Transcripción de voz con IA (II): responsabilidad, derechos y transparencia

20 de Abril de 2026

Este artículo continúa con el análisis del impacto en protección de datos de los servicios de transcripción de voz mediante inteligencia artificial y profundiza en la distribución de responsabilidades bajo el marco del Reglamento General de Protección de Datos (RGPD), los errores cometidos en la transcripción y la gestión de los derechos de las personas interesadas ante las particularidades técnicas de estas herramientas.

Foto de Egor Komarov en Unsplash.

La integración de la inteligencia artificial en los procesos de transcripción automatizada supone un gran avance para la eficiencia organizativa, aunque también introduce nuevos retos asociados al cumplimiento de la normativa de protección de datos. En este sentido, conviene abordar su implementación técnica y jurídica desde la responsabilidad proactiva y el respeto a los derechos individuales.

Cuando una organización decide incorporar un servicio de transcripción de voz basado en IA en sus procesos (como pudiera ser en la transcripción de actas o en el soporte al cliente, por citar solo algunos), convertirá estos procesos en tratamientos de datos personales y -con independencia de si estamos ante herramientas propias o de terceros- actuará como responsable del tratamiento, al ser la organización la que determina los fines y los medios que quiere utilizar para llevar a cabo una actividad en la que se van a tratar datos personales.

El responsable y el encargado del tratamiento deben actuar con la debida diligencia a la hora de seleccionar qué productos, servicios y aplicaciones de IA son los adecuados para la transcripción de voz, atendiendo a los riesgos que se planteen con su uso. Esta elección debe recaer únicamente en aquellos que acrediten su capacidad para permitir la toma de decisiones informadas y ofrecer garantías que aseguren el cumplimiento del RGPD a través de la correcta implementación de medidas técnicas y organizativas apropiadas. Esta diligencia no se debe limitar a la fase de contratación, sino que debe mantenerse durante todo el ciclo de vida del tratamiento. No basta con una adopción pasiva de la tecnología, sino que tanto responsable como encargado deben tener en cuenta el derecho a la protección de datos cuando desarrollan y diseñan estos productos, servicios y aplicaciones, evaluando, antes de su adopción y de manera continua, los riesgos específicos asociados a la transcripción automática de voz, como errores sistemáticos, sesgos lingüísticos o la posible inferencia de información sensible, y verificando que el proveedor ofrece mecanismos suficientes para gestionarlos.

La transcripción no es un texto neutro, sino que es una representación atribuida a una persona concreta en el marco de un tratamiento donde el responsable está obligado a cumplir con todos los principios del artículo 5 del RGPD, incluido el principio de exactitud. Nos podríamos encontrar un caso en el que el sistema transcriba un apellido de forma incorrecta (por ejemplo “Hitler” en lugar de “Schindler”), ya sea por cuestiones de acento, palabras en otro idioma, rapidez en el habla o simplemente una cuestión de su idiolecto, alterando así sustancialmente el contenido y el significado de la información atribuida a una persona identificada o identificable.

Esta inexactitud no es un mero fallo técnico, sino una situación con relevancia jurídica directa. Cuando una transcripción incorrecta atribuye a una persona información que no se corresponde con lo expresado, se activa la obligación del responsable de garantizar su rectificación sin dilación indebida conforme al artículo 16 del RGPD, incluidas las declaraciones que se le imputan, los datos identificativos erróneos o las manifestaciones que no se corresponden con lo expresado.

Dado que las limitaciones técnicas de los sistemas de transcripción son conocidas y previsibles, el principio de responsabilidad proactiva exige que el responsable no espere a que se produzca un error para actuar. Debe anticiparse adoptando medidas adecuadas para prevenir, detectar y corregir inexactitudes. Entre ellas cabe incluir la información a los interesados sobre las posibles limitaciones e inexactitudes del sistema, la supervisión humana de las transcripciones, la implantación de procedimientos claros y eficaces de revisión y corrección, y la habilitación de mecanismos accesibles para que los propios interesados puedan ejercer sus derechos de acceso y de rectificación.

En lo que respecta al derecho de acceso (artículo 15 del RGPD) se debe garantizar al interesado el conocimiento efectivo de los datos personales que le conciernen, sin que puedan imponerse restricciones basadas en dificultades técnicas o en la existencia de datos de terceros (necesarios para el contexto de la reunión o conversación, donde la información del interesado puede estar intrínsecamente relacionada con datos de terceros, ya que las preguntas, comentarios y respuestas de otros participantes resultan esenciales para entender el contexto y el sentido de lo expresado) cuando estos últimos puedan ser adecuadamente protegidos. El derecho de acceso se garantiza facilitando el contenido de la información. Desde la AEPD se ha señalado que no resulta conforme con el RGPD denegar de manera generalizada el acceso a grabaciones de vídeo por la mera presencia de terceros, ya que existen medios técnicos que permiten proteger los derechos de estos últimos, por ejemplo, mediante técnicas de anonimización o difuminado de imágenes. En este sentido, existen resoluciones de la AEPD que analizan y delimitan el alcance de este derecho cuando los datos personales se presentan en formatos complejos, como los audiovisuales o los eventos registrados en dispositivos.

Este principio es coherente con el reconocimiento expreso del derecho de acceso a los datos generados por dispositivos conectados que establece el Reglamento de Datos. En su artículo 4 se reconoce el derecho de los usuarios a acceder a los datos producidos mediante el uso de productos conectados, incluyendo datos operativos, de rendimiento y registros de eventos, cuando no dispongan de acceso directo a ellos.

Por otro lado, el principio de transparencia exige que los interesados reciban información clara, accesible y comprensible sobre el tratamiento de sus datos. En el contexto de la transcripción de voz mediante IA, esta información debe incluir no solo los elementos clásicos previstos en los artículos 12, 13 y 14 del RGPD, sino también, en línea con el considerando 39, una explicación adecuada de los riesgos relevantes del tratamiento.

La transparencia en el contexto de la grabación de voz no se limita a una información previa puntual; de hecho, una transparencia reforzada es clave en la gestión del riesgo de este tipo de tratamiento. Los interesados deben ser conscientes de que sus datos están siendo tratados mientras ese tratamiento se produce, y una forma de conseguirlo es mediante un indicador visible y activo, ya sea un aviso en pantalla, una señal luminosa, un tono audible periódico u otro mecanismo equivalente, que informe de forma continua que la grabación está en curso durante toda la sesión.

El responsable del tratamiento debe garantizar que la información sobre la grabación y sus fines llegue de manera efectiva a todos los participantes antes del inicio de la sesión y que dicha información se refuerce mediante un mecanismo perceptible mientras la grabación permanece activa. En este sentido, en la Resolución PS/00342/2023, la AEPD ha rechazado que el mero hecho de que los asistentes se unan a una sesión una vez advertidos de que “al unirse dan su consentimiento” sirva para cumplir la exigencia de una manifestación de voluntad libre, específica, informada e inequívoca.

El consentimiento prestado para grabar una conversación concreta no puede interpretarse como un consentimiento genérico o indefinido para grabaciones futuras. El consentimiento debe ser específico para cada actividad de grabación y, en consecuencia, debe entenderse caducado al término de la sesión concreta para la que fue prestado. El responsable del tratamiento debe implementar mecanismos que garanticen la cancelación automática del estado de grabación al finalizar la actividad (ya sea con el cierre de sesión, la desconexión del sistema de transcripción, u otros), sin que sea admisible mantener activa la captación de voz más allá del ámbito temporal para el que se obtuvo la base de legitimación.

La existencia de un sistema automatizado no exime al responsable del tratamiento de cumplir estas obligaciones. Además, el responsable debe informar a los interesados sobre el tiempo de conservación de los datos, tanto la voz como la transcripción, y los mecanismos disponibles para ejercer sus derechos de acceso y rectificación.

Este artículo de blog está relacionado con otros materiales publicados desde la División de Innovación y Tecnología de la AEPD, como son: