Última actualización: Marzo 2026
Versión: 2.0
Estos Términos de Servicio ("Términos") regulan el acceso y uso del servicio ToniAgent, ofrecido por Productivity Agents SL, con domicilio en Carrer Santa Eulalia 5, 08195, Sant Cugat del Vallès (España) ("la Empresa").
Al registrarse en la plataforma y activar el servicio, el Cliente acepta estos Términos y confirma haber leído y aceptado el Acuerdo de Encargado del Tratamiento (DPA).
ToniAgent es un agente virtual de voz que permite:
El servicio se presta en modalidad SaaS.
El Cliente reconoce y acepta que ToniAgent actúa como personal administrativo virtual, siguiendo instrucciones definidas por el Cliente.
La Empresa no presta servicios sanitarios ni accede deliberadamente a historias clínicas, diagnósticos o procesos médicos, y cualquier dato de salud tratado será procesado en nombre del Cliente conforme al DPA.
Para usar ToniAgent se requiere:
El Cliente es responsable de mantener la confidencialidad de sus credenciales.
4.1 Modelo de facturación: Cuotas mensuales según el paquete contratado. Descuento por pago anual. Excedentes por minutos adicionales de llamadas.
4.2 Periodo de prueba: El Cliente dispone de 1 mes de prueba gratuita. Al finalizar, si no se cancela, se inicia automáticamente el plan de pago.
4.3 Renovación automática: Los planes se renuevan automáticamente salvo cancelación previa.
4.4 Cancelación: Cancelación mensual sin permanencia. En planes anuales ya pagados, no se realizan devoluciones; la cancelación afecta solo a la renovación.
El Cliente se compromete a:
El Cliente autoriza a la Empresa a:
El Cliente reconoce y autoriza expresamente que:
La Empresa garantiza un 99.9% de disponibilidad anual del servicio.
Se excluyen: fallos derivados de terceros (AWS, Twilio, ElevenLabs o proveedores equivalentes), mantenimientos programados con preaviso, e incumplimientos derivados de configuraciones del Cliente.
Todo el software, modelos, contenidos y documentación de ToniAgent son propiedad exclusiva de la Empresa. El Cliente conserva los derechos sobre sus datos y contenidos.
El Cliente autoriza a la Empresa a mostrar su nombre y logotipo como cliente de ToniAgent y utilizarlo en presentaciones comerciales, listado de clientes y web. El Cliente puede revocar este permiso por escrito.
En la máxima medida permitida por la ley: la Empresa no será responsable de daños indirectos, pérdida de datos del Cliente o lucro cesante. La responsabilidad total acumulada de la Empresa se limita al importe equivalente a un (1) mes de servicio contratado.
El Cliente acepta el uso de los proveedores detallados en la Lista de Subencargados. Las transferencias internacionales se realizan bajo Cláusulas Contractuales Tipo (SCCs) y el EU-US Data Privacy Framework, priorizando siempre regiones de la Unión Europea cuando sea posible.
El tratamiento de datos personales realizado por ToniAgent se rige por el Acuerdo de Encargado del Tratamiento (DPA), que forma parte integrante de estos Términos.
Estos Términos permanecen vigentes mientras el Cliente use el servicio. El Cliente puede cancelar en cualquier momento desde el panel.
La Empresa puede actualizar estos Términos y notificará cambios con al menos 15 días de antelación.
Estos Términos se regirán por la legislación española. Cualquier disputa se someterá a los juzgados de Barcelona, salvo que la ley exija otra jurisdicción.
Esta Política de Privacidad describe cómo Productivity Agents SL ("la Empresa", "ToniAgent", "nosotros") recopila, usa, almacena y comparte información personal cuando utiliza nuestra plataforma ToniAgent, especialmente en relación con las integraciones de terceros como Google Calendar.
Si elige conectar su cuenta de Google Calendar a ToniAgent, accedemos a los siguientes datos de usuario de Google a través de la API de Google Calendar:
1. Información de la Cuenta de Google:
Su dirección de correo electrónico de Google (utilizada para identificar y asociar su Google Calendar con su cuenta de ToniAgent).
2. Metadatos de Calendario:
IDs y nombres de calendarios, descripciones de calendarios, configuraciones de zona horaria, colores de calendario (fondo y primer plano), indicador de calendario principal.
