Implantar una herramienta de inteligencia artificial para transcribir automáticamente reuniones o entrevistas profesionales aporta un valor indudable, pero genera de inmediato una serie de obligaciones jurídicas. El RGPD se aplica en cuanto se recopilan y tratan datos que permiten identificar a personas — voz, nombres, cargos, opiniones —.
Esto es lo esencial antes de continuar:
- Informar a los participantes es obligatorio antes de cualquier grabación (art. 13 RGPD + normativa penal española).
- Formalizar la relación con el proveedor mediante un acuerdo de encargo de tratamiento (art. 28 RGPD).
- Alojar los datos en la Unión Europea o garantizar un mecanismo de transferencia válido.
- Limitar el plazo de conservación y eliminar el audio en cuanto se finalice la transcripción.
- Prohibir contractualmente el uso de tus datos para entrenar modelos de IA.
Índice
- Responsable del tratamiento y encargado: ¿quién es quién?
- Obligación de información y prohibición de grabar sin consentimiento
- Base legal: ¿qué fundamento jurídico elegir?
- Alojamiento de datos y transferencias fuera de la UE
- Conservación, minimización y supresión del audio
- Acuerdo de encargo de tratamiento (DPA) y entrenamiento de modelos IA
- Preguntas frecuentes
Responsable del tratamiento y encargado: ¿quién es quién?
El responsable del tratamiento es la entidad que determina los fines y los medios del tratamiento (art. 4.7 RGPD). En el contexto de una transcripción de reunión, es la organización que utiliza la herramienta — no el proveedor tecnológico.
El encargado del tratamiento (art. 4.8 RGPD) es el prestador que trata los datos por cuenta del responsable y siguiendo sus instrucciones. El proveedor de la herramienta de transcripción IA ocupa este papel.
Esta distinción tiene consecuencias directas:
- La organización sigue siendo la única responsable frente a las personas interesadas y frente a la AEPD (Agencia Española de Protección de Datos).
- El proveedor solo puede actuar siguiendo las instrucciones documentadas que reciba.
- Cualquier violación de seguridad cometida por el encargado también compromete la responsabilidad del responsable del tratamiento si el contrato era insuficiente.
A tener en cuenta: Implantar una herramienta de transcripción IA sin un contrato de encargo de tratamiento formalizado expone a la organización a responsabilidad directa ante la AEPD, con independencia de la culpa del proveedor.
Los registros de actividades de tratamiento
El responsable del tratamiento debe inscribir la actividad «transcripción automática de reuniones» en su registro de actividades de tratamiento (art. 30 RGPD). Esta ficha debe indicar la finalidad, las categorías de datos, los destinatarios, el plazo de conservación y las medidas de seguridad.
Obligación de información y prohibición de grabar sin consentimiento
El RGPD impone una información previa y transparente a las personas interesadas (art. 13). En la práctica, esto significa informar a cada participante antes del inicio de la reunión de que esta será grabada y transcrita automáticamente.
En el derecho español, la exigencia es aún más estricta. El artículo 197 del Código Penal tipifica como delito interceptar, grabar o transmitir las comunicaciones de una persona sin su consentimiento, incluso en el ámbito profesional. El desconocimiento de la ley no exime de responsabilidad.
La información mínima que debe comunicarse a los participantes:
- La identidad del responsable del tratamiento.
- La finalidad de la grabación y la transcripción (p. ej.: elaboración del acta de la reunión).
- La base legal aplicada.
- El plazo de conservación previsto.
- Los derechos de los participantes (acceso, rectificación, oposición, supresión).
- La identidad del encargado del tratamiento que aloja los datos.
Modalidades prácticas de información
La información puede facilitarse:
- Mediante un mensaje en la invitación del calendario.
- Mediante un anuncio oral al inicio de la reunión, documentado en el acta.
- A través de un banner o notificación mostrada por la herramienta al unirse a la sesión.
Para las evaluaciones del desempeño o las entrevistas de desarrollo profesional, se recomienda incluir un párrafo específico en la convocatoria escrita. Para conocer más sobre las buenas prácticas documentales en este contexto, consulta nuestro artículo sobre el acta de evaluación del desempeño: modelo y buenas prácticas.
Base legal: ¿qué fundamento jurídico elegir?
