente autorizadas porque:

• Se basan en un consentimiento explícito previo

• Sirven a un interés legítimo de seguridad de las personas y los bienes

• No constituyen prospección comercial

3.3 Normativas nacionales

3.3.1 Francia

Ley de Informática y Libertades (Ley n.º 78-17 de 6 de enero de 1978 modificada)

La CNIL (Commission Nationale de l'Informatique et des Libertés) es la autoridad de control competente. Cumplimos con las recomendaciones de la CNIL en cuanto a:

• Plazos de conservación de datos

• Métodos para obtener el consentimiento

• Información a los interesados

Código de Correos y Comunicaciones Electrónicas

El artículo L. 34-5 regula la prospección directa mediante sistemas de llamada automática. Nuestras llamadas de notificación de seguridad no entran en esta categoría ya que no persiguen ninguna finalidad comercial.

3.3.2 Alemania

Ley Federal de Protección de Datos (Bundesdatenschutzgesetz — BDSG)

La Ley Federal alemana de Protección de Datos complementa el RGPD. Cumplimos con los requisitos específicos de la BDSG, en particular en lo relativo a:

• Designación de un Delegado de Protección de Datos

• Obligaciones reforzadas de documentación

Ley contra la Competencia Desleal (Gesetz gegen den unlauteren Wettbewerb — UWG)

La sección 7 de la UWG prohíbe el acoso mediante comunicaciones electrónicas. Nuestras llamadas de seguridad, basadas en consentimiento explícito y limitadas a situaciones de emergencia, cumplen con este marco.

3.3.3 España

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

La AEPD (Agencia Española de Protección de Datos) es la autoridad de control competente. Cumplimos con las recomendaciones de la AEPD en cuanto a:

• Plazos de conservación de datos

• Métodos para obtener el consentimiento

• Información a los interesados

3.3.4 Otros Estados miembros

Adaptamos nuestras prácticas a las especificidades normativas de cada Estado miembro donde operamos, consultando las recomendaciones de las autoridades de control locales (Garante en Italia, ICO en el Reino Unido, etc.).

4. Cumplimiento en Norteamérica

4.1 Estados Unidos — TCPA

La Telephone Consumer Protection Act (TCPA) de 1991, codificada en 47 U.S.C. § 227, es la principal normativa federal estadounidense que regula las llamadas telefónicas automatizadas.

4.1.1 Requisitos de la TCPA

La TCPA prohíbe, con ciertas excepciones, las llamadas realizadas mediante un «automatic telephone dialing system» (ATDS) o con voz pregrabada, sin el consentimiento previo expreso del destinatario.

«It shall be unlawful for any person within the United States [...] to make any call (other than a call made for emergency purposes or made with the prior express consent of the called party) using any automatic telephone dialing system or an artificial or prerecorded voice.» — 47 U.S.C. § 227(b)(1)(A)

4.1.2 Nuestro cumplimiento de la TCPA

a) Consentimiento previo expreso por escrito (Prior Express Written Consent)

Para cualquier llamada a un número estadounidense, exigiremos:

• Consentimiento escrito o electrónico documentado

• Divulgación clara de que se realizarán llamadas automatizadas

• La posibilidad de revocar el consentimiento en cualquier momento

b) Registro Do Not Call

Cumpliremos con el National Do Not Call Registry gestionado por la Federal Trade Commission (FTC) y mantendremos nuestra propia lista interna de exclusión.

c) Identificación del llamante

De conformidad con las normas de la FCC, todas nuestras llamadas mostrarán un número de devolución de llamada válido que identifique a CallOnAlarm.

d) Horarios de llamada

Aunque nuestras llamadas de alerta de seguridad pueden, por su naturaleza, producirse a cualquier hora (situación de emergencia), las llamadas de verificación de consentimiento se realizarán únicamente entre las 8:00 y las 21:00, hora local del destinatario.

4.1.3 Excepción para fines de emergencia

La TCPA prevé una excepción para «emergency purposes». Nuestras llamadas de notificación de alerta de seguridad pueden estar amparadas por esta excepción cuando se refieran a una amenaza inminente para la seguridad de las personas o los bienes. No obstante, mantenemos nuestro requisito de consentimiento previo para garantizar la mejor protección jurídica.

4.2 Estados Unidos — Normativas estatales

Varios estados estadounidenses han adoptado normativas complementarias a la TCPA:

4.2.1 California Consumer Privacy Act (CCPA)

La CCPA (Cal. Civ. Code §§ 1798.100-1798.199) otorga a los residentes de California amplios derechos sobre sus datos personales:

• Derecho a saber qué datos se recopilan

• Derecho a eliminar datos personales

• Derecho a oponerse a la venta de datos personales

• Derecho a la no discriminación

Nuestro compromiso: CallOnAlarm no vende ningún dato personal y garantiza el ejercicio de todos los derechos previstos por la CCPA.

