Guía oficial AEPD · 20 abril 2026

Cómo cumplir la guía AEPD sobre transcripción IA de voz sin perder productividad

El 20 de abril de 2026, la Agencia Española de Protección de Datos publicó cuatro requisitos clave para empresas y profesionales que usan IA para transcribir conversaciones. Esta página los explica y te enseña cómo cumplirlos.

Probar AudioMap gratis Ver mapeo completo AEPD

Los 4 requisitos AEPD

Consent específico por sesión

Un aviso genérico al unirse al servicio no es consent válido. Cada grabación requiere aceptación explícita y registrada.

Right of access multi-speaker

Cualquier participante grabado puede exigir acceso a sus datos, incluso si la grabación contiene a más personas. No vale "protejo al resto".

Due diligence del vendor

Tienes que documentar dónde se procesa el dato, qué sub-procesadores intervienen, y qué procesamientos adicionales realizan.

Transcripción = procesamiento de datos personales

No es feature técnica. Necesitas base legal documentada, DPIA si es alto riesgo, retención escrita, y workflow de notificación de violaciones.

¿Por qué esta guía importa para tu empresa?

Si grabas reuniones con clientes, pacientes, asesores, candidatos o empleados, esta guía te afecta. No es opcional. La AEPD ha sido explícita: la transcripción IA no es una utilidad técnica de bajo riesgo, sino procesamiento de datos personales bajo todas las obligaciones del RGPD.

Las sanciones potenciales pueden llegar al 4% de la facturación global anual o 20M€ (Art. 83 RGPD). En la práctica, lo más grave no es la multa sino la inspección abierta: si tu negocio depende de la confianza del cliente (bufete, clínica, asesoría), una inspección sin resolución ya es un problema.

La buena noticia: cumplir es factible. Con consent registrado, vendor europeo o vendor US con TIA documentado, DPIA correcta y procedimiento DSR, cualquier empresa puede operar sin riesgo regulatorio.

Cómo AudioMap te ayuda a cumplir

Consent específico por nota con audit log inmutable (IP + User Agent + versión + timestamp).
Procesamiento 100% en Europa: Hetzner DE + AssemblyAI EU + Vertex EU + Cloudflare R2 EU.
Whisper local fallback en nuestro propio servidor alemán — cero dependencia US si el cloud falla.
Diarización por hablante para gestionar DSAR multi-speaker.
Tipos de consent segregados (audio_storage, processing, biometric_data, recording_party_acknowledgement) según Art. 7 y Art. 9.
Endpoint público para que terceros no-usuarios ejerzan sus derechos directamente.
DPA conforme al Art. 28 RGPD firmado el mismo día.

¿Cómo se compara AudioMap con Fireflies, Otter, Granola y Plaud? Te lo enseñamos sin esconder nada en /legal/comparison.

Preguntas frecuentes

¿Tener un DPA firmado con mi proveedor es suficiente?

No. La AEPD aclara que tener DPA es necesario pero no suficiente. También necesitas Transfer Impact Assessment si el proveedor procesa fuera de la UE, política de retención escrita, política de entrenamiento de modelos contractual, y documentación de due diligence.

¿Vale el aviso "esta llamada se está grabando" al inicio de la reunión?

Sí como mínimo. Pero la AEPD recomienda algo más: registro de quién consintió, cuándo, con qué texto, en qué versión legal. AudioMap lo registra automáticamente.

Si un participante de la reunión me pide borrado, ¿qué hago?

Tienes 30 días para responder (Art. 12.3 RGPD). Si la grabación es procedente de borrar, tienes que hacerlo. Si la otra parte tiene derecho a conservarla (legítimo interés, obligación legal), tienes que justificarlo por escrito.

¿Necesito DPIA siempre?

Si grabas datos sensibles a escala (clientes con secreto profesional, pacientes, menores, datos fiscales), sí. La AEPD lo considera tratamiento de alto riesgo Art. 35 RGPD.

¿AudioMap firma DPA?

Sí, en el mismo día y conforme al Art. 28 RGPD. Escríbenos a [email protected].

Empieza ahora

Prueba AudioMap gratis (primera hora sin tarjeta). Para B2B con DPA + auditoría conjunta, contáctanos.

Empezar gratis Hablar con nosotros

Fuentes

Guía AEPD sobre transcripción automatizada de voz (20 abril 2026)
Reglamento General de Protección de Datos (RGPD)
Sentencia Schrems II, TJUE C-311/18 (16 julio 2020)
Resolución AEPD PS-00121/2023