3. Eventos de Calendario:
Títulos de eventos (resumen), descripciones de eventos, ubicaciones de eventos, horas de inicio y finalización (incluidos indicadores de eventos de todo el día), estado del evento (confirmado, tentativo, cancelado), direcciones de correo electrónico de organizadores, información de asistentes (direcciones de correo electrónico y estado de respuesta), reglas de recurrencia (para eventos recurrentes), enlaces a eventos en Google Calendar.
Cuando interactúa con el asistente de IA de ToniAgent para la gestión de calendario, el agente de IA procesa:
Estos datos se procesan para ejecutar sus solicitudes de gestión de calendario y están sujetos a las mismas protecciones de seguridad y privacidad que otros datos de Google Calendar.
Utilizamos sus datos de Google Calendar para los siguientes fines:
1. Visualización de Eventos de Calendario:
Mostrar sus eventos de calendario dentro de la interfaz de la aplicación ToniAgent para que pueda ver su agenda junto con sus otras tareas y actividades.
2. Sincronización Local:
Sincronizar y almacenar sus eventos de calendario localmente en nuestra base de datos para un acceso más rápido y un mejor rendimiento. Esto le permite ver su calendario sin llamadas repetidas a la API de Google.
3. Notificaciones de Eventos (Opcional):
Si está habilitado, configuramos notificaciones webhook desde Google Calendar para recibir actualizaciones en tiempo real cuando sus eventos cambien, manteniendo sus eventos sincronizados actualizados.
4. Gestión de Calendario por el Agente de IA:
Cuando interactúa con el asistente de IA de ToniAgent, el agente puede realizar las siguientes acciones en su Google Calendar en su nombre y con su autorización explícita:
Cómo Funcionan las Modificaciones del Agente de IA:
Salvaguardas Importantes:
Sus datos de Google Calendar se almacenan en una base de datos PostgreSQL alojada en Amazon Web Services (AWS) en la región de Irlanda (eu-west-1). Almacenamos tres tipos de datos:
Utilizamos Amazon Web Services (AWS) como nuestro proveedor de alojamiento y base de datos. Sus datos de Google Calendar se almacenan en servidores de AWS ubicados en la región de Irlanda (eu-west-1) dentro del Espacio Económico Europeo (EEE). AWS actúa como procesador de datos bajo nuestro Acuerdo de Procesamiento de Datos (DPA) y está sujeto a los términos compatibles con GDPR de AWS.
No compartimos sus datos de Google Calendar con ningún otro servicio de terceros, incluyendo: proveedores de análisis, redes publicitarias, plataformas de marketing, u otras integraciones (ej., síntesis de voz, servicios de telefonía).
Sus datos de Google Calendar se utilizan exclusivamente dentro de ToniAgent para los fines descritos en esta política.
Cuando autoriza a ToniAgent a acceder a su Google Calendar, nuestro asistente de IA puede realizar tareas de gestión de calendario en su nombre, incluyendo:
Tiene control total sobre su integración con Google Calendar:
Revocar Acceso en Cualquier Momento:
Puede desconectar su cuenta de Google Calendar de ToniAgent en cualquier momento a través de la página de Integraciones en la configuración de su cuenta. Desconectar eliminará inmediatamente todos los tokens OAuth, metadatos de calendario y eventos sincronizados de nuestra base de datos.
Control Granular:
Puede elegir qué calendarios específicos sincronizar con ToniAgent. Puede desconectar calendarios individuales manteniendo otros calendarios conectados.
Configuración de Cuenta de Google:
También puede revocar el acceso de ToniAgent a su Google Calendar directamente a través de la configuración de su Cuenta de Google en myaccount.google.com/permissions. Revocar el acceso a través de Google impedirá que ToniAgent acceda a sus datos de calendario, pero también debe desconectar la integración dentro de ToniAgent para eliminar los datos almacenados localmente.
Portabilidad de Datos:
Sus eventos de calendario permanecen en su Google Calendar en todo momento. Puede exportar sus datos de calendario directamente desde Google Calendar utilizando Google Takeout (takeout.google.com).
Derechos GDPR (Usuarios del EEE):
Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en nuestras prácticas o por razones legales o regulatorias. Le notificaremos de cualquier cambio material publicando la nueva política en esta página y actualizando la fecha de "Última actualización" en la parte superior.
