La transcripción automática de reuniones mediante inteligencia artificial se ha convertido en una funcionalidad estándar en plataformas como Microsoft Teams, Zoom o Google Meet. Su adopción ha sido rápida y, en muchos casos, acrítica. El problema es que detrás de un clic en «grabar» hay un tratamiento de datos personales que activa obligaciones concretas del RGPD.

La voz como dato personal y, en algunos casos, biométrico

La Agencia Española de Protección de Datos (AEPD) publicó en enero de 2026 su posición sobre la transcripción de voz con IA, en la que aclara que la voz constituye un dato personal en la medida en que permite identificar directa o indirectamente a una persona. Y aún va más allá, añadiendo que, en determinados contextos de procesamiento, puede adquirir la consideración de dato biométrico, lo que activa el artículo 9 del RGPD y las garantías reforzadas que conlleva.

Además de la propia voz, estos sistemas tratan de forma simultánea metadatos como direcciones IP, identificadores de usuario, horarios de conexión o información contextual de la conversación. Todo ello forma parte del tratamiento.

«La voz no viaja sola, va acompañada de metadatos que también son datos personales y que quedan sometidos al RGPD con independencia de la finalidad declarada de la herramienta.»

Fuente: AEPD, «Transcripción de voz con IA: implicaciones para la protección de datos». Enero 2026

Dos tratamientos que las organizaciones confunden en uno

Uno de los puntos que más organizaciones pasan por alto es que el uso de un transcriptor automático puede implicar, en realidad, dos tratamientos de datos con finalidades distintas y bases jurídicas independientes: la transcripción propiamente dicha y el posible uso de las grabaciones para reentrenar o ajustar el modelo de IA por parte del proveedor. Cuando el proveedor utiliza los datos para sus propios fines, asume el rol de responsable del tratamiento, no de encargado, lo que modifica radicalmente el esquema de responsabilidad.

Base jurídica y sector público vs. sector privado

En el ámbito privado, el tratamiento requiere con carácter general el consentimiento expreso de los participantes, salvo que pueda fundamentarse en interés legítimo debidamente ponderado. En el sector público, la base habitual será el interés público o el ejercicio de poderes públicos, siempre que resulte necesario y proporcional. Ninguno de los dos sectores está exento de cumplir con los principios de transparencia, minimización y limitación de finalidad.

infografía

Transcripción de reuniones con IA:
mapa de riesgos legales

La voz es un dato personal

Permite identificar directa o indirectamente a una persona. En función del contexto de procesamiento puede adquirir la categoría de dato biométrico, activando las garantías reforzadas del art. 9 RGPD.

▲ Riesgo elevado si se analiza emoción o salud

Dos tratamientos que coexisten (y no son lo mismo)

01
Transcripción

Conversión de voz a texto para actas, resúmenes o registros internos. Finalidad declarada y gestionada por la organización.

02
Reentrenamiento del modelo

Uso de las grabaciones por el proveedor para ajustar o mejorar su IA. El proveedor pasa a ser responsable, no encargado.

Base jurídica del tratamiento

Sector privado

Consentimiento expreso de los participantes, o interés legítimo debidamente ponderado y documentado.

Sector público

Interés público o ejercicio de poderes públicos. Debe acreditarse necesidad y proporcionalidad.

Principales riesgos identificados

Pérdida de confidencialidad del contenido de la reunión

Transferencias internacionales sin garantías (CLOUD Act, FISA §702)

Acceso de terceros a la voz durante el reentrenamiento supervisado

Exposición de datos sensibles (salud, ideología, situación personal)

Errores de transcripción con atribuciones incorrectas a personas

Accesos no autorizados a grabaciones almacenadas sin cifrado

Checklist de cumplimiento proactivo

1

Auditar las condiciones del proveedor: política de privacidad, usos adicionales, localización de servidores y plazos de conservación.

2

Informar antes de grabar: finalidad, existencia de tratamientos adicionales, acceso de terceros y cómo ejercer derechos de rectificación y supresión.

3

Obtener consentimiento expreso en el sector privado o documentar la ponderación del interés legítimo.

4

Realizar EIPD cuando el tratamiento pueda entrañar alto riesgo, especialmente si se analizan emociones u otros rasgos personales.

5

Formalizar el contrato con el proveedor conforme al art. 28 RGPD, incluyendo garantías de confidencialidad y prohibición de usos no autorizados.

6

Aplicar minimización: no grabar más de lo necesario. Evaluar si la herramienta puede operar con voz sintética o anonimizada.

Fuentes: AEPD (ene. 2026) · Augusta Abogados (mar. 2026) · RGPD arts. 6, 9, 28 Leer análisis completo →

Las sanciones están llegando

La actividad sancionadora relacionada con el uso de IA y datos personales en España ha sido limitada hasta ahora, pero los expertos advierten que 2026 puede marcar un punto de inflexión. La coexistencia entre la AEPD y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) aún está definiendo sus competencias, pero en lo que respecta al RGPD, las sanciones pueden alcanzar hasta 20 millones de euros o el 4% de la facturación anual global para las infracciones más graves.

Más allá de la sanción económica, el riesgo reputacional es tangible, ya que una brecha de datos que exponga el contenido de reuniones estratégicas o negociaciones internas tiene consecuencias que ningún DPA puede cuantificar.