REGULACIÓN

AEPD y transcripción de voz con IA: lo que la guía oficial pide y cómo lo cumple nexmin

La AEPD publicó en 2026 dos notas guiando cómo cumplir el RGPD al transcribir sesiones con IA. Resumen de los puntos clave y cómo nexmin los cumple uno a uno.

5 de mayo de 2026

En enero y abril de 2026 la Agencia Española de Protección de Datos (AEPD) publicó dos notas en su blog oficial dedicadas específicamente a la transcripción de voz con inteligencia artificial. Para psicólogos, terapeutas y coaches que graban o están considerando grabar sesiones, son lectura obligatoria — porque trazan, por primera vez, qué espera el regulador cuando metes IA entre la voz del consultante y tu historia clínica.

Este artículo resume los puntos clave de las dos notas — con citas literales de la AEPD — y muestra cómo nexmin cumple cada uno. No es un manifiesto: es un mapa de obligaciones regulatorias y cómo se materializan en un workspace clínico concreto.

la voz es un dato personal protegido

La AEPD lo afirma sin ambigüedad en su nota del 14 de enero de 2026: "la voz de una persona debe considerarse un dato personal" cuando puede identificarla, directa o indirectamente. Esto no es retórica — tiene tres implicaciones prácticas inmediatas para una consulta clínica.

El audio en bruto de una sesión es PII (información personal identificable). No es metadato; es el dato más sensible que se procesa.

La transcripción derivada hereda la categoría de dato sensible. El texto generado a partir de voz clínica sigue siendo dato de salud.

Los metadatos asociados (números de teléfono, IPs de transmisión, cookies del servicio que procesa) también son personales y entran en el alcance del RGPD.

hay dos tratamientos, no uno

La nota de enero distingue claramente dos operaciones que muchos proveedores agrupan en una sola: la conversión de voz a texto, y el reentrenamiento del modelo de IA con esa voz. El segundo tratamiento, según la AEPD, "potencialmente lo realiza el proveedor del servicio" — no el responsable del tratamiento (el psicólogo o la consulta). Eso requiere consentimiento separado y transparencia explícita.

El responsable del tratamiento debe seleccionar proveedores que ofrezcan información clara sobre tratamientos adicionales, garantías de confidencialidad, medidas de seguridad, procedimientos de reentrenamiento, períodos de retención y detalles de la responsabilidad del encargado del tratamiento. — AEPD, enero 2026

En la práctica, esto significa que el psicólogo no puede delegar ciegamente en "un servicio de transcripción" sin preguntar qué hace ese servicio con la voz una vez transcrita. La diligencia es del responsable.

consentimiento específico por sesión, no genérico

La nota de abril (la "II") es categórica en este punto: el consentimiento del paciente para grabar UNA sesión NO se extiende a sesiones futuras.

El consentimiento debe ser específico para cada actividad de grabación y expira al finalizar la sesión. Son necesarios mecanismos automáticos de cese de grabación. — AEPD, abril 2026

Tres consecuencias operativas para una consulta:

Una casilla "acepto que se grabe" firmada al alta no cubre las sesiones futuras. Cada sesión requiere un acto afirmativo concreto.

El consentimiento debe ser "un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca". No vale "clic para continuar" ambiguo.

La retirada del consentimiento debe ser "tan sencilla como fue darlo". Un mecanismo escondido detrás de tres pantallas no cumple.

indicador visible y continuo durante la grabación

Esta es probablemente la obligación más concreta y menos respetada del mercado actual. La nota de abril 2026 lo pone literal:

Las organizaciones deben proporcionar un indicador visible y activo — ya sea un aviso en pantalla, una señal luminosa, un tono audible periódico o un mecanismo equivalente — informando de manera continua de que la grabación está en curso durante toda la sesión. — AEPD, abril 2026

Información ANTES del inicio + refuerzo durante. No basta con avisar al principio.

derechos de acceso y rectificación: la transcripción se puede editar

La nota de abril dedica una sección entera a dos derechos que en la práctica se ignoran en muchos servicios de transcripción IA: el acceso (Art. 15 RGPD) y la rectificación (Art. 16 RGPD).

Derecho de acceso: el sujeto debe recibir "conocimiento efectivo" de los datos que le conciernen. Las dificultades técnicas no son justificación para denegar el acceso.

Derecho de rectificación: las transcripciones incorrectas (por ejemplo, un apellido mal entendido por el modelo) deben poder corregirse. Las inexactitudes no son fallos técnicos triviales — son situaciones legalmente relevantes que requieren rectificación pronta.

