Cuando la voz se convierte en dato: obligaciones legales de la transcripción automatizada
Activar el botón de transcripción en una reunión y recibir el acta minutos después es ya una práctica habitual en muchas organizaciones. Lo que con frecuencia pasa desapercibido es que detrás de esa comodidad existe un tratamiento de datos personales con obligaciones jurídicas concretas. La Agencia Española de Protección de Datos (AEPD) lo ha abordado en dos artículos publicados en su blog entre enero y abril de 2026, cuyas conclusiones conviene trasladar al ámbito empresarial.
La voz es un dato personal y lleva metadatos asociados
La voz de una persona puede identificarla directa o indirectamente, por lo que el RGPD resulta aplicable desde el momento en que se graba. Además, los servicios digitales de transcripción generan metadatos que también constituyen datos personales: el número de teléfono, la dirección IP de la conexión, el momento y duración de la llamada o la información sobre el uso del aplicativo. El Reglamento únicamente dejaría de aplicar en el caso de voces sintéticas o de grabaciones modificadas en origen para eliminar completamente cualquier posibilidad de identificación.
Transcripción y reentrenamiento: dos tratamientos con bases legitimadoras distintas
Un aspecto que la AEPD subraya con especial énfasis es que los servicios de transcripción con IA pueden involucrar dos tratamientos distintos. El primero es la transcripción propiamente dicha (actas de reuniones, registros de atención al cliente, etc.). El segundo, menos visible, es el posible uso de las grabaciones para reentrenar o ajustar el modelo por parte del proveedor, una práctica habitual que puede implicar que terceros ajenos a la organización escuchen fragmentos de la grabación.
Cada uno de estos tratamientos requiere una base legitimadora propia. La organización que implanta el servicio debe preguntar explícitamente a su proveedor si realiza este tipo de tratamientos adicionales y bajo qué condiciones. Cuando el proveedor utiliza los datos para sus propios fines, asume el rol de responsable del tratamiento respecto a esa actividad, con independencia del contrato de encargo suscrito con la organización cliente.
Transparencia, consentimiento y selección diligente del proveedor
El responsable debe informar a los interesados antes del inicio de la grabación y, además, mantener un indicador activo y visible mientras esta esté en curso, como un aviso en pantalla o una señal luminosa. Cuando la base legitimadora sea el consentimiento, este debe ser libre, específico e inequívoco: la AEPD ha rechazado expresamente que baste con que los participantes se unan a una sesión tras un aviso genérico. El consentimiento caduca además al término de la actividad concreta para la que fue prestado.
En cuanto a la selección del proveedor, el artículo 28 del RGPD exige que el responsable actúe con diligencia no solo en la fase de contratación, sino a lo largo de todo el ciclo de vida del tratamiento, verificando garantías de confidencialidad, medidas de seguridad, plazos de conservación, minimización de metadatos y localización de los datos.
Exactitud, derechos de los interesados y límites del Reglamento de IA
Los errores de transcripción no son simples fallos técnicos: atribuir a una persona algo que no dijo tiene relevancia jurídica directa bajo el principio de exactitud del artículo 5 del RGPD y activa la obligación de rectificación del artículo 16. Por ello, la responsabilidad proactiva exige anticiparse: informar a los interesados sobre las limitaciones del sistema, establecer procedimientos de revisión y habilitar mecanismos de acceso y rectificación. Además, los servicios que van más allá de la transcripción e infieren emociones, creencias o estado de salud pueden afectar a categorías especiales de datos, y algunos de esos usos colisionan con las prácticas prohibidas por el Reglamento (UE) 2024/1689 de Inteligencia Artificial.
Cómo puede ayudarte Letslaw
En Letslaw somos especialistas en protección de datos e inteligencia artificial. Si tu organización ya utiliza o está valorando implementar herramientas de transcripción automática de voz, podemos ayudarte a revisar los contratos con proveedores, definir la base legitimadora adecuada, adaptar los avisos de privacidad y valorar si resulta necesaria una Evaluación de Impacto en la Protección de Datos (EIPD). No dudes en contactarnos.
IP/IT Lawyer
Graduado en Derecho y diplomado en Derecho Económico por la Universidad de Navarra, comenzó su contacto con el derecho digital al realizar el Máster en Derecho Digital, Telecomunicaciones y Energía impartido por la Universidad CEU San Pablo. Desde el año 2021, ha desarrollado su trayectoria profesional en las áreas de Propiedad Intelectual e Industrial, Derecho de la Competencia, Protección de Datos, Derecho Digital y Corporate en general.
