Dictado por voz y RGPD: ¿adónde van tus datos?

Q: ¿La voz es un dato sensible según el RGPD?

Una grabación de voz siempre es un dato personal. Solo se convierte en dato sensible (biométrico) cuando se utiliza para reconocer o autenticar a una persona a partir de su voz. Una herramienta de dictado se limita a transcribir el habla en texto: no realiza identificación biométrica. En cambio, el contenido dictado sí puede ser altamente confidencial.

Q: ¿Basta con tener servidores en Europa para quedar fuera del alcance de las autoridades estadounidenses?

No. La Cloud Act estadounidense permite obligar a un proveedor sujeto al derecho de Estados Unidos a comunicar los datos que controla, estén almacenados donde estén, incluido un centro de datos situado en la Unión Europea. Lo que cuenta no es solo dónde están los servidores, sino a qué jurisdicción está sujeta la empresa que los opera.

Q: ¿Dónde procesa mis datos Fast Dictate?

Cero conservación de datos en todos los planes: tu audio se transcribe y se elimina de inmediato, y nunca se reutiliza para entrenar modelos. El plan Pro procesa tus datos exclusivamente en Francia, en servidores certificados ISO 27001, fuera del alcance de la Cloud Act estadounidense, con un DPA RGPD avanzado. Los planes Free y Standard funcionan en una infraestructura internacional rápida.

Cuando dictas un correo, un acta o un escrito jurídico, pronuncias en voz alta información a menudo confidencial: nombres, importes, elementos de un expediente. La pregunta no es solo «¿la transcripción es buena?», sino «¿adónde va mi voz y quién puede acceder a ella?». Es exactamente lo que regula el RGPD. Esta guía explica qué exige realmente el reglamento a una herramienta de dictado por voz, por qué la localización de los servidores no basta y cómo reconocer una solución conforme y soberana.

Tu voz es un dato personal

Primer punto, a menudo mal entendido: una grabación de voz es un dato personal en el sentido del RGPD en cuanto permite, directa o indirectamente, identificar a una persona. La voz en sí, un nombre pronunciado, un número de cliente dicho en voz alta: todo ello entra dentro del reglamento. El RGPD se aplica, por tanto, al dictado por voz desde el momento en que un humano habla.

¿Hay que concluir de ello que se trata de datos «sensibles»? No de forma automática, y el matiz es importante. Según la CNIL, la voz solo se convierte en dato biométrico (categoría sensible, regulada por el artículo 9 del RGPD) cuando un sistema la utiliza para reconocer o autenticar a un hablante a partir de sus características vocales. Una herramienta de dictado no hace eso: transforma el habla en texto, no identifica a nadie por su voz. La consecuencia práctica:

El audio es un dato personal, pero no un dato biométrico, porque no hay identificación vocal.
El contenido dictado, en cambio, puede ser de todo menos inocuo: un expediente médico mencionado, datos bancarios, el nombre de un cliente y la naturaleza de su litigio. Ahí es donde se concentra el verdadero riesgo.

Dicho de otro modo, el peligro no es que tu timbre de voz sirva para identificarte; es que lo que dictas acabe almacenado, reutilizado o accesible para un tercero. De ahí la importancia de saber con precisión qué hace la herramienta con tu audio.

Qué exige concretamente el RGPD a una herramienta de dictado por voz

El RGPD no se reduce a un banner de consentimiento. Para un servicio que transcribe tu voz, seis obligaciones cuentan de verdad:

Una finalidad y una base jurídica claras. Tus datos solo sirven para producir tu transcripción, no para otra cosa.
La minimización. La herramienta solo debe tratar lo estrictamente necesario. La CNIL, en su libro blanco sobre los asistentes de voz, recomienda incluso transferir a los servidores únicamente los datos indispensables.
La limitación de la conservación. El RGPD prohíbe guardar los datos más tiempo del necesario. Para el dictado, la mejor opción es sencilla: cero conservación, el audio se elimina en cuanto se transcribe.
La no reutilización. Tu voz y tus textos no deben servir para entrenar modelos de IA sin tu consentimiento.
Un encargado del tratamiento regulado. El editor debe ofrecerte un acuerdo de tratamiento (DPA, artículo 28 del RGPD) que enumere sus encargados y sus garantías.
La seguridad y el marco de las transferencias. Cifrado, medidas técnicas serias y, sobre todo, un marco estricto si los datos salen de la Unión Europea (artículos 44 y siguientes).