4.2.2 Otros estados

Monitorizamos la evolución normativa en los estados que han adoptado o están considerando leyes de protección de datos:

• Virginia Consumer Data Protection Act (VCDPA)

• Colorado Privacy Act (CPA)

• Connecticut Data Privacy Act (CTDPA)

• Utah Consumer Privacy Act (UCPA)

4.3 Canadá — PIPEDA y CASL

4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)

PIPEDA establece las normas para la recopilación, uso y divulgación de información personal en el marco de actividades comerciales en Canadá.

Principios de PIPEDA que cumplimos:

1. Responsabilidad — Designación de un responsable de cumplimiento

2. Identificación de fines — Fines claramente definidos

3. Consentimiento — Consentimiento informado obtenido

4. Limitación de la recopilación — Recopilación limitada a lo necesario

5. Limitación del uso, divulgación y conservación — Uso conforme a los fines declarados

6. Exactitud — Datos mantenidos actualizados

7. Medidas de seguridad — Protección adecuada de los datos

8. Transparencia — Políticas accesibles al público

9. Acceso individual — Derecho de acceso garantizado

10. Recurso — Mecanismo de reclamación disponible

4.3.2 Canada's Anti-Spam Legislation (CASL)

CASL regula el envío de mensajes electrónicos comerciales. Aunque nuestras comunicaciones no son de naturaleza comercial, aplicamos por analogía los principios de consentimiento expreso de CASL.

4.3.3 Lista Nacional de No Llamar (DNCL)

El CRTC (Canadian Radio-television and Telecommunications Commission) gestiona la DNCL. Cumpliremos con esta lista para cualquier llamada a Canadá.

5. Sistema de verificación del consentimiento

5.1 Principio fundamental

CallOnAlarm ha desarrollado un innovador sistema de verificación del consentimiento mediante llamada telefónica que garantiza que cada contacto de emergencia ha aceptado expresamente recibir llamadas de nuestra plataforma.

Este sistema responde a una doble exigencia:

• Jurídica: documentar un consentimiento explícito, libre, específico e informado

• Ética: asegurar que nadie reciba llamadas no deseadas

5.2 Funcionamiento del sistema

5.3 Derecho de retirada del consentimiento

De conformidad con el artículo 7.3 del RGPD:

«El interesado tendrá derecho a retirar su consentimiento en cualquier momento. [...] Será tan fácil retirar el consentimiento como darlo.»

Garantizamos este derecho de varias maneras:

a) Durante una llamada de alerta

En cada llamada de alerta, el contacto puede pulsar la tecla 9 para darse de baja inmediatamente. Un mensaje confirma que su solicitud ha sido registrada y no se le realizarán más llamadas.

b) A través de nuestro cliente

El contacto puede solicitar al cliente (titular de la conexión) que lo elimine de la lista de contactos de emergencia.

c) Contacto directo

El contacto puede contactarnos directamente en [email protected] para solicitar su eliminación.

5.4 Protección contra abusos

Mecanismo de lista negra

Si el mismo número de teléfono rechaza la verificación (tecla 9) en dos conexiones diferentes, ese número se añade automáticamente a una lista negra global para ese cliente.

Este mecanismo previene:

• El acoso a una persona que ha expresado claramente su rechazo

• Los intentos repetidos de adición no consentida

Limitación de intentos

• Se impone un plazo mínimo de una hora entre dos intentos de verificación para el mismo contacto

• Cada intento consume créditos, lo que desalienta los abusos

6. Medidas técnicas y organizativas

6.1 Seguridad de los datos

De conformidad con el artículo 32 del RGPD, implementamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

6.1.1 Cifrado

6.1.2 Control de acceso

• Autenticación fuerte para todos los accesos administrativos

• Principio de mínimo privilegio aplicado

• Registro de todos los accesos a datos personales

• Revisión periódica de los derechos de acceso

6.1.3 Infraestructura

• Alojamiento dentro de la Unión Europea (Hetzner, Alemania)

• Arquitectura de alta disponibilidad con redundancia

• Copias de seguridad cifradas diarias

• Plan de recuperación ante desastres documentado y probado

6.1.4 Monitorización y detección

• Monitorización de infraestructura 24/7

• Detección de intrusiones y alertas automatizadas

• Análisis de logs de seguridad

• Tests de penetración anuales

6.2 Protección contra el fraude

6.2.1 Validación de números de teléfono

• Verificación del formato (solo números europeos por ahora)

• Detección de números de tarificación adicional (prohibidos)

• Validación mediante llamada real

6.2.2 Limitación de velocidad

• Número máximo de llamadas por conexión y por día

• Detección de comportamientos anómalos

• Suspensión automática en caso de abuso detectado

6.2.3 Trazabilidad

Cada llamada se registra con:

• Identificador único

• Marca de tiempo precisa

• Número llamado

• Resultado de la llamada

• Acciones realizadas (DTMF)

Estos registros se conservan de conformidad con nuestras obligaciones legales y nos permiten responder a cualquier solicitud de auditoría o verificación.

