Implantar una herramienta de inteligencia artificial para transcribir automáticamente reuniones o entrevistas profesionales genera valor, pero plantea de inmediato una serie de obligaciones jurídicas. El RGPD se aplica en cuanto se recopilan y tratan datos que permiten identificar a personas — voz, nombres, cargos, opiniones —.
Esto es lo esencial antes de continuar:
- Informar a los participantes es obligatorio antes de cualquier grabación (art. 13 RGPD + Ley Orgánica 3/2018, LOPDGDD).
- Formalizar la relación con el proveedor mediante un acuerdo de encargo de tratamiento (art. 28 RGPD).
- Alojar los datos en la Unión Europea o garantizar un mecanismo de transferencia válido.
- Limitar el plazo de conservación y eliminar el audio en cuanto se finalice la transcripción.
- Prohibir contractualmente el entrenamiento de modelos de IA con tus datos.
Índice
- Responsable del tratamiento y encargado: ¿quién es quién?
- Obligación de información y prohibición de grabar sin consentimiento
- Base legal: ¿qué fundamento jurídico elegir?
- Alojamiento de datos y transferencias fuera de la UE
- Conservación, minimización y supresión del audio
- Acuerdo de encargo de tratamiento (DPA) y entrenamiento de modelos de IA
- Preguntas frecuentes
Responsable del tratamiento y encargado: ¿quién es quién?
El responsable del tratamiento es la entidad que determina los fines y los medios del tratamiento (art. 4.7 RGPD). En el contexto de la transcripción de reuniones, es la organización que utiliza la herramienta, no el proveedor tecnológico.
El encargado del tratamiento (art. 4.8 RGPD) es el prestador que trata los datos por cuenta del responsable y siguiendo sus instrucciones. El proveedor de IA de transcripción ocupa este papel.
Esta distinción tiene consecuencias directas:
- La organización sigue siendo la única responsable ante los interesados y ante la Agencia Española de Protección de Datos (AEPD).
- El proveedor solo puede actuar en ejecución de las instrucciones documentadas recibidas.
- Cualquier violación de datos cometida por el encargado también compromete la responsabilidad del responsable del tratamiento si el contrato era insuficiente.
Clave: Desplegar una herramienta de transcripción con IA sin un contrato de encargo de tratamiento formalizado expone a la organización a una responsabilidad directa ante la AEPD, con independencia de la culpa del proveedor.
El registro de actividades de tratamiento
El responsable del tratamiento debe inscribir la actividad «transcripción automática de reuniones» en su registro de actividades de tratamiento (art. 30 RGPD). Esta ficha debe mencionar la finalidad, las categorías de datos, los destinatarios, el plazo de conservación y las medidas de seguridad.
Obligación de información y prohibición de grabar sin consentimiento
El RGPD impone una información previa y transparente a los interesados (art. 13). En la práctica, esto significa informar a cada participante antes del inicio de la reunión de que esta será grabada y transcrita automáticamente.
En España, la exigencia es igualmente sólida. El artículo 197 del Código Penal tipifica el descubrimiento y revelación de secretos, sancionando la interceptación o grabación de comunicaciones sin consentimiento, incluso en el ámbito laboral. A ello se suma el artículo 20 bis del Estatuto de los Trabajadores, que exige que las medidas de control empresarial — incluida la grabación de reuniones — sean comunicadas previamente a los trabajadores. La ignorancia de la ley no es una excusa válida.
La información mínima que debe comunicarse a los participantes:
- La identidad del responsable del tratamiento.
- La finalidad de la grabación y la transcripción (p. ej.: redacción del acta de la reunión).
- La base legal utilizada.
- El plazo de conservación previsto.
- Los derechos de los participantes (acceso, rectificación, oposición, supresión).
- La identidad del encargado del tratamiento que aloja los datos.
Modalidades prácticas de información
La información puede facilitarse:
- Mediante un mensaje en la invitación del calendario.
- Con un anuncio oral al inicio de la reunión, documentado en el acta.
- A través de un banner o notificación que muestre la herramienta en el momento de unirse a la sesión.
Para las evaluaciones del desempeño o las entrevistas de desarrollo profesional, se recomienda incluir un párrafo específico en la convocatoria escrita. Para saber más sobre las buenas prácticas documentales en este contexto, consulta nuestro artículo sobre el acta de evaluación del desempeño: modelo y buenas prácticas.
Base legal: ¿qué fundamento jurídico elegir?
