Bewe

Informe de Cumplimiento Normativo y Transparencia del Sistema de IA

BEWE DIGITAL SOLUTIONS S.L. — Abril 2026

Se realiza un informe de cumplimiento normativo y transparencia del Asistente Virtual de Inteligencia Artificial integrado en la plataforma BEWE desde la perspectiva del Reglamento (UE) 2024/1689 por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, "RIA" o "Reglamento de IA") y del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "RGPD").

1. RESUMEN EJECUTIVO

Se realiza un informe de cumplimiento normativo y transparencia del Asistente Virtual de Inteligencia Artificial (en adelante, "el Asistente"), integrado en la plataforma BEWE de BEWE DIGITAL SOLUTIONS S.L., desde la perspectiva del Reglamento de IA (RIA) y del RGPD.

BEWE DIGITAL SOLUTIONS S.L. (CIF B87309464), con domicilio en Paseo de la Castellana, 194, 28046 Madrid, España, presta el servicio BEWE como solución SaaS multitenant dirigida a pequeñas y medianas empresas del sector servicios.

Del análisis efectuado se concluyen los siguientes puntos clave:

  • El Asistente es un asistente de inteligencia artificial integrado en BEWE cuya finalidad es asistir a los usuarios en tareas de marketing, comunicación con clientes y gestión de la presencia digital, sin sustituir en ningún caso el criterio humano en las decisiones con impacto sobre terceros.
  • Conforme al RIA, el sistema queda sujeto a obligaciones de transparencia aplicables a los sistemas de interacción persona-máquina (chatbot), con la obligación central de informar claramente a los usuarios de que están interactuando con un sistema de IA.
  • El Asistente no realiza toma de decisiones automatizadas con efectos jurídicos o significativos sobre personas físicas ni elabora perfiles de conducta individuales.
  • Desde la perspectiva de la protección de datos, BEWE DIGITAL SOLUTIONS S.L. actúa como encargado del tratamiento y el cliente como responsable, habiéndose formalizado los instrumentos contractuales correspondientes.

2. DESCRIPCIÓN FUNCIONAL DE LA HERRAMIENTA

2.1. Identificación del sistema y del proveedor

BEWE DIGITAL SOLUTIONS S.L. es el desarrollador, propietario y proveedor de BEWE, ostentando la titularidad íntegra de los derechos de propiedad intelectual e industrial sobre el software.

BEWE es una solución SaaS de gestión empresarial que incorpora el Asistente, diseñado para optimizar los procesos de marketing, comunicación con clientes y gestión de la presencia digital de pequeñas y medianas empresas del sector servicios.

2.2. Clasificación del sistema de Inteligencia Artificial

El Asistente es un asistente virtual conversacional basado en modelos de lenguaje de gran escala (LLM), concretamente los modelos Gemini de Google, invocados a través de la API de Vertex AI de Google Cloud Platform. En términos de la taxonomía tecnológica relevante para el RIA:

  • Modalidad: sistema de IA generativa basado en modelos de lenguaje (LLM) de uso general.
  • Función principal: procesamiento del lenguaje natural (PLN) para generación de texto e imágenes, comprensión de instrucciones en lenguaje natural y respuesta conversacional.
  • Interfaz de interacción: chatbot y asistente conversacional, modalidad que el RIA identifica expresamente como sujeta a obligaciones específicas de transparencia conforme al artículo 50.
  • Modelo de operación: asistencial, con generación de propuestas que requieren validación humana antes de producir cualquier efecto externo; no opera en modo autónomo.

Los sistemas de IA de uso general pueden integrarse en sistemas de IA de alto riesgo o en otros sistemas de IA. Cuando el modelo de IA de uso general se integra en un sistema de alto riesgo, el proveedor del sistema de alto riesgo sigue siendo el responsable de garantizar el cumplimiento de los requisitos del RIA, aunque puede basarse en la documentación técnica del proveedor del modelo. En el caso del Asistente, dado que el modelo Gemini se invoca como servicio externo a través de API, corresponde al cliente verificar si su caso de uso concreto activa o no las obligaciones de alto riesgo.