6.3 Privacidad desde el diseño (Privacy by Design)

De conformidad con el artículo 25 del RGPD, integramos la protección de datos desde la fase de diseño de nuestros sistemas:

• Minimización: solo se recopilan los datos estrictamente necesarios

• Seudonimización: uso de identificadores internos en lugar de datos directamente identificativos

• Configuración predeterminada protectora: las opciones más protectoras están activadas por defecto

• Separación de datos: aislamiento de datos entre clientes

7. Asociación con Twilio

7.1 Nuestro socio tecnológico

CallOnAlarm utiliza los servicios de Twilio Inc. para la realización de llamadas telefónicas. Twilio es un líder mundial en comunicaciones en la nube, reconocido por su fiabilidad y cumplimiento normativo.

Otorgamos una importancia capital a nuestra relación con Twilio y nos comprometemos a respetar escrupulosamente sus condiciones de uso y sus políticas de uso aceptable.

7.2 Política de uso aceptable de Twilio

Twilio mantiene una estricta Acceptable Use Policy (AUP) que cumplimos íntegramente. Esta política prohíbe, entre otras cosas:

• Llamadas no solicitadas (spam de voz)

• Acoso telefónico

• Suplantación de identidad del llamante (caller ID spoofing)

• Llamadas a números que han solicitado no ser contactados

• Cualquier uso ilegal de los servicios

7.3 Nuestros compromisos con Twilio

7.3.1 Consentimiento documentado

Nunca realizamos una llamada de alerta a través de Twilio sin disponer de un consentimiento explícito y documentado del destinatario.

La única llamada realizada sin consentimiento previo del destinatario es la llamada única de verificación, cuya finalidad es precisamente obtener ese consentimiento. Esta llamada:

• Se inicia únicamente después de que nuestro cliente haya atestiguado haber informado personalmente al contacto

• Tiene como único objetivo recabar el acuerdo o el rechazo del destinatario

• Respeta la elección del destinatario: si rechaza (tecla 9) o no responde, no se le realizará ninguna otra llamada sin una nueva solicitud explícita

• Cumple con las excepciones previstas por las normativas para llamadas destinadas a obtener un consentimiento

7.3.2 Respeto de las solicitudes de exclusión

Cuando un destinatario solicita no ser contactado (tecla 9 o solicitud directa), nosotros:

1. Cesamos inmediatamente toda llamada a ese número

2. Registramos esta solicitud en nuestro sistema

3. Impedimos cualquier intento futuro de contacto

7.3.3 Identificación del llamante

Todas nuestras llamadas muestran un número de teléfono válido e identificable, permitiendo al destinatario:

• Identificar el origen de la llamada

• Contactarnos de vuelta si es necesario

• Presentar una reclamación si procede

7.3.4 Calidad del contenido

El contenido de los mensajes de voz emitidos durante las llamadas es responsabilidad de nuestros clientes. Nuestra plataforma permite a los titulares de conexiones personalizar:

• El prefijo de llamada (mensaje de introducción)

• El mensaje de alerta emitido durante las notificaciones

CallOnAlarm proporciona mensajes predeterminados que cumplen con nuestros estándares de calidad. Cuando el cliente opta por personalizar estos elementos, se hace responsable de asegurar que el contenido sea:

• Claro y comprensible

• Libre de cualquier contenido engañoso, difamatorio o malicioso

• Conforme a las leyes y normativas aplicables

• Respetuoso con los derechos de terceros

Nos reservamos el derecho de suspender cualquier cuenta que utilice mensajes no conformes con nuestra política de uso aceptable.

7.3.5 Volumen de llamadas controlado

Controlamos estrictamente el volumen de llamadas para evitar cualquier comportamiento que pueda asimilarse a spam:

• Llamadas de verificación: máximo 1 por contacto y por hora

• Llamadas de alerta: únicamente en caso de evento de seguridad real

• Ninguna llamada con fines comerciales o promocionales

7.4 Cumplimiento Twilio — Trust Hub

Twilio ha establecido el programa Trust Hub para verificar la identidad y los casos de uso de sus clientes. CallOnAlarm participa plenamente en este programa:

• Verificación de identidad: nuestra empresa está debidamente registrada y verificada

• Caso de uso declarado: notificaciones de alerta de seguridad con consentimiento

• Números registrados: todos nuestros números están registrados conforme a los requisitos

7.5 A2P 10DLC (Estados Unidos)

Para llamadas y SMS a Estados Unidos, cumpliremos con el programa A2P 10DLC (Application-to-Person 10-Digit Long Code) que exige:

• El registro de nuestra marca en The Campaign Registry

• La declaración de nuestras campañas de mensajería

• El cumplimiento de las reglas de rendimiento impuestas por los operadores

7.6 Compromiso de transparencia

En caso de cualquier solicitud de Twilio sobre nuestras prácticas, nos comprometemos a:

• Responder lo antes posible

• Proporcionar toda la documentación solicitada

• Cooperar plenamente con cualquier investigación

• Tomar las medidas correctivas necesarias

8. Derechos de los interesados

8.1 Derecho de acceso

Toda persona cuyos datos tratamos puede solicitar:

• La confirmación de que se están tratando datos que le conciernen

• El acceso a dichos datos

• Información sobre las finalidades, categorías de datos, destinatarios, plazo de conservación

Plazo de respuesta: máximo 30 días

8.2 Derecho de rectificación

Toda persona puede solicitar la corrección de datos inexactos o incompletos que le conciernan.

Plazo de respuesta: máximo 30 días

8.3 Derecho de supresión

Toda persona puede solicitar la supresión de sus datos en los casos previstos por el artículo 17 del RGPD, en particular:

• Retirada del consentimiento

• Datos ya no necesarios para las finalidades

• Oposición al tratamiento

Excepciones: podemos conservar ciertos datos para cumplir con nuestras obligaciones legales o para el establecimiento, ejercicio o defensa de reclamaciones judiciales.

8.4 Derecho a la limitación

Toda persona puede solicitar la limitación del tratamiento en los casos previstos por el artículo 18 del RGPD.

8.5 Derecho a la portabilidad

Toda persona puede solicitar recibir sus datos en un formato estructurado, de uso común y lectura mecánica.

8.6 Derecho de oposición

Toda persona puede oponerse al tratamiento de sus datos. Para los contactos de emergencia, este derecho se ejerce simplemente pulsando la tecla 9 durante una llamada o contactándonos directamente.

8.7 Ejercicio de sus derechos

Para ejercer estos derechos, contáctenos:

Email: [email protected]

Podemos solicitar información adicional para verificar la identidad del solicitante.

9. Conservación de datos

9.1 Plazos de conservación

9.2 Supresión de datos

Al expirar los plazos de conservación, los datos son:

• Eliminados de forma segura, o

• Anonimizados de forma irreversible con fines estadísticos

10. Auditoría y transparencia

10.1 Registro de actividades de tratamiento

De conformidad con el artículo 30 del RGPD, mantenemos un registro de actividades de tratamiento que documenta:

• Las finalidades del tratamiento

• Las categorías de interesados y de datos

• Los destinatarios de los datos

• Las transferencias a terceros países

• Los plazos de conservación

• Las medidas de seguridad

10.2 Evaluación de Impacto (EIPD)

Para los tratamientos que puedan entrañar un alto riesgo, realizamos una evaluación de impacto relativa a la protección de datos de conformidad con el artículo 35 del RGPD.

10.3 Notificación de violaciones

En caso de violación de datos personales, nosotros:

1. Documentamos la violación en nuestro registro interno

2. Notificamos a la autoridad de control en un plazo de 72 horas si la violación presenta un riesgo

3. Informamos a los interesados afectados si el riesgo es elevado

4. Tomamos las medidas correctivas necesarias

10.4 Auditorías de cumplimiento

Realizamos regularmente:

• Auditorías internas de cumplimiento del RGPD

• Tests de seguridad (pentests)

• Revisiones de los derechos de acceso

11. Contacto y reclamaciones

11.1 Contacto para la protección de datos

Para cualquier pregunta relativa a la protección de sus datos o para ejercer sus derechos:

Email: [email protected]

11.2 Reclamaciones

11.3 Actualizaciones de esta política

Esta política de cumplimiento puede actualizarse para reflejar cambios normativos o cambios en nuestras prácticas. La fecha de última actualización se indica en el encabezado del documento.

Los cambios sustanciales se comunican a nuestros clientes por correo electrónico.

Anexo: Textos de referencia

Europa

• Reglamento (UE) 2016/679 (RGPD)

• Directiva 2002/58/CE (ePrivacy)

• Ley n.º 78-17 de 6 de enero de 1978 modificada (Francia)

• Bundesdatenschutzgesetz — BDSG (Alemania)

• Ley Orgánica 3/2018 de Protección de Datos Personales (España)

Estados Unidos

• Telephone Consumer Protection Act (47 U.S.C. § 227)

• Telemarketing Sales Rule (16 CFR Part 310)

• California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100-199)

Canadá

• Personal Information Protection and Electronic Documents Act (PIPEDA)

• Canada's Anti-Spam Legislation (CASL)

Documento elaborado el 7 de febrero de 2026 Última actualización: 7 de febrero de 2026

CallOnAlarm — Todos los derechos reservados