Transcripción de reuniones y RGPD: guía de cumplimiento para empresas en España
Si tu equipo graba o transcribe reuniones con alguna herramienta de inteligencia artificial, estás tratando datos personales. La voz humana identifica a una persona: la AEPD (Agencia Española de Protección de Datos) la categoriza expresamente como dato personal en la línea del artículo 4.1 del Reglamento General de Protección de Datos. Eso significa que la transcripción de reuniones no es una cuestión técnica neutral — es una actividad de tratamiento que necesita base legal, política de conservación y, en muchos casos, mecanismos de consentimiento documentado.
Esta guía explica qué exige el RGPD en la práctica para empresas que operan en España, qué criterios usar para elegir una herramienta conforme, y cómo Wizideo cubre cada punto. Si ya tienes la página de cumplimiento abierta, puedes ir directamente a la checklist de criterios.
La voz es un dato personal — y grabarla es tratamiento
Antes de cualquier consideración técnica, hay que entender el marco jurídico de partida.
El RGPD define dato personal como «toda información sobre una persona física identificada o identificable». La voz de alguien en una reunión cumple esa definición sin ninguna duda razonable: la identifica por nombre (en la conversación), por patrón vocal, por contexto. La AEPD ha reiterado esta interpretación en guías orientadas a empresas sobre grabación de llamadas.
La transcripción automática añade una capa más: ya no solo hay un archivo de audio, sino un texto indexable y buscable que puede procesarse masivamente. Eso amplía el riesgo de exposición y refuerza la necesidad de un tratamiento fundamentado.
Bases legales válidas para grabar y transcribir reuniones
El artículo 6 del RGPD establece las bases legales que legitiman el tratamiento de datos personales. Para la grabación de reuniones en un contexto laboral o de negocio, las tres más frecuentes son:
1. Interés legítimo (art. 6.1.f)
La empresa tiene un interés legítimo en documentar sus procesos de trabajo, y ese interés puede justificar la grabación cuando no prevalezcan los derechos de los participantes. Esta base es usable para reuniones internas de equipo donde los participantes tienen una expectativa razonable de que las conversaciones de trabajo se documenten.
Límite importante: requiere realizar el test de ponderación de tres fases (identificación del interés, necesidad del tratamiento, balance con derechos del interesado). No es una carta en blanco.
2. Ejecución de un contrato (art. 6.1.b)
Cuando la transcripción es necesaria para ejecutar una relación contractual — por ejemplo, documentar los compromisos adquiridos en una reunión de proyecto con un cliente — puede justificarse bajo esta base. Es especialmente relevante en relaciones B2B donde ambas partes son responsables de sus propios procesos.
3. Consentimiento explícito (art. 6.1.a)
El consentimiento es la base más robusta pero también la más exigente: debe ser libre, específico, informado e inequívoco. En el contexto de reuniones con participantes externos (clientes, candidatos, proveedores), el consentimiento documentado es la opción más segura.
Cómo documentar el consentimiento en la práctica:
- Aviso en la invitación de calendario con descripción del tratamiento y destinatarios
- Confirmación de entrada a la reunión grabada (mediante banner en la herramienta o registro escrito)
- Posibilidad real de abandonar la reunión sin consecuencias negativas
La notificación es obligatoria en cualquier caso
Independientemente de la base legal que uses, el principio de transparencia del RGPD (art. 5.1.a) exige que los participantes sepan que la reunión se está grabando y transcribiendo. Esto no es opcional. El momento de la notificación debe ser previo a que se produzca el tratamiento, no durante ni después.
Derechos de los participantes que debes garantizar
Cualquier persona cuya voz aparezca en una transcripción tiene los siguientes derechos que tu organización debe poder atender:
- Acceso (art. 15): recibir una copia de los datos que se tienen sobre ella
- Rectificación (art. 16): corregir datos inexactos — relevante para errores de transcripción
- Supresión (art. 17): solicitar el borrado cuando el tratamiento ya no tenga base legal
- Limitación (art. 18): solicitar que se suspenda el tratamiento mientras se resuelve una disputa
- Oposición (art. 21): oponerse al tratamiento basado en interés legítimo
Tener estos canales operativos no es burocracia — es lo que te permite responder a una reclamación ante la AEPD con evidencia de que el sistema funciona.
Criterios para elegir una herramienta de transcripción conforme {#checklist-de-cumplimiento}
La herramienta que uses para transcribir es un encargado del tratamiento en el sentido del artículo 28 del RGPD. Eso obliga a suscribir un Acuerdo de Tratamiento de Datos (DPA) con el proveedor y a verificar que cumple una serie de garantías mínimas.
Checklist de criterios técnicos y jurídicos
Residencia de datos
- ¿Los servidores donde se procesan y almacenan las transcripciones están en la UE o el EEE?
- Si el proveedor es estadounidense, ¿utiliza cláusulas contractuales tipo (SCCs) actualizadas para la transferencia internacional?
- ¿Puedes elegir la región de almacenamiento?
Cifrado
- ¿Los datos están cifrados en tránsito (TLS) y en reposo (AES-256 o equivalente)?
- ¿Quién controla las claves de cifrado — el proveedor o tu organización?
Política de uso de datos para entrenamiento de IA
- ¿El proveedor usa tus grabaciones para entrenar sus modelos? (Esto es especialmente sensible si las reuniones contienen información confidencial de clientes)
- ¿Puedes optar por excluir tus datos del entrenamiento?
DPA y base contractual
- ¿Existe un DPA disponible sin negociación?
- ¿El DPA especifica subprocesadores y sus ubicaciones?
- ¿Se te notifica de cambios en subprocesadores?
Retención y borrado
- ¿Cuál es el período de retención por defecto? ¿Puedes configurarlo?
- ¿El borrado es efectivo — incluyendo backups y sistemas de IA que hayan procesado el contenido?
Certificaciones
- ¿Tiene SOC 2 Type II o ISO 27001?
- ¿Hay un registro público de incidentes de seguridad?
Controles administrativos
- ¿Puedes limitar el acceso por roles y dominios?
- ¿Hay registros de auditoría de quién accede a qué transcripciones?
Si un proveedor no puede responder afirmativamente a la mayoría de estos puntos con documentación pública, es una señal de riesgo. Las multas por incumplimiento del RGPD pueden llegar al 4% de la facturación anual global — el coste de hacer bien la elección inicial es mínimo en comparación.
Cómo Wizideo aborda cada punto
Wizideo está diseñado para equipos europeos que operan bajo el RGPD. Estos son los detalles concretos — puedes verificarlos en la página de seguridad y RGPD de Wizideo:
Residencia de datos en la UE: los datos se procesan y almacenan en infraestructura dentro de la Unión Europea. No hay transferencia a servidores en EE.UU. por defecto.
Cifrado AES-256: las grabaciones y transcripciones están cifradas en reposo con AES-256. Las transferencias usan TLS en tránsito.
Cero retención para entrenamiento de IA: Wizideo no usa el contenido de tus reuniones para entrenar modelos de inteligencia artificial. Es una política explícita, no una opción que hay que buscar en ajustes avanzados.
DPA disponible: el Acuerdo de Tratamiento de Datos está disponible sin necesidad de negociación enterprise. Los subprocesadores están listados y actualizados.
Retención configurable: los administradores pueden configurar los períodos de retención y ejecutar borrados verificables.
BYOS (Bring Your Own Storage): para organizaciones con requerimientos de soberanía de datos específicos, Wizideo permite conectar el almacenamiento S3 propio de la empresa, de modo que los datos nunca salen del entorno controlado por el cliente.
Puedes revisar el detalle completo en wizideo.ai/seguridad-rgpd. Si tu organización necesita un DPA firmado o tiene preguntas específicas sobre subprocesadores, el equipo de Wizideo responde directamente.
El RGPD en la práctica: lo que las empresas olvidan hacer
En nuestra experiencia trabajando con equipos europeos, estos son los errores más frecuentes:
Error 1: Asumir que el consentimiento verbal durante la reunión es suficiente. No lo es. Necesita ser previo, documentado y con información clara sobre el tratamiento.
Error 2: No comunicar a los empleados que sus reuniones se graban. El artículo 13 del RGPD exige informar en el momento de la recogida. Una cláusula enterrada en el contrato laboral no basta si el tratamiento es nuevo.
Error 3: Elegir un proveedor sin verificar el DPA. Muchas empresas activan herramientas de transcripción SaaS sin darse cuenta de que están incorporando un encargado del tratamiento sin la base contractual requerida.
Error 4: No tener un proceso para atender derechos de acceso y supresión. Si un participante externo pide que se borre su voz de tus transcripciones, necesitas un proceso para ejecutarlo — incluyendo en backups y sistemas downstream.
Error 5: Retener transcripciones indefinidamente. El principio de limitación del plazo de conservación del RGPD exige que los datos no se guarden más tiempo del necesario para el fin que los justificó.
Preguntas frecuentes
¿Puedo grabar reuniones con clientes sin su consentimiento explícito?
Depende de la base legal que apliques. Si usas interés legítimo, necesitas haber realizado el test de ponderación y que la relación contractual haga razonablemente esperable la documentación. Si la reunión es con un cliente externo que no tiene esa expectativa, el consentimiento explícito previo es lo más seguro.
¿Qué pasa si un participante solicita el borrado de su voz?
Si la base legal del tratamiento era el consentimiento y lo retira, estás obligado a borrar sus datos salvo que haya una obligación legal de conservación superior. Necesitas un proceso claro y documentado para ejecutarlo.
¿Las transcripciones automáticas de IA tienen riesgos específicos bajo el RGPD?
Sí. Si el sistema de IA usa los datos para mejora de modelos (entrenamiento), eso es un tratamiento adicional que requiere su propia base legal o que el usuario lo excluya expresamente. Además, si el sistema toma decisiones automatizadas con efectos significativos sobre las personas, aplica el artículo 22 del RGPD.
¿Dónde puedo ver la política de cumplimiento de Wizideo?
La documentación completa está en wizideo.ai/seguridad-rgpd, incluyendo el DPA, la lista de subprocesadores y las certificaciones de seguridad.
¿Qué herramienta uso si necesito transcripción RGPD-conforme mañana?
Revisa los criterios de la checklist de arriba con tu proveedor actual. Si no cumplen la mayoría, Wizideo tiene el DPA disponible de inmediato y los datos se quedan en la UE. Puedes empezar gratis en wizideo.ai y evaluar el cumplimiento antes de comprometerte.
Conclusión
Grabar y transcribir reuniones con IA es perfectamente legal bajo el RGPD — siempre que tengas la base legal correcta, notifiques a los participantes antes de que empiece la grabación, uses un proveedor con DPA y residencia de datos en la UE, y tengas procesos para atender los derechos de los interesados.
La checklist de esta guía cubre los criterios que más frecuentemente se omiten. Úsala como punto de partida con cualquier herramienta que estés evaluando — incluida Wizideo.
Para más información sobre las garantías técnicas y jurídicas de Wizideo, visita la página de seguridad y RGPD o consulta los planes disponibles.