Cumplimiento AEPD

La AEPD ha aclarado cuatro puntos clave que afectan a cualquier empresa o profesional que use herramientas de transcripción IA para grabar conversaciones con terceros (clientes, pacientes, asesores, empleados):

1. Consent específico por sesión. Un aviso genérico al unirse al servicio no constituye consent válido.
2. Right of access en grabaciones multi-speaker. No se puede negar acceso a un sujeto bajo el argumento de proteger datos de terceros en el mismo audio.
3. Due diligence obligatoria del vendor. El responsable debe documentar la jurisdicción real del procesamiento.
4. Transcripción ≠ feature técnica. Es procesamiento de datos personales con governance continuo.

AudioMap está construido para cumplir estos cuatro requisitos por diseño, no por configuración.

• Consent por nota, no global. Cada nota subida o grabada requiere aceptación explícita de los tipos relevantes antes de procesar.
• Audit log inmutable en base de datos PostgreSQL: cada aceptación queda registrada con IP, User Agent, versión del texto legal y timestamp. La versión actual del texto es 2.0.
• Tipos de consent segregados según RGPD Art. 7 y Art. 9: audio_storage, processing, marketing, third_party_sharing, biometric_data, recording_party_acknowledgement.
• Consent biométrico opt-in, default false. Si no se otorga, el worker omite la inferencia de atributos del hablante incluso si el provider está configurado para extraerlos.
• Modal de acknowledgment de legalidad en flujos de grabación viva: el usuario confirma que tiene consent del resto de participantes antes de empezar.
• Revocación trackeada: cuando un usuario revoca un consent, se inserta una fila con revokedAt set en lugar de modificar el original. Se preserva la línea temporal completa para auditoría legal.

• Acceso completo del usuario a sus notas, transcripciones, metadatos y diarización a través del dashboard.
• Endpoint público de solicitud de borrado para terceros no-usuarios (en construcción, deadline mayo 2026): un participante grabado que no tiene cuenta podrá solicitar borrado directamente sin tener que ir a través del host.
• Borrado de biometría individual ya operativo: DELETE /me/biometric-data purga todas las huellas biométricas del usuario.
• Export portable (RGPD Art. 20) en roadmap Q3 2026: ZIP con todas las notas + transcripciones + metadatos en formato JSON.
• Diarización con speakers identificados: facilita la segregación por hablante en caso de Data Subject Access Request.

Toda nuestra cadena de procesamiento está en territorio europeo bajo nuestro control directo o de subprocessors europeos:

• Almacenamiento: Cloudflare R2 con jurisdicción EU explícita (no la jurisdicción global).
• Base de datos y workers: servidor dedicado Hetzner en Alemania (Falkenstein).
• Transcripción primaria: AssemblyAI vía endpoint europeo (api.eu.assemblyai.com).
• Transcripción fallback: Whisper local (faster-whisper large-v3-turbo) ejecutándose en nuestro servidor Hetzner DE. Si AssemblyAI no responde, ningún byte sale de Alemania.
• Modelos de lenguaje: Google Vertex AI en europe-west1 (Países Bajos).
• Monitorización: Sentry en región EU.

Publicamos la lista completa de subprocessors y nuestra política de soberanía de datos. Para clientes B2B con DPA firmado podemos auditar conjuntamente las trazas de red de un job concreto.

• Base legal documentada: contrato con el usuario (Art. 6.1.b RGPD) + consent explícito por nota (Art. 7) + interés legítimo donde aplique. Para datos biométricos, consent específico Art. 9.
• No entrenamos modelos con tu contenido. Contractualmente prohibimos a nuestros proveedores hacerlo.
• Encriptación: TLS in-transit, encriptación at-rest en R2 y volúmenes Hetzner.
• Retención: 30 días tras el cierre de cuenta para todos los datos. Los logs operacionales se purgan según política documentada.
• DPIA pública (en construcción para Q3 2026): análisis de impacto sobre protección de datos para el procesamiento de alto riesgo (biométricos, multi-speaker).
• Workflow de notificación de violaciones de seguridad (Art. 33 RGPD — 72 horas): documentado internamente, expondremos política pública próximamente.
• Sub-procesadores con notificación previa de cambios: notificamos a clientes B2B con DPA firmado al menos 30 días antes de añadir o cambiar un sub-procesador.

A 11 de mayo de 2026, ninguno de los principales meeting bots y herramientas de transcripción procesa en jurisdicción europea con la arquitectura completa:

• Fireflies — procesa en EEUU, 2 demandas Illinois activas por BIPA (biométrico).
• Otter — procesa en EEUU (AWS), 4 demandas federales California activas por wiretapping.
• Fathom — procesa en EEUU.
• Read.ai — procesa en EEUU, incluye analytics emocional (riesgo adicional Art. 22 RGPD decisiones automatizadas).
• tl;dv — tiene opción DE pero el procesamiento default es US.
• Granola — captura local pero procesamiento cloud US.
• Plaud / Limitless — hardware con procesamiento cloud US.

Todos ellos pueden firmar DPA y todos ellos están adheridos al EU-US Data Privacy Framework. Eso no es suficiente para cumplir el requisito de due diligence de la AEPD cuando lo que se graba son conversaciones con clientes en jurisdicción europea bajo secreto profesional o categorías especiales de datos.

Si eres responsable del tratamiento (RGPD Art. 4.7) y necesitas documentación adicional, DPA, TIA o auditoría conjunta, escribe a [email protected]. Respondemos en menos de 72 horas.