Por qué los abogados europeos no deberían procesar conversaciones de clientes en servidores estadounidenses

El problema que nadie quiere mirar

Si eres abogado en España, Francia o Alemania y usas Otter, Plaud, Limitless, Granola, Fireflies o Fathom para transcribir reuniones con clientes, hay una conversación que probablemente no has tenido con tu DPO: los seis competidores procesan en Estados Unidos.

No es marketing. Es lo que dicen sus DPAs y sus subprocessor pages.

Lo que ha cambiado en abril de 2026: la guía AEPD sobre transcripción IA

El 20 de abril de 2026, la Agencia Española de Protección de Datos publicó una guía específica sobre cumplimiento RGPD en herramientas de transcripción automatizada por IA. Resumido, exige cuatro cosas:

1. Consent específico por sesión. Un aviso genérico al unirse al servicio no constituye consent válido. Cada grabación necesita aceptación explícita.
2. Right of access aplicable también en multi-speaker. No se puede denegar acceso a un sujeto bajo el argumento de proteger datos de terceros en el mismo audio.
3. Due diligence obligatoria del vendor. El responsable (= la empresa o profesional que graba) debe documentar que el proveedor de transcripción ofrece información clara sobre procesamientos adicionales, y dónde reside físicamente el dato.
4. Transcripción ≠ feature técnica. Es procesamiento de datos personales con governance continuo, no una utilidad técnica de bajo riesgo.

Esto cambia el juego para España. Los meeting bots americanos pasaron de "zona gris" a "due diligence falla" en una sola publicación oficial.

Por qué importa: Schrems II sigue vigente

En julio de 2020, el TJUE invalidó el Privacy Shield UE-EE.UU. (sentencia C-311/18). Desde entonces, transferir datos personales europeos a EE.UU. requiere:

• Cláusulas contractuales tipo (SCCs) firmadas con el proveedor.
• Análisis de impacto de transferencia (TIA) documentando los riesgos.
• Medidas técnicas adicionales (cifrado end-to-end, pseudonimización) cuando aplique.

El EU-US Data Privacy Framework (la sucesora del Privacy Shield, en vigor desde 2023) es un mecanismo válido pero frágil: NOYB y otros están litigando para invalidarlo, igual que se invalidaron las dos versiones anteriores. Apoyar tu compliance en él es construir sobre arena.

La AEPD ya ha sancionado a empresas españolas por transferir datos a US sin estos requisitos (Resolución PS-00121/2023).

Para un bufete, el contenido de una reunión con un cliente es información cubierta por secreto profesional (art. 542 LOPJ). Procesarla en jurisdicción extranjera sin las salvaguardas de Schrems II es un riesgo doble: regulatorio y deontológico.

Lo que hacen los competidores (mayo 2026)

Tener DPA es necesario, pero no suficiente. La pregunta es dónde reside físicamente el dato durante el procesamiento. Y la respuesta de los ocho es: en territorio estadounidense.

Las demandas activas no son anecdóticas. Otter y Fireflies siguen operando — el riesgo no es existencial — pero el coste reputacional y de defensa legal se traslada a quien los usa para grabar reuniones con clientes en jurisdicción europea.

Cómo lo hace AudioMap

AudioMap está diseñado al revés: EU-first por arquitectura, no por configuración.

• Almacenamiento: Cloudflare R2 con jurisdicción EU explícita (no la global, que enruta a US).
• Transcripción: AssemblyAI a través de su endpoint europeo (`api.eu.assemblyai.com`).
• Whisper local fallback: sidecar self-hosted en Hetzner DE (faster-whisper large-v3-turbo) — ningún byte sale de Alemania si AssemblyAI no responde.
• Modelos de lenguaje: Google Vertex AI en `europe-west1` (Países Bajos).
• Workers y base de datos: servidor dedicado Hetzner en Alemania (Falkenstein).
• Sentry: región EU.

[Lista pública de subprocessors](/legal/subprocessors) · [Política de soberanía de datos](/legal/data-residency) · [Cumplimiento AEPD abril 2026](/legal/aepd-compliance).

Cómo cumplimos los 4 requisitos AEPD

1. Consent específico por sesión: cada nota o grabación pide consent explícito antes de subir. Audit log inmutable con IP + User Agent + versión del texto legal + timestamp en base de datos. Tipos de consent segregados (audio_storage, processing, marketing, third_party_sharing, biometric_data, recording_party_acknowledgement) según Art. 7 y Art. 9 RGPD.
2. Right of access multi-speaker: el usuario puede acceder, exportar y borrar sus notas. Estamos construyendo el endpoint público para que terceros no-usuarios (un participante grabado sin cuenta) puedan solicitar borrado directamente, sin tener que ir a través del host.
3. Due diligence vendor: documentación pública de cada sub-procesador con su jurisdicción real. Vertex EU + AssemblyAI EU + R2 EU + Hetzner DE. Whisper local elimina dependencia cloud por completo si lo necesitas.
4. Transcripción = procesamiento: política explícita "no entrenamos modelos con tu contenido", retención de 30 días tras cierre de cuenta, base legal documentada (contrato + consent + interés legítimo según operación).

Lo que NO hacemos

No tenemos un bot que se une a la videollamada para grabarla. No prometemos "grabación silenciosa" como propuesta de valor. No procesamos voces en EE.UU. y luego decimos que "respetamos GDPR". No usamos OAuth de Google Calendar para auto-unirnos a tus meetings.

Si esto te suena

Si llevas un bufete, una clínica o una asesoría fiscal en España y necesitas transcripción + análisis IA de reuniones con clientes sin riesgo de transferencia internacional, prueba AudioMap. La primera hora es gratis, sin tarjeta. Y si decides usarlo en producción, firmamos DPA con la cláusula 28 RGPD estándar.

[Empieza gratis](/dashboard) · [Habla con nosotros](mailto:contacto@audiomap.ai)

---

Fuentes citadas: - Guía AEPD sobre transcripción automatizada de voz, 20 de abril de 2026. - Sentencia Schrems II — TJUE C-311/18 (16 julio 2020). - Resolución AEPD PS-00121/2023 (transferencias internacionales sin SCC). - Art. 542 LOPJ — secreto profesional abogado. - RGPD Art. 6, 7, 9, 12-22, 28, 33-34, 35.