Todo tratamiento de datos personales debe apoyarse en una de las seis bases legales del artículo 6.1 del RGPD. Para la transcripción de reuniones profesionales, son principalmente aplicables dos bases.
| Base legal | Condiciones de validez | Ventajas | Limitaciones |
|---|---|---|---|
| Interés legítimo (art. 6.1.f) | Ponderación documentada; el interés no debe prevalecer sobre los derechos de las personas | No requiere recabar consentimiento individual | Derecho de oposición ejercitable; ponderación a documentar |
| Consentimiento (art. 6.1.a) | Libre, informado, específico, inequívoco y revocable | Legitimidad sólida | Difícil de obtener libremente en contextos jerárquicos; invalidado si está vinculado al empleo |
| Obligación legal (art. 6.1.c) | Norma legal que imponga la llevanza de actas | Sólida si es aplicable | Poco frecuente fuera de los comités de empresa y juntas estatutarias |
A tener en cuenta: El interés legítimo es la base legal más adecuada para la mayoría de las reuniones internas, siempre que se documente rigurosamente la ponderación y no se transcriban intercambios de carácter sensible (datos de salud, afiliación sindical…) sin una base reforzada.
El caso particular de los datos sensibles
Si la reunión versa sobre asuntos que puedan revelar datos especialmente protegidos (art. 9 RGPD) — estado de salud, afiliación sindical, opiniones políticas —, el tratamiento requiere una base legal específica del artículo 9.2, como el consentimiento explícito o una obligación legal. La prudencia aconseja no transcribir automáticamente estas reuniones, o prever una anonimización inmediata.
Alojamiento de datos y transferencias fuera de la UE
El alojamiento de los datos en la Unión Europea es la garantía de cumplimiento más sencilla. En cuanto los archivos de audio o las transcripciones transiten hacia servidores situados fuera de la UE, se aplican las reglas del capítulo V del RGPD sobre transferencias internacionales.
Los mecanismos de transferencia válidos son:
- Decisión de adecuación de la Comisión Europea (p. ej.: Marco de Privacidad de Datos UE-EE. UU., aunque su vigencia jurídica sigue siendo incierta).
- Cláusulas contractuales tipo (CCT) adoptadas por la Comisión — que deben anexarse al DPA.
- Normas corporativas vinculantes (BCR) para grupos multinacionales.
Un alojamiento soberano en Europa elimina este riesgo desde la raíz. Para las reuniones híbridas con participantes internacionales, la cuestión de la localización de los datos adquiere una dimensión adicional — consulta nuestro artículo sobre las reuniones híbridas: cómo incluir a todo el mundo.
Evaluación del riesgo del proveedor
Antes de elegir una herramienta, verifica:
- El país de alojamiento de los servidores de tratamiento y almacenamiento.
- La ley aplicable a los datos en caso de litigio o requerimiento judicial.
- La existencia y solidez del DPA propuesto.
Conservación, minimización y supresión del audio
El principio de minimización (art. 5.1.c RGPD) obliga a recopilar únicamente los datos estrictamente necesarios para la finalidad. El principio de limitación del plazo de conservación (art. 5.1.e) impone suprimirlos en cuanto dejen de ser necesarios.
En el caso de una transcripción automática:
- La finalidad es producir un acta o una síntesis de la reunión.
- El audio bruto deja de tener razón de ser una vez validada la transcripción.
- La transcripción en sí debe conservarse el tiempo estrictamente necesario para el uso documental (generalmente entre 30 y 90 días, salvo obligación legal específica).
| Dato | Plazo recomendado | Justificación |
|---|---|---|
| Archivo de audio bruto | Supresión inmediata tras la validación de la transcripción | Minimización; alto riesgo en caso de brecha |
| Transcripción completa | 30 a 90 días | Uso operativo; eliminación tras el archivado del acta |
| Acta finalizada | Vida útil del proyecto / obligación legal | Documento de gestión; puede anonimizarse |
A tener en cuenta: Eliminar el audio en cuanto se genera la transcripción es la mejor medida de minimización — reduce drásticamente el riesgo en caso de violación de seguridad y simplifica la gestión del derecho de supresión.
Para profundizar en la estructuración de las actas de reunión, consulta nuestro artículo cómo redactar un acta de reunión clara y útil en 2026.
Acuerdo de encargo de tratamiento (DPA) y entrenamiento de modelos IA
El acuerdo de encargo de tratamiento (o DPA, Data Processing Agreement) es un contrato que el artículo 28 del RGPD hace obligatorio. Debe firmarse antes de que el proveedor realice cualquier tratamiento de datos.
Contenido obligatorio del DPA (art. 28.3 RGPD)
El DPA debe precisar:
- El objeto y la duración del tratamiento.
- La naturaleza de las operaciones realizadas (recogida, almacenamiento, análisis, supresión).
- La finalidad del tratamiento y las categorías de datos afectadas.
- Las obligaciones y derechos del responsable del tratamiento.
- Las medidas de seguridad técnicas y organizativas implementadas.
- Las condiciones de subcontratación ulterior (lista de subencargados en cascada).
- La obligación de asistencia en caso de ejercicio de derechos o de violación de seguridad.