Estos criterios son verificables. Un editor serio responde a cada uno por escrito. Es precisamente el último punto, las transferencias fuera de la UE, el que más a menudo falla, y el peor entendido.

El verdadero tema no es el servidor, es la jurisdicción

La mayoría de las herramientas de dictado por voz de consumo están editadas por empresas estadounidenses, y tu audio transita por servidores sujetos al derecho de Estados Unidos. Muchas destacan sus centros de datos situados en Europa para tranquilizar. Es insuficiente, y aquí está el porqué.

La Cloud Act, ley estadounidense de 2018, permite a las autoridades de Estados Unidos obligar a un proveedor sujeto al derecho estadounidense a comunicar los datos que controla, estén almacenados donde estén, incluido un centro de datos situado en la Unión Europea. Mientras una empresa sea estadounidense o esté controlada por una matriz estadounidense, permanece dentro del alcance de la Cloud Act. La localización de los servidores no cambia nada: lo que cuenta es la nacionalidad jurídica de la empresa que los opera.

No es una hipótesis de manual. En junio de 2025, en una comparecencia ante el Senado francés, el director jurídico de Microsoft Francia reconoció, bajo juramento, no poder garantizar que los datos de ciudadanos franceses alojados por la empresa nunca serían transmitidos a las autoridades estadounidenses sin el acuerdo de Francia. Un actor de primer nivel, con centros de datos en Europa, admite él mismo el límite. Para profesiones sujetas al secreto, es una señal que no se discute.

A retener

«Datos alojados en Europa» y «datos fuera del alcance de autoridades extranjeras» no son sinónimos. Una herramienta puede alojar en Europa y seguir sujeta a la Cloud Act si su editor depende del derecho estadounidense.

¿Y el Data Privacy Framework, entonces?

Para transferir legalmente datos personales a Estados Unidos, las herramientas estadounidenses se apoyan por lo general en el Data Privacy Framework (DPF), una decisión de adecuación adoptada por la Comisión Europea el 10 de julio de 2023. Una empresa estadounidense se autocertifica y puede entonces recibir datos de la UE sin trámite adicional. Sobre el papel, la transferencia es, pues, legal.

Sin embargo, hay dos reservas que todo profesional debería conocer:

Este marco es jurídicamente frágil. Es el tercero de su clase. Los dos anteriores, el Safe Harbor y luego el Privacy Shield, fueron anulados por el Tribunal de Justicia de la Unión Europea (sentencias Schrems I en 2015 y Schrems II en 2020), por considerar que la vigilancia estadounidense no protegía lo suficiente a los europeos. El DPF sobrevivió a un primer recurso (rechazado por el Tribunal General de la UE en septiembre de 2025), pero esa decisión es objeto de un recurso de apelación ante el TJUE desde finales de octubre de 2025. Construir la confidencialidad sobre un marco ya invalidado dos veces es una apuesta.
El DPF no neutraliza la Cloud Act. Son dos temas distintos: el DPF hace legal la transferencia comercial; la Cloud Act concierne al acceso de las autoridades estadounidenses. Una herramienta puede estar perfectamente certificada DPF y seguir siendo obligable por una orden estadounidense. La conformidad de la transferencia no te protege del acceso.

La única manera de descartar este riesgo no es regular mejor la transferencia hacia Estados Unidos: es no depender del derecho estadounidense en absoluto.

Profesiones con secreto: abogados, notarios, asesores fiscales

Para un abogado, un notario o un asesor fiscal, el RGPD se suma a una obligación aún más estricta: el secreto profesional. Dictar el nombre de un cliente y la naturaleza de su expediente en una herramienta que podría ser obligada a comunicar esos datos es exponer información cubierta por el secreto.

Como ejemplo en Francia, el Consejo Nacional de la Abogacía lo recordó en su guía deontológica sobre la inteligencia artificial: el uso de herramientas de IA nunca puede justificar un levantamiento del secreto profesional, y nunca debe confiarse a una IA generativa de consumo masivo datos cubiertos por él. La guía subraya además que las soluciones alojadas en la Unión Europea, que no reutilizan las consultas para entrenar sus modelos, presentan un perfil de riesgo netamente inferior al de las herramientas de consumo.

Es exactamente el criterio que hay que aplicar a una herramienta de dictado: tratamiento en la UE, cero conservación, sin reutilización y un editor que no esté sujeto a una legislación extraterritorial. Detallamos este punto para los despachos en nuestra página dedicada al dictado por voz y el secreto profesional del abogado.