Si tiene preguntas sobre esta Política de Privacidad o sobre cómo manejamos sus datos de Google Calendar, por favor contáctenos en:
Productivity Agents SL
Carrer Santa Eulalia 5
08195 Sant Cugat del Vallès, España
Email: support@toniagent.com
Este Acuerdo de Encargado del Tratamiento ("DPA") forma parte de los Términos de Servicio aceptados por el Cliente al registrarse en la plataforma ToniAgent, ofrecida por Productivity Agents SL, con domicilio en Carrer Santa Eulalia 5, 08195, Sant Cugat del Vallès (España) ("el Encargado").
El Cliente ("el Responsable") acepta este DPA al activar el servicio.
Este DPA regula el tratamiento de datos personales realizado por el Encargado en nombre del Responsable mediante el uso de ToniAgent. El tratamiento se realiza mientras el Responsable mantenga activa su cuenta.
ToniAgent procesa datos personales con las siguientes finalidades:
El tratamiento no incluye la prestación de servicios sanitarios. Cualquier dato de salud tratado se procesa exclusivamente con carácter administrativo y bajo instrucciones del Responsable.
Datos del paciente / usuario final: nombre y datos de contacto, motivo de la visita o consulta, DNI u otros identificadores (si los proporciona el usuario final), contenido íntegro de la conversación (voz y/o texto), transcripciones y grabaciones de llamadas, información derivada del análisis conversacional (sentimiento, urgencia, contexto).
Datos del personal del Responsable: nombre, correo, rol y disponibilidad para agendar citas.
Datos técnicos: logs de uso, metadatos de llamadas, timestamps, IPs de acceso.
ToniAgent puede tratar incidentalmente datos de salud expresados por el paciente durante la llamada o interacción. El tratamiento tiene fines administrativos (no clínicos), se realiza exclusivamente bajo instrucciones del Responsable, y se encuentra amparado por el artículo 9.2.h del RGPD (gestión de servicios sanitarios) y por la relación profesional sanitario–paciente.
Importante: El Responsable es quien debe garantizar la base jurídica adecuada para el tratamiento de estas categorías especiales, incluyendo la información previa al paciente sobre la grabación y transcripción de la llamada.
El Encargado únicamente tratará los datos personales conforme a instrucciones documentadas del Responsable, para las finalidades descritas en este DPA, sin poder utilizarlos para fines propios bajo ninguna circunstancia. Si una instrucción es contraria a la ley, el Encargado lo notificará al Responsable de forma inmediata.
5bis.1. El Encargado declara y garantiza que no utiliza, ni permite que sus subencargados utilicen, los datos personales tratados en virtud de este DPA para entrenar, ajustar (fine-tuning), mejorar o desarrollar modelos de inteligencia artificial, redes neuronales, algoritmos de machine learning, o cualquier otro sistema automatizado de toma de decisiones.
5bis.2. Esta garantía se extiende expresamente a: las grabaciones de voz y su contenido, las transcripciones generadas, el contenido de las conversaciones de texto, los datos de calendario y citas, y cualquier dato derivado del análisis conversacional.
5bis.3. El Encargado exige contractualmente a cada subencargado (véase Lista de Subencargados) la misma garantía de no-entrenamiento. En particular:
5bis.4. En caso de que un subencargado modifique sus condiciones de servicio de forma que pueda afectar esta garantía, el Encargado notificará al Responsable en un plazo máximo de 15 días y, si no es posible mantener la garantía, procederá a sustituir al subencargado en un plazo razonable.
El Responsable autoriza expresamente el uso de los subencargados detallados en la Lista de Subencargados.
6.1. Procedimiento de alta o cambio de subencargados:
6.2. La lista actualizada de subencargados está disponible en app.toniagent.com/legal/subprocessors.
Medidas técnicas: cifrado en tránsito (TLS 1.2+), cifrado en reposo (AES-256) para grabaciones, transcripciones y tokens OAuth, segmentación lógica por cliente (multi-tenant isolation), control de acceso basado en roles con MFA obligatorio, logs de auditoría inmutables, detección de anomalías en API y llamadas, y backup cifrado con retención limitada.
