La transcripción automática de voz mediante inteligencia artificial puede ser muy útil para elaborar actas de reuniones, documentar llamadas, mejorar la atención al cliente o ahorrar tiempo en tareas administrativas. Sin embargo, desde el punto de vista de protección de datos no debe tratarse como una mera herramienta técnica. Cuando una organización graba, capta o transcribe la voz de personas físicas, normalmente está realizando un tratamiento de datos personales sujeto al RGPD.

La AEPD recuerda que la voz puede identificar o hacer identificable a una persona, por sí sola o combinada con otros elementos del contexto. Además, estos servicios no solo tratan la voz: también pueden implicar el tratamiento del contenido de la conversación, metadatos como número de teléfono, dirección IP, cookies, información del dispositivo, fecha, hora, participantes o datos derivados del uso de la aplicación. Todo ello debe analizarse dentro del cumplimiento del RGPD.

1. No todo es “transcribir”: pueden existir varios tratamientos

Al utilizar una herramienta de transcripción con IA pueden existir, al menos, dos tratamientos distintos:

Primero, la transcripción propiamente dicha, por ejemplo, convertir una reunión, entrevista o llamada en texto.

Segundo, el posible uso de esas grabaciones, voces o transcripciones para mejorar, entrenar, ajustar o reentrenar el sistema de IA. Este segundo tratamiento no debe darse por supuesto ni quedar oculto en las condiciones del proveedor. Tiene una finalidad distinta, puede tener otra base jurídica y puede implicar riesgos adicionales, como que terceros escuchen fragmentos de audio para validar o corregir el modelo.

Por ello, antes de contratar o activar una herramienta de este tipo, la organización debe comprobar si el proveedor utiliza los datos para fines propios, si hay reentrenamiento, si existe revisión humana, dónde se alojan los datos, durante cuánto tiempo se conservan y qué subencargados intervienen.

2. La organización usuaria suele ser responsable del tratamiento

Cuando una empresa decide usar un sistema de transcripción de voz con IA en sus procesos, normalmente actúa como responsable del tratamiento, porque decide para qué y cómo se utilizará la herramienta. Esto aplica tanto si la herramienta es propia como si se contrata a un proveedor externo. 

El proveedor podrá actuar como encargado del tratamiento si trata los datos siguiendo instrucciones de la empresa. En ese caso, debe existir un contrato conforme al artículo 28 del RGPD, con garantías suficientes sobre confidencialidad, seguridad, conservación, ubicación de datos, subencargados, asistencia en el ejercicio de derechos y devolución o supresión de la información.

Ahora bien, si el proveedor usa las voces o transcripciones para sus propios fines, por ejemplo, para entrenar sus modelos, puede pasar a actuar como responsable independiente respecto de ese tratamiento. Esto exige analizar separadamente la base jurídica, la información facilitada a los afectados y las garantías aplicables.

3. La elección de la herramienta exige diligencia previa y continua

No basta con elegir una herramienta porque sea cómoda, conocida o integrada en una plataforma corporativa. La AEPD subraya que responsable y encargado deben actuar con diligencia al seleccionar productos, servicios y aplicaciones de IA, evaluando los riesgos asociados y verificando que el proveedor ofrece garantías adecuadas. Esta diligencia debe mantenerse durante todo el ciclo de vida del tratamiento, no solo en la contratación inicial.

Antes de implantar el sistema conviene revisar, como mínimo:

Finalidad: Para qué se graba o transcribe y si existen usos adicionales.

Base jurídica: Consentimiento, contrato, interés legítimo u otra base aplicable.

Proveedor: Rol RGPD, garantías, subencargados, ubicación y transferencias.

Reentrenamiento: Si los datos se usan para mejorar modelos y bajo qué condiciones.

Seguridad: Cifrado, control de accesos, confidencialidad y trazabilidad.

Conservación: Plazos diferenciados para audio, transcripción y metadatos.

Derechos: Cómo se atenderán acceso, rectificación, supresión y oposición.

Transparencia: Cómo se informará antes y durante la grabación o transcripción.

4. Cuidado con categorías especiales, emociones y biometría

Algunos sistemas de IA no se limitan a transcribir, sino que analizan tono, emociones, sentimientos, intención, estado de salud, comportamiento o rasgos biométricos. Estos tratamientos elevan notablemente el riesgo.

La AEPD advierte que los servicios que incluyan detección de emociones o inferencia de categorías especiales de datos están sometidos a un régimen especialmente estricto e incluso pueden entrar en supuestos problemáticos o prohibidos por el Reglamento Europeo de Inteligencia Artificial. 

La recomendación práctica es clara: no activar funcionalidades adicionales —análisis emocional, scoring, biometría, identificación de hablantes, inferencias sensibles— sin una evaluación jurídica y técnica específica.

5. Base jurídica: no siempre vale el consentimiento

La base jurídica dependerá del contexto. En algunos casos podrá ser la ejecución de un contrato; en otros, el interés legítimo debidamente ponderado; en otros, el consentimiento; y en contextos específicos, una obligación legal o una misión de interés público.