La cuestión del entrenamiento de modelos IA
Este es un punto de vigilancia crítico. Algunos proveedores incluyen en sus condiciones generales una cláusula que autoriza el uso de los datos para mejorar o entrenar sus modelos. Esto constituye una reutilización incompatible con la finalidad inicial (art. 5.1.b RGPD), salvo consentimiento explícito.
El DPA debe prohibir expresamente:
- El uso de las transcripciones o archivos de audio para entrenar, ajustar o evaluar modelos de IA.
- La cesión o el intercambio de datos con terceros no listados.
- Cualquier tratamiento no instruido por el responsable del tratamiento.
La AEPD, en línea con las directrices del Comité Europeo de Protección de Datos sobre IA y RGPD, ha subrayado que la reutilización de datos sin una base legal adecuada constituye una infracción flagrante del reglamento.
Conclusión: una lista de verificación para actuar
Poner en conformidad el uso de una herramienta de transcripción IA no requiere grandes recursos jurídicos, pero sí método. Estas son las acciones prioritarias:
- Inscribir el tratamiento en el registro de actividades de tratamiento.
- Elegir y documentar la base legal (ponderación si se invoca el interés legítimo).
- Informar sistemáticamente a los participantes antes de cada sesión grabada.
- Firmar un DPA con el proveedor, incluyendo la prohibición de entrenar modelos.
- Verificar la localización de los servidores y la existencia de un mecanismo de transferencia válido si están fuera de la UE.
- Configurar la supresión automática del audio tras la validación de la transcripción.
- Definir un plazo máximo de conservación para las transcripciones y las actas.
Una herramienta soberana alojada en Europa, con un DPA conforme al artículo 28 y que elimina automáticamente los archivos de audio tras la transcripción, responde estructuralmente a la mayoría de estas exigencias. El cumplimiento del RGPD no debe ser un obstáculo para adoptar la IA en tus reuniones — es el marco de confianza que lo hace posible.
Preguntas frecuentes
¿Es obligatorio informar a los participantes antes de grabar una reunión?
Sí. El RGPD (art. 13) obliga a informar a las personas interesadas antes de cualquier tratamiento de sus datos de voz. Además, en el derecho español, grabar una conversación sin el conocimiento de los interlocutores puede constituir un delito contra la intimidad tipificado en el artículo 197 del Código Penal.
¿Qué base legal usar para transcribir una reunión profesional?
El interés legítimo (art. 6.1.f) es la base legal más habitualmente utilizada, siempre que el interés de la organización no prevalezca sobre los derechos de los participantes. El consentimiento también puede emplearse, pero debe ser libre, informado y revocable, lo que resulta difícil de garantizar en un contexto jerárquico.
¿Cuánto tiempo puede conservarse la grabación de audio de una reunión?
El principio de limitación del plazo de conservación (art. 5.1.e RGPD) obliga a almacenar los datos solo el tiempo necesario para su finalidad. En la práctica, el audio debería suprimirse en cuanto se valide la transcripción; la transcripción en sí suele conservarse entre 30 y 90 días, según la política documental de la organización.
¿Puede un proveedor de IA usar las grabaciones de mis reuniones para entrenar sus modelos?
No, sin acuerdo explícito. El RGPD prohíbe reutilizar datos para fines incompatibles con la finalidad inicial (art. 5.1.b). Un contrato de encargo de tratamiento conforme al artículo 28 debe estipular expresamente que el proveedor no puede ni entrenar sus modelos ni ceder los datos a terceros sin instrucción documentada del responsable del tratamiento.
¿Qué es un DPA (Data Processing Agreement) y cuándo es obligatorio?
Un DPA es un acuerdo de encargo de tratamiento exigido por el artículo 28 del RGPD cuando un prestador trata datos personales por cuenta de una organización. Debe precisar el objeto, la duración, la naturaleza del tratamiento, las medidas de seguridad y las obligaciones del encargado. Es obligatorio antes de implantar cualquier herramienta de transcripción IA.
¿Es problemático que una herramienta de transcripción esté alojada fuera de la UE?
Sí. Cualquier transferencia de datos personales a un país tercero (p. ej., Estados Unidos) debe basarse en un mecanismo de transferencia adecuado: decisión de adecuación, cláusulas contractuales tipo (CCT) o normas corporativas vinculantes. En ausencia de garantías documentadas, la transferencia es ilícita.
¿Qué datos se consideran personales en una transcripción de reunión?
La voz, el nombre y apellidos, el cargo, las opiniones expresadas y cualquier identificador indirecto que permita reconocer a una persona constituyen datos personales en el sentido del artículo 4.1 del RGPD. La transcripción textual de una reunión es, por tanto, un tratamiento de datos personales sujeto al reglamento.