Guía AEPD abril 2026 para empresas que graban reuniones: lo que ha cambiado y qué tienes que hacer

Lo que ha cambiado

El 20 de abril de 2026, la Agencia Española de Protección de Datos (AEPD) publicó una guía específica sobre cumplimiento RGPD en herramientas de transcripción automatizada por inteligencia artificial. Es la segunda en cuatro meses — la primera fue en enero de 2026 — y la combinación de ambas marca una línea clara para cualquier empresa o profesional que use IA para transcribir reuniones, llamadas o cualquier otro audio con datos personales.

Si grabas reuniones con clientes, pacientes, asesores, candidatos o empleados, esta guía te afecta. No es opcional.

Por qué ahora

La adopción de herramientas tipo Otter, Fireflies, Fathom, Granola, Read.ai o Plaud ha explotado en los últimos 18 meses. La AEPD ve dos problemas en paralelo:

1. Adopción acrítica. La mayoría de profesionales y empresas que las usan no han hecho due diligence sobre dónde se procesa el dato, qué se entrena con él, ni cómo gestionan los derechos del resto de participantes en la grabación.
2. Producto diseñado en EEUU para mercado de EEUU. Los principales players están diseñados pensando en jurisdicciones con consent de una parte (California es la excepción). El modelo "auto-join bot con email opt-out 1h antes" no cumple los estándares europeos de consent específico e informado.

La guía no prohíbe estas herramientas. Aclara qué tiene que hacer la empresa o profesional que las usa para no incurrir en infracción.

Los cuatro requisitos, explicados

### 1. Consent específico por sesión

Qué dice la AEPD: el consent debe ser específico para cada sesión de grabación. Un aviso genérico al unirse al servicio ("al usar este producto aceptas que tus reuniones se graben") no constituye consent válido. Cada grabación es un acto distinto de tratamiento.

Qué significa en la práctica: - No basta con que tú, como host, hayas aceptado los términos del servicio. Tienes que confirmar que cada participante de cada reunión está de acuerdo con que esa reunión concreta se grabe. - El consent tiene que ser previo a la grabación, no posterior. Avisar "esta llamada se está grabando" cuando ya lleva 30 segundos en marcha es problemático. - El consent debe ser registrado. Si en algún momento se te pregunta "demuéstrame que el cliente X consintió a la grabación del 11 de marzo a las 16:00", tienes que poder enseñar la evidencia.

Cómo cumplirlo: - Procedimiento documentado antes de empezar cada reunión. Frase específica, no parafraseada: "esta reunión se va a grabar y transcribir con AudioMap. ¿Estás de acuerdo?". Registro de la respuesta. - Si usas auto-join bot: revisa que el flujo opt-out por email funcione, no dependa solo del email (¿qué pasa si el participante no abre el mail?), y se notifique al inicio de la sesión también. - Si usas captura intencional (subes el audio tú): pide consent explícito antes de empezar. AudioMap registra esto en audit log inmutable (IP + User Agent + versión + timestamp) cada vez que aceptas el modal.

### 2. Right of access también en grabaciones multi-speaker

Qué dice la AEPD: el derecho de acceso del Art. 15 RGPD aplica también cuando la grabación contiene a múltiples hablantes. No se puede negar el acceso a un sujeto bajo el argumento de proteger datos personales de los demás participantes.

Qué significa en la práctica: - Si un participante de una reunión te pide acceso a "sus datos" — y la grabación incluye más voces — no puedes negarte alegando que respetas la privacidad de los otros. - Tienes que entregar al menos la parte de la transcripción que le corresponde, o documentar por qué no es técnicamente posible. - También aplica a portabilidad (Art. 20), rectificación (Art. 16), borrado (Art. 17) y oposición (Art. 21).

Cómo cumplirlo: - Tu herramienta de transcripción debe soportar diarización (segregación por hablante) razonablemente buena. Sin diarización, el cumplimiento es casi imposible. - Procedimiento interno claro: cuando recibas un Data Subject Access Request, en menos de un mes (Art. 12.3 RGPD), entregar al sujeto su porción. - Si grabas reuniones con terceros que no son tus usuarios — clientes, candidatos, pacientes — necesitas un canal para que ELLOS te pidan acceso directamente sin tener que pasar por la herramienta. AudioMap está construyendo este endpoint público.

### 3. Due diligence del vendor

Qué dice la AEPD: el responsable del tratamiento (la empresa o profesional que graba) debe documentar la diligencia debida en la selección del proveedor de transcripción. Esto incluye: jurisdicción real del procesamiento, subprocessors, política de retención, política de entrenamiento de modelos.

Qué significa en la práctica: - "Tienen DPA" no es respuesta suficiente. Tienes que poder explicar qué dice el DPA, qué subprocessors usan, y qué pasa con tu audio en cada etapa. - "Están en EU-US Data Privacy Framework" tampoco es respuesta suficiente. El framework es válido a fecha de hoy pero NOYB está litigando para invalidarlo (es el tercer intento — los dos anteriores cayeron). Apoyar tu compliance en él es construir sobre arena. - Tienes que tener un Transfer Impact Assessment (TIA) por cada subprocessor en EEUU. La AEPD ha sancionado a empresas que tenían SCCs firmadas pero no TIA documentado.