Todo tratamiento de datos personales debe apoyarse en una de las seis bases legales del artículo 6.1 del RGPD. Para la transcripción de reuniones profesionales, dos bases son principalmente aplicables.
| Base legal | Condiciones de validez | Ventajas | Limitaciones |
|---|---|---|---|
| Interés legítimo (art. 6.1.f) | Ponderación documentada; el interés no debe prevalecer sobre los derechos de las personas | No requiere recabar consentimiento individual | Derecho de oposición ejercitable; ponderación a documentar |
| Consentimiento (art. 6.1.a) | Libre, informado, específico, inequívoco y revocable | Legitimidad sólida | Difícil de obtener libremente en contexto jerárquico; inválido si está vinculado a la relación laboral |
| Obligación legal (art. 6.1.c) | Texto legal que impone la llevanza de actas | Sólido si es aplicable | Excepcional fuera de los órganos de representación sindical y juntas estatutarias |
Clave: El interés legítimo es la base legal más adecuada para la mayoría de las reuniones internas, siempre que se documente rigurosamente la ponderación y no se transcriban intercambios de carácter sensible (datos de salud, afiliación sindical…) sin una base reforzada.
El caso particular de los datos sensibles
Si la reunión versa sobre asuntos susceptibles de revelar datos sensibles (art. 9 RGPD) — estado de salud, afiliación sindical, opiniones políticas —, el tratamiento requiere una base legal específica del artículo 9.2, como el consentimiento explícito o una obligación legal. En estos casos, la prudencia aconseja no transcribir automáticamente esas reuniones o prever una anonimización inmediata.
Alojamiento de datos y transferencias fuera de la UE
El alojamiento de datos en la Unión Europea es la garantía de cumplimiento más sencilla. En cuanto los archivos de audio o las transcripciones transitan hacia servidores ubicados fuera de la UE, se aplican las normas del capítulo V del RGPD sobre transferencias internacionales.
Los mecanismos de transferencia válidos son:
- Decisión de adecuación de la Comisión Europea (p. ej.: Marco de Privacidad de Datos UE-EE. UU., aunque su vigencia jurídica sigue siendo incierta).
- Cláusulas contractuales tipo (CCT) adoptadas por la Comisión — que deben anexarse al DPA.
- Normas corporativas vinculantes (BCR) para grupos multinacionales.
Un alojamiento soberano en Europa elimina este riesgo de raíz. Para las reuniones híbridas con participantes internacionales, la cuestión de la localización de los datos adquiere una dimensión adicional — consulta nuestro artículo sobre reuniones híbridas: cómo incluir a todo el mundo.
Evaluación del riesgo del proveedor
Antes de elegir una herramienta, verifica:
- El país de alojamiento de los servidores de tratamiento y almacenamiento.
- La ley aplicable a los datos en caso de litigio o requerimiento judicial.
- La existencia y solidez del DPA propuesto.
Conservación, minimización y supresión del audio
El principio de minimización (art. 5.1.c RGPD) impone recopilar únicamente los datos estrictamente necesarios para la finalidad. El principio de limitación del plazo de conservación (art. 5.1.e) exige suprimirlos en cuanto dejen de ser necesarios.
En el caso de una transcripción automática:
- La finalidad es la producción de un acta o resumen de la reunión.
- El audio bruto no tiene razón de ser conservado una vez validada la transcripción.
- La transcripción en sí debe conservarse el tiempo estrictamente necesario para el uso documental (generalmente entre 30 y 90 días, salvo obligación legal específica).
| Dato | Plazo recomendado | Justificación |
|---|---|---|
| Archivo de audio bruto | Supresión inmediata tras validar la transcripción | Minimización; alto riesgo en caso de brecha |
| Transcripción completa | 30 a 90 días | Uso operativo; eliminación tras archivar el acta |
| Acta finalizada | Vida útil del proyecto / obligación legal | Documento de gestión; puede anonimizarse |
Clave: Eliminar el audio en cuanto se genera la transcripción es la mejor medida de minimización — reduce drásticamente el riesgo ante una violación de datos y simplifica la gestión de los derechos de supresión.
Para profundizar en la estructuración de los resultados de una reunión, consulta nuestro artículo cómo redactar un acta de reunión clara y útil en 2026.
Acuerdo de encargo de tratamiento (DPA) y entrenamiento de modelos de IA
El acuerdo de encargo de tratamiento (o DPA, Data Processing Agreement) es un contrato que el artículo 28 del RGPD hace obligatorio. Debe firmarse antes de que el proveedor realice cualquier tratamiento de datos.
Contenido obligatorio del DPA (art. 28.3 RGPD)
El DPA debe especificar:
- El objeto y la duración del tratamiento.
- La naturaleza de las operaciones realizadas (recopilación, almacenamiento, análisis, supresión).
- La finalidad del tratamiento y las categorías de datos afectados.
- Las obligaciones y derechos del responsable del tratamiento.
- Las medidas de seguridad técnicas y organizativas aplicadas.
- Las condiciones de subcontratación ulterior (lista de subencargados en cascada).
- La obligación de asistencia en caso de ejercicio de derechos o de violación de datos.
La cuestión del entrenamiento de modelos de IA
Este es un punto de vigilancia crítico. Algunos proveedores incluyen en sus condiciones generales una cláusula que autoriza el uso de los datos para mejorar o entrenar sus modelos. Esto constituye una reutilización incompatible con la finalidad inicial (art. 5.1.b RGPD), salvo consentimiento explícito.
El DPA debe prohibir expresamente:
- El uso de transcripciones o archivos de audio para entrenar, ajustar o evaluar modelos de IA.
- La cesión o el intercambio de datos con terceros no listados.
- Cualquier tratamiento no instruido por el responsable del tratamiento.
La AEPD ha recordado en sus guías sobre inteligencia artificial y protección de datos que la reutilización de datos sin una base legal adecuada constituye una infracción manifiesta del reglamento.
Conclusión: una lista de verificación para actuar
Poner en conformidad el uso de una herramienta de transcripción con IA no requiere grandes recursos jurídicos, pero sí exige método. Estas son las acciones prioritarias:
- Inscribir el tratamiento en el registro de actividades de tratamiento.
- Elegir y documentar la base legal (ponderación si se utiliza el interés legítimo).
- Informar sistemáticamente a los participantes antes de cada sesión grabada.
- Firmar un DPA con el proveedor, incluyendo la prohibición de entrenamiento de modelos.
- Verificar la localización de los servidores y la existencia de un mecanismo de transferencia válido si están fuera de la UE.
- Configurar la supresión automática del audio tras validar la transcripción.
- Definir un plazo máximo de conservación para las transcripciones y las actas.
Una herramienta soberana alojada en Europa, con un DPA conforme al artículo 28 y que elimina automáticamente los archivos de audio tras la transcripción, responde estructuralmente a la mayoría de estas exigencias. El cumplimiento del RGPD no debe ser un freno para la adopción de la IA en tus reuniones — es su marco de confianza.
Preguntas frecuentes
¿Es obligatorio informar a los participantes antes de grabar una reunión?
Sí. El RGPD (art. 13) obliga a informar a los interesados antes de cualquier tratamiento de sus datos de voz. En España, grabar una conversación sin el conocimiento de la otra parte puede constituir además una vulneración del derecho a la intimidad y al secreto de las comunicaciones, sancionada por el artículo 197 del Código Penal, así como un incumplimiento de las obligaciones de información al trabajador previstas en el Estatuto de los Trabajadores.
¿Qué base legal usar para transcribir una reunión profesional?
El interés legítimo (art. 6.1.f) es la base legal más frecuentemente utilizada, siempre que el interés de la organización no prevalezca sobre los derechos de los participantes. El consentimiento también puede emplearse, pero debe ser libre, informado y revocable, lo que resulta difícil de garantizar en un contexto jerárquico.
¿Cuánto tiempo puede conservarse la grabación de audio de una reunión?
El principio de limitación del plazo de conservación (art. 5.1.e RGPD) exige almacenar los datos solo el tiempo necesario para su finalidad. En la práctica, el audio debería eliminarse en cuanto se valide la transcripción; la transcripción en sí se conserva generalmente entre 30 y 90 días, según la política documental de la organización.
¿Puede un proveedor de IA usar las grabaciones de mis reuniones para entrenar sus modelos?
No, sin acuerdo explícito. El RGPD prohíbe reutilizar datos con fines incompatibles con la finalidad inicial (art. 5.1.b). Un contrato de encargo de tratamiento conforme al artículo 28 debe estipular expresamente que el proveedor no puede ni entrenar sus modelos ni ceder los datos a terceros sin instrucción documentada del responsable del tratamiento.
¿Qué es un DPA (Data Processing Agreement) y cuándo es obligatorio?
Un DPA es un acuerdo de encargo de tratamiento requerido por el artículo 28 del RGPD en cuanto un proveedor trata datos personales por cuenta de una organización. Debe precisar el objeto, la duración, la naturaleza del tratamiento, las medidas de seguridad y las obligaciones del encargado. Es obligatorio antes de cualquier despliegue de una herramienta de transcripción con IA.
¿Es problemático que una herramienta de transcripción esté alojada fuera de la UE?
Sí. Cualquier transferencia de datos personales a un país tercero (p. ej., Estados Unidos) debe apoyarse en un mecanismo de transferencia adecuado: decisión de adecuación, cláusulas contractuales tipo (CCT) o normas corporativas vinculantes. En ausencia de garantías documentadas, la transferencia es ilícita.
¿Qué datos se consideran personales en una transcripción de reunión?
La voz, el nombre, los apellidos, el cargo, las opiniones expresadas y cualquier identificador indirecto que permita reconocer a una persona constituyen datos personales en el sentido del artículo 4.1 del RGPD. La transcripción textual de una reunión es, por tanto, un tratamiento de datos personales sujeto al reglamento.