A la vista de las características funcionales y operativas descritas, procede determinar el nivel de riesgo del Asistente conforme a la clasificación establecida en el RIA:

  • Prácticas prohibidas (artículo 5 del RIA): el Asistente no implementa ninguna de las prácticas de IA prohibidas por el artículo 5 del RIA. En particular, el sistema no emplea técnicas subliminales, manipuladoras o engañosas; no explota vulnerabilidades de grupos específicos; no realiza puntuación social; no efectúa evaluaciones de riesgo de comisión de infracciones; no lleva a cabo identificación biométrica remota en tiempo real; ni desarrolla ninguna otra práctica subsumible en las categorías de riesgo inaceptable. En consecuencia, queda descartada la prohibición del sistema.
  • Sistemas de alto riesgo (artículo 6 y Anexo III del RIA): el Asistente no opera en ninguno de los ámbitos enumerados en el Anexo III del RIA como determinantes de la clasificación de alto riesgo. Su función se limita a la generación asistencial de contenidos de marketing y comunicación comercial, sin que sus resultados produzcan efectos jurídicos ni incidan de manera significativa sobre los derechos fundamentales de las personas físicas. Por tanto, el sistema no queda sujeto a las obligaciones previstas para los sistemas de IA de alto riesgo.
  • Sistemas con obligaciones específicas de transparencia — riesgo limitado (artículo 50 del RIA): el Asistente se configura como un sistema de IA destinado a interactuar directamente con personas físicas mediante interfaz conversacional (chatbot). De conformidad con el artículo 50.1 del RIA, los proveedores deben garantizar que dichas personas sean informadas de que están interactuando con un sistema de IA. En consecuencia, el Asistente se clasifica como un sistema de IA de riesgo limitado, sujeto a las obligaciones de transparencia del artículo 50 del RIA.

Sin perjuicio de lo anterior, cabe señalar que el modelo de IA de uso general subyacente (Gemini de Google) podría estar sujeto a obligaciones adicionales en caso de ser clasificado como modelo de IA de uso general con riesgo sistémico conforme al artículo 51 del RIA. No obstante, dichas obligaciones recaen sobre el proveedor del modelo (Google) y no sobre BEWE DIGITAL SOLUTIONS S.L.

2.3. Determinación del nivel de riesgo

Verificación de ausencia de prácticas prohibidas: el Asistente no realiza ninguna de las prácticas prohibidas por el RIA, es decir, no manipula comportamientos mediante técnicas subliminales, no identifica personas biométricamente, no genera perfiles individuales con fines de puntuación social que causen perjuicios desproporcionados, y no opera con fines de garantía del cumplimiento del Derecho, migración o justicia. Conclusión: no aplica ninguna prohibición.

Verificación de encaje en alto riesgo (Anexo III): los usos primarios del Asistente (generación de contenido de marketing, chatbot de atención al cliente en PYMEs del sector servicios, gestión de comunicaciones multicanal) no encajan en los supuestos del Anexo III del RIA. Conclusión preliminar: no es un sistema de alto riesgo en los usos identificados.

La existencia de scoring de potencialidad, etiquetado automático y microsegmentación requiere que el cliente verifique con especial rigor si su caso de uso concreto activa supuestos del Anexo III, en particular los relativos al acceso a servicios privados esenciales (punto 5.b) o la gestión de trabajadores y acceso al autoempleo (punto 4). Si el cliente utilizara el Asistente para procesos de selección de personal, evaluación de trabajadores, acceso a crédito u otros supuestos del Anexo III, la clasificación cambiaría y se activarían obligaciones de conformidad sustancialmente más exigentes. El cliente debe documentar expresamente esta verificación.

Obligaciones de transparencia: el RIA establece la obligación de informar a los usuarios de que están llevando a cabo una interacción con un sistema de IA, y no con un ser humano, además del etiquetado de todo contenido sintético generado a través de IA. El responsable del despliegue de un chatbot debe asegurarse de que el Asistente informa a los usuarios finales de este hecho, salvo que resulte evidente por el contexto.