Si se usa el consentimiento, debe ser libre, específico, informado e inequívoco. No puede estar premarcado ni deducirse automáticamente del mero uso de la herramienta. Además, debe poder retirarse con la misma facilidad con la que se otorgó y sin perjuicio para la persona. La AEPD recuerda que el consentimiento puede estar condicionado en relaciones de desequilibrio, como el ámbito laboral o determinados trámites con Administraciones Públicas.

Si se usa el interés legítimo, debe realizarse una ponderación documentada que demuestre que el interés de la organización no prevalece indebidamente sobre los derechos y libertades de las personas afectadas.

6. Transparencia reforzada: informar antes y durante

Las personas afectadas deben saber, antes de iniciarse la grabación o transcripción, que su voz será tratada, con qué finalidad, quién es el responsable, qué herramienta se utiliza, si intervienen terceros, si habrá tratamientos adicionales, durante cuánto tiempo se conservarán los datos y cómo pueden ejercer sus derechos.

En estos tratamientos, la transparencia no debería limitarse a un aviso inicial. La AEPD recomienda que los interesados sean conscientes de que el tratamiento se está produciendo mientras dura la sesión, mediante indicadores visibles o perceptibles: aviso en pantalla, señal luminosa, tono periódico u otro mecanismo equivalente.

Además, el consentimiento para grabar o transcribir una sesión concreta no debe entenderse como autorización indefinida para futuras sesiones. Al finalizar la reunión o llamada, debe cesar automáticamente la grabación o transcripción.

7. Exactitud: una mala transcripción puede tener efectos jurídicos

La transcripción generada por IA no es un texto neutro. Es una representación atribuida a una persona concreta y, por tanto, debe respetar el principio de exactitud del RGPD. Un error en un nombre, una frase, una negación o una expresión técnica puede alterar sustancialmente el significado de lo dicho y generar consecuencias relevantes.

Por ello, la organización debe anticiparse a los errores previsibles de estos sistemas: acentos, idiomas, ruido, velocidad al hablar, tecnicismos, nombres propios o expresiones ambiguas. No basta con corregir cuando alguien se queja. Deben implantarse medidas preventivas, como revisión humana cuando proceda, procedimientos de corrección, advertencias sobre posibles errores y canales sencillos para solicitar rectificaciones.

8. Derechos de las personas afectadas

Las personas tienen derecho a acceder a los datos personales que les conciernen, incluyendo la información contenida en grabaciones o transcripciones. No puede denegarse de forma general el acceso alegando dificultades técnicas o presencia de terceros, cuando existan medios para proteger los derechos de esas terceras personas, como anonimización, ocultación o entrega parcial contextualizada.

También debe garantizarse el derecho de rectificación cuando la transcripción atribuya a una persona algo incorrecto, incompleto o no expresado realmente. Este punto es especialmente importante cuando la transcripción se utiliza para actas, expedientes, evaluaciones, atención al cliente, reclamaciones o decisiones internas.

9. Recomendaciones prácticas para empresas

Antes de usar transcripción de voz con IA, la organización debería:

Definir claramente para qué necesita la transcripción y evitar usos accesorios no necesarios.

Identificar qué datos se tratan: voz, texto, metadatos, participantes, grabaciones y datos derivados.

Determinar la base jurídica adecuada para cada finalidad.

Seleccionar proveedores que ofrezcan garantías RGPD suficientes.

Firmar un contrato de encargo del tratamiento cuando proceda.

Verificar si los datos se usan para entrenamiento, reentrenamiento o revisión humana.

Evitar funcionalidades de inferencia emocional, biométrica o sensible salvo análisis específico.

Informar de forma clara antes de grabar o transcribir.

Mantener avisos perceptibles durante la grabación o transcripción.

Definir plazos de conservación separados para audio, transcripción y metadatos.

Implantar revisión, corrección y control de calidad de las transcripciones.

Facilitar el ejercicio de derechos de acceso, rectificación, supresión y oposición.

Documentar la evaluación de riesgos y, si procede, realizar una evaluación de impacto.

Formar al personal para que no use herramientas no autorizadas o cuentas personales.

 Conclusión

La transcripción de voz con IA puede aportar eficiencia, pero implica riesgos relevantes para la privacidad. La clave no es prohibir su uso, sino implantarla con garantías: finalidad clara, base jurídica adecuada, proveedor fiable, transparencia reforzada, minimización de datos, control sobre usos adicionales, gestión de errores y mecanismos efectivos para el ejercicio de derechos.

Desde una perspectiva práctica, cualquier empresa que utilice estas herramientas debe asumir que está tratando datos personales y que la responsabilidad no desaparece por delegar el servicio en una plataforma tecnológica. La organización debe poder demostrar que ha evaluado los riesgos, seleccionado adecuadamente la solución y aplicado medidas técnicas, organizativas y jurídicas proporcionadas.