Cómo cumplirlo: - Pide al vendor la lista pública de subprocessors. Si no la tiene o no la quiere dar, ya tienes la respuesta. - Pide la política de retención por escrito. "30 días" no es lo mismo que "indefinido para backup/legal". - Pide la política de entrenamiento. "No entrenamos con tu contenido" debe estar contractualmente en el DPA, no solo en marketing. - Considera proveedores europeos. AudioMap procesa el 100% en territorio EU (Hetzner DE + AssemblyAI EU + Vertex EU + R2 EU) y publica todo: [/legal/subprocessors](/legal/subprocessors), [/legal/data-residency](/legal/data-residency), [/legal/aepd-compliance](/legal/aepd-compliance).

### 4. Transcripción ≠ feature técnica

Qué dice la AEPD: la transcripción no es una mera utilidad técnica de bajo riesgo. Es procesamiento de datos personales con governance continuo, transparencia clara, y salvaguardas proactivas.

Qué significa en la práctica: - Necesitas DPIA (Data Protection Impact Assessment, Art. 35 RGPD) si el tratamiento es de alto riesgo. Grabación de reuniones con clientes/pacientes lo es: hay multi-speaker, hay datos sensibles potenciales, hay procesamiento automatizado con IA. - Necesitas registro de actividades de tratamiento (Art. 30 RGPD) que incluya la transcripción IA como actividad documentada. - Necesitas política de retención escrita y aplicada (no "retenemos lo que el vendor quiera"). - Necesitas workflow de notificación de violaciones (Art. 33 RGPD — 72 horas) que incluya el escenario "leak del vendor de transcripción".

Cómo cumplirlo: - DPIA: si no sabes hacerlo, busca un DPO externo. Los hay desde 80€/h. Una DPIA de transcripción IA bien hecha cabe en 4-6 páginas. - Registro de actividades: añade una entrada concreta "Transcripción automatizada de reuniones con clientes" con base legal, finalidad, categorías de datos, plazos. - Política de retención: documenta cuánto retienes tú y cuánto el vendor. AudioMap retiene 30 días tras cierre de cuenta y publica este compromiso en /privacy.

Lo que NO cambia

La guía AEPD no prohíbe la transcripción IA. No obliga a usar herramientas europeas. No anula los DPAs ya firmados. Lo que hace es subir el listón de qué se considera "uso conforme" en España.

Las empresas que ya tenían un programa de cumplimiento maduro (consent registrado, DPIA, DSR procedimentado, vendor management) están bien posicionadas para seguir como están. Las que asumieron que "tener DPA" era suficiente tienen trabajo que hacer.

Sanciones potenciales

La AEPD puede sancionar incumplimientos con multas de hasta el 4% de la facturación global anual o 20 millones de euros, lo que sea mayor (Art. 83 RGPD). En la práctica las sanciones a empresas medianas españolas por temas relacionados con transcripción/grabación oscilan entre 5.000 y 200.000 euros, dependiendo de la gravedad y la cooperación con el inspector.

Más relevante que la multa potencial es el coste reputacional y la interrupción operativa de una inspección AEPD. Si tu negocio depende de la confianza del cliente (asesoría fiscal, despacho de abogados, clínica), una inspección abierta es ya un problema antes de cualquier resolución.

Cómo cumple AudioMap

AudioMap mapea los cuatro requisitos punto por punto. La página [/legal/aepd-compliance](/legal/aepd-compliance) lo desglosa con detalle técnico. En resumen:

1. Consent específico: per-note consent + audit log inmutable + tipos segregados (Art. 7 y Art. 9 RGPD).
2. Multi-speaker access: dashboard de usuario + endpoint público para terceros en construcción + diarización por hablante.
3. Vendor due diligence: 100% procesamiento EU, sub-procesadores públicos, Whisper local fallback para eliminar dependencia cloud.
4. Governance continuo: DPIA en construcción, retención 30 días, workflow notificación 72h, sub-procesadores con notificación previa de cambios.

Próximo paso

Si llevas una asesoría, despacho, clínica o consultora en España y todavía no has revisado tu compliance de transcripción IA contra esta guía, te recomiendo:

1. Auditoría rápida (2 horas): lista de herramientas IA que usas, dónde procesan, qué consent obtienes.
2. Quick wins (1 semana): registro de consent por reunión, política escrita en intranet, lista de DPAs firmados.
3. Trabajo de fondo (1 mes): DPIA, TIA, procedimiento DSR.
4. Vendor switch si aplica (siguientes 3 meses): si tu herramienta actual procesa en EEUU y manejas datos sensibles, evaluar alternativa europea.

Si AudioMap encaja en tu caso, [prueba gratis](/dashboard) o [habla con nosotros](mailto:[email protected]). Firmamos DPA conforme al Art. 28 RGPD el mismo día.

---

Fuentes: - Guía AEPD sobre transcripción automatizada de voz, 20 abril 2026. - Reglamento General de Protección de Datos (RGPD), Art. 6, 7, 9, 12-22, 28, 30, 33-34, 35, 83. - Sentencia Schrems II, TJUE C-311/18, 16 julio 2020. - Resolución AEPD PS-00121/2023.