Esto descarta los servicios donde la transcripción se presenta como un "output cerrado" no editable. Tiene que haber un camino, accesible al responsable del tratamiento, para corregir lo que el modelo ha entendido mal.

cómo cumple nexmin cada uno de estos puntos

nexmin no se diseñó como respuesta a las notas AEPD 2026 — porque varios de sus principios arquitectónicos llevan vigentes desde la primera versión. Lo que ha cambiado es que ahora hay un marco regulatorio explícito al que mapear cada decisión. Pieza por pieza:

Identity Vault: separación arquitectónica de identidad y voz

En nexmin la identidad del paciente (nombre, contacto, datos demográficos) y los datos clínicos (sesiones, audio, transcripciones) viven en tablas separadas con relación explícita revocable. Cuando un paciente ejerce su derecho al olvido, se borra la identidad y los datos clínicos quedan anonimizados — preservando los agregados estadísticos sin conservar PII. Esto cumple el principio de minimización del RGPD a nivel arquitectónico, no como casilla legal.

contrato con proveedores de IA: prohibición explícita de reentrenamiento

Los proveedores de IA que nexmin usa (Vertex AI de Google, ElevenLabs y Soniox para STT) tienen contratos comerciales que prohíben explícitamente el uso de los datos del cliente para reentrenar sus modelos. La AEPD pide que el responsable del tratamiento (el psicólogo) tenga garantías documentadas de esto — nexmin las tiene en forma de Data Processing Agreements (DPA) auditable. La página de proveedores se mantiene actualizada en /legal/proveedores.

consentimiento por sesión, no genérico

El terapeuta tiene que activar la grabación al inicio de cada sesión — no hay grabación automática persistente configurada por defecto. La plantilla de consentimiento informado descargable que ofrece nexmin incluye la fórmula AEPD-conforme: voluntad libre, específica, informada, inequívoca, revocable en cualquier momento.

indicador visible durante grabación

La pantalla de sesión en vivo muestra en todo momento: un círculo rojo intermitente, un cronómetro visible con la duración acumulada, y la onda de audio en tiempo real. En la modalidad de "reunión externa" (grabación de videollamadas Zoom/Meet/Teams) un banner discreto recuerda explícitamente cuando la captura del sistema falla y se está usando solo el micrófono. Cumple el requisito de "indicador continuo" de la nota AEPD de abril 2026.

derecho de rectificación: la transcripción es editable

nexmin se construye sobre el patrón Trust Loop: la IA propone, el clínico decide. La transcripción generada por Scriba es siempre un borrador editable — el terapeuta puede corregir manualmente cualquier error de interpretación antes de que entre al historial clínico. Si el paciente solicita acceso o rectificación de su transcripción, el terapeuta puede aplicarla directamente desde la UI.

retención: configurable por privacidad tier

Cada paciente se asigna a un tier de privacidad que define cómo se trata el audio original tras el análisis:

STANDARD (por defecto, RGPD): el audio original se borra tras la normalización y solo se conserva el MP3 ligero necesario para reproducción y re-análisis.

LEGACY: el audio original se conserva en almacenamiento frío (Cold Storage) — el terapeuta promete al paciente audio íntegro bajo su control.

GHOST: máxima privacidad. Audio original borrado, MP3 borrado tras el siguiente análisis. Solo perdura la transcripción estructurada.

Trust Loop: la IA propone, el clínico decide

La nota de abril 2026 introduce el principio de responsabilidad proactiva: dado que las limitaciones técnicas de los sistemas de transcripción son conocidas, no se puede esperar a que ocurran errores — hay que anticiparse con "medidas apropiadas para prevenir, detectar y corregir inexactitudes", incluyendo supervisión humana. Esto no es algo que nexmin añadió en respuesta a la AEPD: es el patrón fundacional del producto. Ningún output de IA — ni la transcripción de Scriba, ni el análisis de Pensa, ni el scoring de Holter — se publica al historial sin que el clínico lo apruebe explícitamente.

la conclusión

Las dos notas AEPD de 2026 trazan un mapa claro de obligaciones para cualquier responsable del tratamiento que use IA de transcripción en consulta clínica. La buena noticia: no son obligaciones imposibles, son concretas y mapeables a decisiones de diseño específicas. La menos buena: la mayoría del software clínico con IA en el mercado no cumple todos los puntos. Es trabajo del responsable (el psicólogo) verificar caso por caso.

Si lo que estás considerando es una herramienta nueva, te recomiendo pedir tres documentos al proveedor antes de firmar nada: el Data Processing Agreement, la política explícita sobre retención y eliminación del audio, y la garantía contractual sobre uso o no uso de datos para reentrenamiento de modelos. Sin esos tres documentos, la diligencia que la AEPD pide al responsable del tratamiento no se puede demostrar.

La regulación en este terreno va a seguir afilándose. La AEPD ya ha anticipado más notas sobre IA generativa y agéntica para 2026. Para los próximos meses, lo más útil es entender los principios — voz como dato personal, consentimiento por sesión, indicador continuo, rectificabilidad, transparencia sobre el doble tratamiento — y elegir herramientas que los respeten desde el diseño.

14 días gratis · sin tarjeta

prueba nexmin

Inteligencia clínica para psicólogos, coaches y terapeutas que buscan ir más allá.

Empezar ahora