Conclusión de clasificación: el Asistente es, en los usos identificados, un sistema de IA con obligaciones de transparencia, sin perjuicio de la verificación por parte del cliente de que su uso concreto no activa supuestos de alto riesgo.

3. FLUJOS DE DATOS Y PROTECCIÓN DE DATOS PERSONALES

3.1. Datos objeto de tratamiento

El Asistente, como motor de IA central de BEWE, trata las siguientes categorías de datos personales:

  • Datos identificativos y de contacto: nombre, apellidos o denominación comercial, dirección de correo electrónico, número de teléfono y dirección postal.
  • Datos de actividad comercial: historial de interacciones, preferencias de servicio y etiquetas comerciales asignadas.
  • Datos de comportamiento e interacción: mensajes intercambiados a través de los canales integrados (WhatsApp Business API, Instagram Direct, chat web), frecuencia de contacto, preferencias expresadas, intenciones de compra y patrones de comportamiento detectados automáticamente a partir del análisis de las conversaciones.
  • Datos de perfilado: etiquetas descriptivas asignadas automáticamente por el Asistente a clientes y conversaciones (intención, comportamiento, preferencias, sentimiento, valor comercial) y scoring de potencialidad calculado por el sistema (Alta/Media/Baja).
  • Datos de contenido: textos, imágenes y documentos proporcionados por el usuario para la base de conocimiento, así como contenido generado automáticamente por el Asistente (respuestas a clientes, publicaciones, campañas).
  • Datos de marca y negocio: logotipo, colores corporativos, descripción del negocio y contenido del sitio web del usuario obtenido mediante web scraping autorizado.
  • Datos de navegación: registros de uso de la plataforma, exclusivamente con fines de mejora del servicio y en forma pseudonimizada.

No se tratan categorías especiales de datos personales de forma intencionada. Dado que el usuario puede introducir libremente información en la base de conocimiento y en las conversaciones, no puede descartarse la introducción incidental de categorías especiales de datos. En tal caso, la responsabilidad sobre la licitud del tratamiento recae en el responsable del tratamiento (el negocio cliente).

3.2. Decisiones automatizadas

El Asistente realiza elaboración de perfiles en el sentido del artículo 4.4 del RGPD como parte integral de sus funcionalidades:

  • Scoring de potencialidad: el Asistente calcula automáticamente el potencial comercial de cada cliente (Alta/Media/Baja) a partir del análisis de la frecuencia de interacción, el interés demostrado, el comportamiento de compra y el engagement con las campañas.
  • Etiquetado automático: el Asistente asigna etiquetas descriptivas a conversaciones y clientes de forma automática, basándose en el análisis de las interacciones (intención, comportamiento, preferencias, sentimiento y valor comercial).
  • Microsegmentación: el Asistente segmenta automáticamente la base de clientes del usuario para la personalización de campañas y comunicaciones.
  • Perfiles enriquecidos: el Asistente consolida de forma automatizada datos provenientes de múltiples canales (chatbot, correo electrónico, WhatsApp Business API, Instagram Direct) para construir un perfil unificado y actualizado de cada cliente del negocio.

El Asistente no realiza toma de decisiones automatizadas con efectos jurídicos o significativos sobre personas físicas en el sentido del artículo 22 del RGPD. El perfilado descrito tiene por finalidad asistir al usuario del negocio en la gestión comercial, sin que las salidas del sistema produzcan por sí solas efectos vinculantes sobre los interesados. Toda acción de impacto externo (envío de campañas, publicaciones, comunicaciones) requiere aprobación explícita del usuario.

La existencia de perfilado automatizado exige que el cliente verifique y documente expresamente que su uso concreto no activa supuestos del Anexo III del RIA, en particular los relativos al acceso a servicios privados esenciales (punto 5.b) o la gestión de trabajadores (punto 4).

3.3. Bases legitimadoras del tratamiento

Las bases legitimadoras del tratamiento de datos por parte de BEWE DIGITAL SOLUTIONS S.L. respecto de los datos del Cliente son:

FinalidadBase legitimadora
Prestación del servicio BEWEEjecución del contrato (art. 6.1.b RGPD)
Perfilado de clientes del negocio por el Asistente (scoring, etiquetado, microsegmentación)Ejecución del contrato (art. 6.1.b RGPD)
Envío de comunicaciones comercialesConsentimiento (art. 6.1.a RGPD)
Mejora de modelos de IA propios de BEWE con datos anonimizadosConsentimiento (art. 6.1.a RGPD)
Cumplimiento de obligaciones legalesObligación legal (art. 6.1.c RGPD)

Sin perjuicio de lo anterior, el cliente, en su condición de responsable del tratamiento, deberá disponer de una base legitimadora válida conforme al artículo 6 del RGPD para el tratamiento de los datos personales de sus usuarios finales a través del Asistente. En particular:

  • Envío de comunicaciones comerciales y campañas de marketing al usuario final: el cliente deberá obtener el consentimiento previo del interesado (art. 6.1.a RGPD), de forma libre, específica, informada e inequívoca, sin perjuicio de la aplicación de la excepción prevista en el artículo 21.2 de la LSSI para comunicaciones relativas a productos o servicios similares a los contratados.
  • Perfilado de usuarios finales mediante las funcionalidades del Asistente: la base legitimadora aplicable será el interés legítimo del cliente (art. 6.1.f RGPD), previa realización y documentación de la correspondiente ponderación. No obstante, cuando el cliente utilice los resultados del perfilado para dirigir campañas publicitarias o acciones de marketing directo, deberá obtener el consentimiento previo e inequívoco de los interesados (art. 6.1.a RGPD).

Corresponde al cliente, como responsable del tratamiento, determinar y documentar la base legitimadora aplicable a cada finalidad concreta de tratamiento, debiendo informar a los interesados de conformidad con los artículos 13 y 14 del RGPD.

3.4. Transferencias internacionales de datos

ProveedorServicioMecanismo de garantía
Google LLC (EE. UU.)Infraestructura cloud, BD, almacenamiento e IAEU-US Data Privacy Framework + SCCs
Meta Platforms Inc. (EE. UU.)WhatsApp Business API, InstagramEU-US Data Privacy Framework + SCCs
PostHog / Filestack / UserGuiding (EE. UU.)Analítica, archivos, onboardingSCCs (Decisión 2021/914) + Transfer Impact Assessment
Google Analytics / Google Ads / Hotjar (EE. UU.)Analítica y publicidadEU-US Data Privacy Framework + SCCs

3.5. Roles y reparto de responsabilidades (BEWE/Cliente)

En su condición de encargado del tratamiento, BEWE DIGITAL SOLUTIONS S.L. presta el servicio a los responsables del tratamiento (clientes) en virtud de los contratos de prestación de servicios formalizados con cada uno de ellos.

El Cliente es el Responsable del tratamiento de los datos personales de sus clientes. BEWE DIGITAL SOLUTIONS S.L. actúa únicamente como Encargado del tratamiento en su nombre, conforme al artículo 28 del RGPD. Se dispone del DPA de Google Cloud Platform, que cubre la totalidad de los servicios de infraestructura y procesamiento de IA, prohíbe el uso de los datos para entrenar modelos de Google y establece obligaciones de seguridad, notificación de brechas y cooperación en el ejercicio de derechos.

Todos los proveedores identificados actúan como subencargados bajo las instrucciones de BEWE DIGITAL SOLUTIONS S.L.

4. IMPLANTACIÓN Y GOBERNANZA

4.1. Estructura organizativa y gobernanza interna

El proyecto BEWE cuenta con un responsable técnico del proyecto que actúa asimismo como interlocutor en materia de protección de datos. Se dispone de canales internos de comunicación para la notificación de incidencias y posibles vulneraciones, accesibles a todo el equipo de desarrollo y operaciones. Se encuentra establecido un protocolo de escalado ante incidentes de seguridad que incluye la notificación a la dirección en un plazo máximo de 24 horas desde su detección.

4.2. Protocolo de gestión de brechas de seguridad

BEWE DIGITAL SOLUTIONS S.L. dispone de un protocolo de gestión de brechas de seguridad que contempla las siguientes fases:

  • Detección: monitorización de la infraestructura mediante las herramientas nativas de Google Cloud Platform (Cloud Monitoring, Cloud Logging, Security Command Center) para la identificación temprana de incidentes de seguridad.
  • Evaluación: análisis del alcance, naturaleza de los datos afectados, categorías de interesados implicados y nivel de riesgo para sus derechos y libertades.
  • Notificación al responsable del tratamiento: comunicación sin dilación indebida y en un plazo máximo de 48 horas desde la detección del incidente, incluyendo la información prevista en el artículo 33.3 del RGPD.
  • Contención y mitigación: adopción de medidas técnicas inmediatas para contener la brecha y minimizar su impacto (revocación de credenciales comprometidas, aislamiento de sistemas afectados, restauración desde copias de seguridad).
  • Documentación: registro completo del incidente, las medidas adoptadas y los resultados obtenidos, conforme al principio de responsabilidad proactiva del artículo 5.2 del RGPD.

4.3. Ejercicio de derechos de los interesados

BEWE DIGITAL SOLUTIONS S.L., en su condición de encargado del tratamiento, dispone de los medios técnicos necesarios para asistir al responsable del tratamiento en la atención de solicitudes de ejercicio de derechos:

  • Acceso: exportación en formato estructurado.
  • Rectificación: a través de la interfaz de gestión de contactos y base de conocimiento.
  • Supresión: de la base de datos, historial de conversaciones y contenido asociado.
  • Portabilidad: en formato estructurado de uso común.
  • Oposición y limitación: bloqueo del tratamiento según instrucciones del responsable del tratamiento.

Las solicitudes se canalizan a través de ayuda@bewe.ai y se atienden en un plazo máximo de 10 días hábiles, para permitir al responsable del tratamiento cumplir con el plazo de 1 mes previsto en el artículo 12.3 del RGPD.

5. CONCLUSIONES

Del análisis efectuado en el presente informe se extraen las siguientes conclusiones:

  • El Asistente, en su configuración y usos actuales, se clasifica como un sistema de IA de riesgo limitado conforme al RIA, quedando sujeto a las obligaciones de transparencia previstas en el artículo 50 del citado Reglamento. No se han identificado prácticas prohibidas ni supuestos que determinen su clasificación como sistema de alto riesgo en los casos de uso analizados.
  • BEWE DIGITAL SOLUTIONS S.L. deberá garantizar el cumplimiento efectivo de las obligaciones de transparencia, asegurando que los usuarios finales sean informados de manera clara e inequívoca de que interactúan con un sistema de inteligencia artificial, así como que el contenido textual y visual generado por el Asistente sea debidamente identificado como contenido generado artificialmente, conforme a los requisitos del artículo 50 del RIA.
  • Desde la perspectiva de la protección de datos personales, la arquitectura del servicio se ajusta al modelo de encargado-responsable previsto en el artículo 28 del RGPD. No obstante, la existencia de funcionalidades de perfilado automatizado (scoring de potencialidad, etiquetado automático y microsegmentación) exige que el responsable del tratamiento documente y verifique de forma continua la adecuación de las bases legitimadoras aplicables, así como la proporcionalidad de los tratamientos efectuados.
  • Se recomienda que cada cliente, en su condición de responsable del tratamiento y responsable del despliegue a efectos del RIA, verifique de forma expresa y documentada que su caso de uso concreto no activa los supuestos de alto riesgo previstos en el Anexo III del RIA, en particular los relativos al acceso a servicios privados esenciales y a la gestión de trabajadores.
  • Las transferencias internacionales de datos identificadas se encuentran amparadas por los mecanismos de garantía previstos en el RGPD. No obstante, se recomienda la revisión periódica de la vigencia y adecuación de dichos mecanismos, en particular del EU-US Data Privacy Framework, ante posibles modificaciones regulatorias o decisiones judiciales que pudieran afectar a su validez.