Medidas organizativas: política de acceso mínimo (least privilege), todo el personal sujeto a acuerdos de confidencialidad, revisiones periódicas de seguridad (mínimo semestral), procedimientos documentados de borrado y gestión de incidentes, y formación obligatoria en protección de datos para todo el personal.
Certificación ISO 27001: El Encargado tiene previsto obtener la certificación ISO 27001 (Sistema de Gestión de Seguridad de la Información) durante el cuarto trimestre de 2026. Esta certificación acreditará la implementación de un marco de seguridad reconocido internacionalmente, auditado por un organismo independiente.
Un anexo técnico detallado puede proporcionarse a solicitud del Responsable.
Todo el personal del Encargado está sujeto a obligaciones de confidencialidad, que perduran incluso tras la terminación de su relación laboral o contractual con el Encargado.
9.1. Política estándar (por defecto):
| Tipo de dato | Retención estándar | Opciones configurables |
|---|---|---|
| Grabaciones de voz | 12 meses | Desactivable a < 24h (borrado tras transcripción) / 7/30/90/180/365 días |
| Transcripciones | 12 meses | Desactivable a < 24h / 30/90/180/365 días |
| Metadatos y logs | 12 meses | 6/12/24 meses |
| Datos de analítica | Anonimizados a 30 días | Anonimización inmediata / 7/30/90 días |
| Google Calendar (tokens/eventos) | Mientras integración activa | Borrado inmediato al desconectar |
9.2. El Responsable puede solicitar una configuración de retención diferente a la estándar, comunicándolo por escrito a privacy@toniagent.com. El Encargado implementará la configuración solicitada en un plazo máximo de 10 días laborables.
9.3. La retención estándar de grabaciones de voz y transcripciones es de 12 meses. El Responsable puede desactivar la grabación de llamadas desde el panel de control, en cuyo caso las grabaciones se eliminan tras la transcripción (< 24 horas). Esta configuración es accesible desde la sección "Legal i Compliment" del panel de cada agente.
9.4. A la terminación del contrato, todos los datos serán eliminados en un plazo máximo de 30 días, salvo obligación legal de conservación. El Responsable puede solicitar una copia antes de la eliminación.
A la terminación del contrato o a petición del Responsable: los datos serán eliminados o devueltos (a elección del Responsable), el Encargado emitirá un certificado de destrucción si el Responsable lo solicita, y se conservarán únicamente los datos estrictamente necesarios por obligación legal, debidamente identificados y con acceso restringido.
El Encargado notificará al Responsable sin dilación indebida y en un plazo máximo de 36 horas desde el conocimiento del incidente. La notificación incluirá: naturaleza de la brecha, categorías de datos afectados, número aproximado de interesados, consecuencias probables y medidas adoptadas o propuestas. El Encargado colaborará con el Responsable en la gestión del incidente y en la notificación a la AEPD si procede. El Responsable es quien deberá notificar a la autoridad de control o a los afectados si corresponde.
El Responsable podrá: solicitar información detallada sobre medidas de seguridad implementadas, realizar auditorías razonables (máximo una anual, con preaviso de 30 días), y exigir colaboración en DPIAs cuando ToniAgent se use en procesos de riesgo elevado.
El Encargado pone a disposición del Responsable una plantilla de DPIA base que cubre el uso estándar de ToniAgent en clínicas médicas (disponible bajo petición a privacy@toniagent.com). El Responsable deberá adaptarla a su contexto específico.
El Responsable garantiza: base jurídica válida para el tratamiento (art. 6 y 9 RGPD), información previa y adecuada a los pacientes sobre la grabación, transcripción y procesamiento de sus llamadas mediante IA, configuración correcta del servicio (incluyendo la política de retención elegida), que los datos proporcionados son exactos y relevantes, y la atención de los derechos de los interesados (acceso, rectificación, supresión, etc.) con la colaboración del Encargado cuando sea necesario.
El Encargado se responsabiliza del cumplimiento de sus obligaciones bajo el RGPD. La responsabilidad económica se limita a lo establecido en los Términos de Servicio: límite máximo equivalente a un (1) mes de servicio.
Este DPA está vigente mientras el Responsable utilice ToniAgent. A la terminación, se aplicará lo descrito en las cláusulas 9 y 10.
Este DPA se rige por la ley española, el RGPD y la LOPDGDD. Cualquier disputa se resolverá en los juzgados de Barcelona.
Documentos complementarios: