Ley 10/2025: qué deben hacer las empresas para cumplir con las nuevas exigencias en atención al cliente

1) Objeto y ámbito: lo básico

La Ley 10/2025 crea por primera vez un marco obligatorio de calidad y evaluación para los servicios de atención a la clientela de:

Empresas que prestan servicios básicos de interés general (agua, energía, transporte, correos, telecomunicaciones, servicios financieros aunque con normativa sectorial preferente).

Grandes empresas y grupos empresariales que venden bienes o prestan servicios a consumidores y usuarios, definidos por criterios objetivos (250 trabajadores, €50M de facturación o €43M de balance anual).

No se centra en una actividad aislada: su aplicación es transversal a cualquier canal de atención (presencial, telefónico, electrónico).

2) ¿Qué exige la Ley en materia de atención y datos?

La ley no es una norma de protección de datos per se (no sustituye ni deroga la LOPDGDD / RGPD). Sin embargo, impone obligaciones que afectan directamente a los tratamientos de datos personales en los servicios de atención:

a) Identificación y trazabilidad de interacciones

Toda consulta, queja o reclamación debe registrarse y asignarse un identificador único que permita su seguimiento. Esto supone tratar datos personales vinculados a la persona afectada (nombre, contacto, número de cliente, etc.).

Se exige constancia documental de la presentación y resolución del caso.

Desde la óptica de protección de datos:

Estos tratamientos deben ajustarse al art. 6 RGPD y a los principios de transparencia, minimización y limitación de la finalidad (por ejemplo, no utilizar esos datos para fines distintos de gestión de la reclamación).

Requiere información al interesado sobre base legal del tratamiento y derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad).

👉 Consulta aquí cómo abordamos el cumplimiento normativo para empresas en la organización de procesos internos y servicios de atención:

b) Conservación y acceso

Las empresas deben conservar la información relativa a incidencias y respuestas.

La ley introduce obligaciones de evaluación y auditoría de calidad (incluyendo datos agregados o personales).

Esto implica diseñar procedimientos internos compatibles con la LOPDGDD y RGPD, especialmente si se utilizan sistemas automatizados o inteligencia artificial (IA) para procesar datos de atención.

c) Igualdad de canal y derecho a interacción humana

La ley limita el uso de contestadores automáticos como único medio de atención, obligando a interacción humana o canales alternativos accesibles.

Si se usan sistemas de IA o automatización, deben respetar el derecho de la persona a interactuar con personal humano, cuando lo solicite.

Las decisiones totalmente automatizadas que afecten significativamente a las personas deben respetar el RGPD (art. 22 RGPD) y garantizar intervención humana, a menos que exista base legal clara.

d) Adaptaciones a vulnerabilidad y accesibilidad

La ley exige atención universal, inclusiva, no discriminatoria y accesible, incluyendo atención en las lenguas en que se realizó la interacción inicial o lenguas cooficiales donde proceda.

Desde la perspectiva de protección de datos:

Esto suele conllevar tratamientos adicionales de datos personales sensibles (por ejemplo, preferencias lingüísticas, información vinculada a discapacidad).

Tales tratamientos deben contar con base legal y medidas de seguridad apropiadas por la LOPDGDD/RGPD.

3) Cambios normativos vinculados y su impacto en datos

La ley incluye modificaciones legales que tocan normativas complementarias:

Modifica la LOPDGDD (en su Disposición Final 5ª), adaptando (o reforzando) aspectos de la normativa de protección de datos en el contexto de servicios de atención.

Esto no cambia de raíz el marco del RGPD/LOPDGDD, pero sí conecta expresamente los servicios de atención a la clientela con la protección de datos, dejando claro que:

la gestión de quejas y reclamaciones que impliquen datos personales debe respetar estrictamente los derechos de los interesados,

y que los servicios de atención deben organizarse de manera que los ciudadanos puedan ejercer sus derechos (acceso, rectificación, supresión, etc.) de forma efectiva.

4) Ejercicio de derechos por parte de las personas

a) Derecho de acceso y rectificación

Cuando un consumidor solicita información sobre el estado de su reclamación o los datos que la empresa tiene sobre esa interacción, la empresa debe facilitarlo.

Esto entra de lleno en el ejercicio de acceso y rectificación bajo RGPD/LOPDGDD.

b) Supresión o limitación

Si el cliente pide la supresión de sus datos tras la resolución de un caso, la empresa debe evaluar si es compatible con obligaciones legales de conservación (por ejemplo, plazos de prescripción de responsabilidad o documentación de atención).

c) Información y transparencia

Las empresas deben facilitar información clara sobre canales de atención, plazos, condiciones, lo que incluye la información relativa a tratamientos de datos personales, bases legales y derechos, conforme a artículos 12–14 RGPD.

5) Plazos y sanciones relevantes

La Ley fija plazos de resolución de consultas, quejas o reclamaciones en 15 días (o menos para ciertos casos concretos).

El incumplimiento constituye infracción en materia de protección de consumidores.

IMPORTANTE: Además de sanciones por consumo, si en esos procedimientos se vulneran derechos de protección de datos (información incompleta, falta de base legal, etc.), la AEPD puede imponer sanciones propias bajo el régimen de la LOPDGDD y RGPD.

6) Conclusión: impacto sobre datos

En resumen directo:

No sustituye ni deroga la LOPDGDD/RGPD, pero integra los servicios de atención a la clientela dentro del marco de protección de datos con obligaciones expresas de trazabilidad, transparencia, atención humana y accesibilidad.

Obliga a empresas a organizar sus servicios de atención de forma que se pueda ejercer de manera efectiva los derechos ARCO/DERECHOS RGPD (incluyendo controles internos, identificación única de casos y ofrecimiento de canales alternativos).

Introduce elementos de diseño de servicios (IA, automatización, accesibilidad, idiomas) que deben ser compatibles con los principios y obligaciones de protección de datos.

El texto completo de la Ley 10/2025 puede consultarse en el Boletín Oficial del Estado .

Preguntas frecuentes sobre la Ley 10/2025 y la atención al cliente

¿A qué empresas se aplica la Ley 10/2025?

La Ley 10/2025 se aplica a empresas que prestan servicios básicos de interés general y a grandes empresas o grupos empresariales que venden bienes o prestan servicios a consumidores, conforme a criterios objetivos de tamaño y volumen económico.

¿La Ley 10/2025 es una norma de protección de datos?

No. La ley no sustituye ni deroga el RGPD ni la LOPDGDD, pero introduce obligaciones en los servicios de atención a la clientela que afectan directamente al tratamiento de datos personales y al ejercicio de derechos.

¿Qué obligaciones introduce en la gestión de quejas y reclamaciones?

La ley exige registrar todas las consultas, quejas y reclamaciones, asignarles un identificador único, garantizar su trazabilidad y conservar la información asociada, respetando los principios de protección de datos.

¿Se puede utilizar atención automatizada o inteligencia artificial?

Sí, pero con límites. La Ley 10/2025 exige que exista atención humana disponible y que las decisiones automatizadas que afecten significativamente a las personas respeten el artículo 22 del RGPD.

¿Tu servicio de atención al cliente cumple con la Ley 10/2025?

En Legal Advisors in Compliance analizamos la organización de los servicios de atención a la clientela, la gestión de quejas y reclamaciones, el uso de sistemas automatizados y su adecuación a la Ley 10/2025, al RGPD y a los sistemas de compliance empresarial.

👉 Solicita asesoramiento legal de tu servicio de atención al cliente