Por qué tus datos en Supernormal viajan a Estados Unidos (y qué dice la AEPD al respecto)

El pivote de Supernormal y el problema que arrastra

En 2026, Supernormal dejó de venderse como "AI meeting notetaker" y se reposicionó como "AI agent for agencies — turn meetings into completed client work in a flash". El producto genera ahora slides, documentos, emails y agendas a partir del contexto de tus reuniones. Su sitio claims 700.000+ organizaciones lo usan, con logos de BBDO, Pinterest y Snap visibles en la home.

Es un pivote interesante de producto. Pero hay una pregunta que no se contesta en ninguna de sus páginas, y que un DPO debería hacer antes de pulsar "Get started":

¿Dónde se aloja físicamente tu audio, tu transcripción y tus deliverables generados?

La respuesta corta está en su propia página /security: "Supernormal uses Amazon Web Services for secure and available hosting for our software environments". Sin mención de región. Sin mención de "EU residency". Sin mención de "Frankfurt" o "Dublin" o cualquier topónimo europeo. Supernormal Technologies, Inc. es una sociedad de Delaware. La asunción razonable por defecto es us-east-1 o us-west-2 — los centros de datos AWS más utilizados desde EE.UU.

Si llevas datos personales de clientes europeos a infraestructura cuyo controller efectivo está sujeto al CLOUD Act estadounidense, tienes un problema bajo el RGPD. Y desde el 20 de abril de 2026, la AEPD ha endurecido formalmente cómo se evalúa ese problema.

Lo que dice la guía AEPD de abril de 2026

El [20 de abril de 2026](https://www.insideprivacy.com/artificial-intelligence/spains-supervisory-authority-issues-new-guidance-on-ai-based-voice-transcription/), la Agencia Española de Protección de Datos publicó una guía específica sobre cumplimiento RGPD en herramientas de transcripción automatizada por IA. Cuatro requisitos a destacar:

1. Consent específico por sesión. Un aviso genérico al unirse al servicio no constituye consent válido. Cada grabación necesita aceptación explícita verificable.
2. Right of access aplicable también en multi-speaker. No puede denegarse el acceso a un sujeto alegando protección de datos de terceros que aparecen en la misma grabación.
3. Due diligence obligatoria del vendor. El responsable del tratamiento (= tú, la empresa o profesional que graba) debe documentar que el proveedor de transcripción ofrece información clara sobre procesamientos adicionales y dónde reside físicamente el dato.
4. Transcripción ≠ feature técnica. Es procesamiento de datos personales con governance continuo, no una utilidad técnica de bajo riesgo.

Punto 3 es el que pega de lleno a Supernormal. La página /security de Supernormal habla de "AWS data centers" en abstracto, "encryption at rest with AES-256", "TLS 1.2+" y "GDPR compliance reviews". No documenta región física. Eso significa que tu documentación interna como responsable del tratamiento queda incompleta, y queda en tu patrimonio el riesgo de sanción si la AEPD audita.

Schrems II sigue vigente

La sentencia Schrems II (TJUE, 16 julio 2020) invalidó el Privacy Shield UE-EEUU. El Data Privacy Framework de julio de 2023 reabrió un canal con condiciones, pero la propia AEPD ha advertido reiteradamente que el responsable europeo no se libera de su due diligence por el simple hecho de que el proveedor invoque el DPF.

En la práctica esto significa: cuando un sub-procesador americano accede a tus datos personales europeos — y AWS sí accede legalmente cuando es solicitado por orden judicial estadounidense bajo CLOUD Act / FISA 702 — tienes que tener:

• Evaluación de impacto en la transferencia (TIA).
• Cláusulas contractuales tipo (SCCs).
• Medidas suplementarias (encryption keys controladas por el europeo, pseudonimización, etc.).

Supernormal no publica TIA. No publica DPIA. No publica su lista de sub-procesadores detallada. Si un cliente le pide estos documentos, le tocará a tu asesoría legal arrancarlos en negociaciones de DPA. Y mientras tanto, tu decisión de procesar audios de cliente con Supernormal ya está siendo grabada en tu propia transcripción interna como "decisión tomada sin TIA documentado". Eso, en una auditoría, no es bueno.

¿Es Supernormal "GDPR compliant"?

Su /security dice "Supernormal continues to provide a GDPR compliant experience" y muestra el logo GDPR. Bien.

Pero "GDPR compliant" en USA es lo mismo que "cumplo la ley en mi país de origen". No es lo mismo que "tus datos no son accesibles bajo CLOUD Act". El primer concepto es defendible por Supernormal; el segundo, no, mientras corran en AWS US.

Para una agencia o profesional español/europeo regulado — fiscal, legal, médico, financiero, educación, sanidad, sector público — la diferencia entre "GDPR compliant" (claim del proveedor) y "datos físicamente fuera de jurisdicción extra-UE" (garantía verificable) es la diferencia entre un DPO contento y un DPO inquieto. La AEPD ha aprendido a distinguir entre las dos.

¿Por qué Supernormal no muestra región AWS?

Hay tres explicaciones plausibles:

1. No tienen región EU desplegada. Su producto corre por defecto en us-east-1 o us-west-2 y migrar requiere meses de trabajo.
2. Tienen multi-región pero la asignación a EU no es default. Solo se activa en planes Enterprise con SLA negociado, sin transparencia pública.
3. Decisión deliberada de no comprometerse públicamente. Cualquier compromiso público con "EU residency" es revisable y crea expectativas que pueden incumplir.

Cualquiera de las tres es problemática para un DPO europeo en 2026. La opción 1 invalida directamente la due diligence AEPD. La 2 te obliga a un enterprise contract con coste considerable y aún así no es público. La 3 deja el compromiso fuera del contrato, donde los abogados no pueden agarrarse a él.

La alternativa europea: por qué AudioMap es distinto

AudioMap se construyó con la decisión opuesta desde el primer commit. Cada pieza del stack tiene jurisdicción europea documentada:

• Base de datos: PostgreSQL en servidor dedicado Hetzner DE (Falkenstein, Alemania).
• Transcripción cloud: AssemblyAI EU endpoint (Dublín, Irlanda) — explícitamente regional, no global.
• Transcripción on-premise: Whisper local en el mismo Hetzner DE como fallback (modelo `large-v3-turbo`, sin llamadas externas).
• LLM: Vertex AI region europe-west1 (Bélgica) con Gemini.
• Almacenamiento de audio: Cloudflare R2 bucket configurado en jurisdicción EU.
• Embeddings: bge-m3 ejecutado en infraestructura propia (no OpenAI USA).
• Monitoring: Sentry self-hosted en Codelabs Studio (Hetzner DE).

Todo eso está publicado en `/legal/subprocessors`, `/legal/data-residency`, `/legal/dpia`, `/legal/tia` y `/legal/aepd-compliance`. No es marketing. Son páginas vivas con sub-procesadores nombrados y jurisdicciones específicas. Tu DPO puede pasarlas directamente a tu DPIA interno.

Lo que esto significa en términos prácticos

Si eres una agencia europea, un asesor fiscal, un bufete, una clínica o cualquier profesional con clientes regulados, la elección entre Supernormal y AudioMap no es una elección de features. Las features son comparables — y la capa de generación de entregables (emails, docs, slides desde la nota) está llegando a AudioMap como release S1.

La elección es: ¿dónde quieres que vivan los datos de tu cliente cuando el examinador de la AEPD te pida la documentación?

Si tu respuesta es "en Europa, con jurisdicción verificable y due diligence documentada", AudioMap es la única respuesta del mercado en 2026. Si tu respuesta es "donde sea, mientras la UI esté chula", Supernormal está a un click.

Pero la AEPD ya ha demostrado en 2024-2025 que prefiere clientes con la primera respuesta. Y desde abril de 2026, la guía está formalmente publicada para que la cites en tu documentación.

Próximos pasos

Si has llegado hasta aquí y trabajas con datos de cliente europeos, te recomiendo:

1. Pide la sub-processor list y región AWS por escrito a Supernormal antes de seguir usándolo. Si la respuesta tarda más de 5 días o es ambigua, ya tienes señal.
2. Documenta en tu registro de actividades de tratamiento qué herramienta usas, dónde residen los datos, qué TIA tienes. Si está en blanco para tu transcripción, tienes un gap.
3. Compara contra alternativas europeas verificables ([/vs/supernormal](/es/vs/supernormal) tiene la tabla feature-by-feature).
4. Lee la guía AEPD de abril 2026 completa. Son 30 páginas. Te ahorran 30 años de sanciones.

Y si después de todo esto decides quedarte con Supernormal, al menos ya tendrás la documentación que tu DPO necesita el día de la auditoría. Que es más de lo que tienen el 90% de los responsables que decidieron sin leer la /security de su proveedor.