5 preguntas que hacer antes de elegir una herramienta de dictado por voz

Una forma sencilla de decidir: haz estas cinco preguntas a cualquier editor. Las respuestas deben ser claras y por escrito.

¿Conservan mi audio y mis transcripciones? La buena respuesta es: no, eliminación inmediata tras la transcripción.
¿Mis datos sirven para entrenar sus modelos? La buena respuesta es: no.
¿Dónde se procesan mis datos y qué empresa lo hace? Busca un tratamiento en la UE por una empresa europea, no solo un «centro de datos en Europa».
¿Están sujetos a la Cloud Act o a otra ley extraterritorial? Un editor europeo no controlado por una matriz estadounidense puede responder que no.
¿Ofrecen un DPA conforme al artículo 28 del RGPD? Imprescindible para un uso profesional.

La opción más estricta: el 100 % local

Seamos honestos: si quieres la garantía absoluta de que tu voz nunca sale de tu ordenador, la solución más protectora no es la nube, es el tratamiento 100 % local. Nada se va a internet: ni el RGPD ni la Cloud Act entran siquiera en juego, ya que ningún dato se transmite a un tercero. Herramientas de código abierto como Handy (gratuita, con licencia libre, para Windows, macOS y Linux) ejecutan la transcripción directamente en tu máquina, sin ningún envío a un servidor.

La contrapartida es real, y la detallamos en nuestra comparativa dictado por voz local vs nube: el 100 % local se limita casi siempre a una transcripción en bruto, sin la limpieza ni el formato por IA, y exige una máquina bastante potente. Para muchos profesionales, el reto es, por tanto, recuperar la comodidad de la nube, un texto limpio, en cualquier aplicación y en cualquier ordenador, sin renunciar a la soberanía. Es precisamente lo que persigue Fast Dictate.

El enfoque de Fast Dictate

Fast Dictate es una alternativa europea pensada para responder a estas preguntas sin rodeos:

Cero conservación de datos en todos los planes. Tu audio se transcribe y se elimina de inmediato, y nunca se reutiliza para entrenar modelos.
Plan Pro: tratamiento exclusivamente en Francia, en servidores certificados ISO/IEC 27001, fuera del alcance de la Cloud Act estadounidense, con un DPA RGPD avanzado. Pensado para abogados, notarios y cualquiera que maneje expedientes confidenciales.
Planes Free y Standard: una infraestructura internacional rápida, siempre sin conservación de datos.
Funciona en todas partes: Word, Gmail, Notion, tu navegador, cualquier campo de texto, con un solo atajo en Windows y Mac.
Plan gratuito: 2.000 palabras por semana, sin tarjeta de crédito.

La confidencialidad no debería ser una opción de pago mal explicada.

En todos los planes, no se conserva nada. Y cuando el trabajo es confidencial, el plan Pro mantiene tus datos en Francia, bajo el único derecho europeo. Conservas la rapidez de la nube sin renunciar a la soberanía. Mira el detalle en nuestra página de Seguridad.

Preguntas frecuentes

¿El dictado por voz cumple el RGPD?

Puede cumplirlo. Una grabación de voz es un dato personal, así que el RGPD se aplica. Una herramienta conforme se apoya en una finalidad clara, la minimización, una conservación limitada (idealmente cero conservación), un encargado del tratamiento regulado por un DPA, medidas de seguridad y un marco estricto para las transferencias fuera de la UE. La conformidad depende del editor, no de la tecnología en sí.

¿La voz es un dato sensible según el RGPD?

Una grabación de voz siempre es un dato personal. Solo se vuelve sensible (biométrico) cuando se utiliza para reconocer o autenticar a una persona a partir de su voz. Una herramienta de dictado se limita a transcribir: no realiza identificación biométrica. En cambio, el contenido dictado sí puede ser altamente confidencial.

¿Basta con tener servidores en Europa para quedar fuera del alcance de las autoridades estadounidenses?

No. La Cloud Act permite obligar a un proveedor sujeto al derecho estadounidense a comunicar los datos que controla, estén almacenados donde estén, incluido un centro de datos en la UE. Lo que cuenta no es solo dónde están los servidores, sino a qué jurisdicción está sujeta la empresa que los opera.

¿Dónde procesa mis datos Fast Dictate?

Cero conservación en todos los planes: el audio se transcribe y se elimina de inmediato, nunca se reutiliza para el entrenamiento. El plan Pro procesa tus datos exclusivamente en Francia, en servidores ISO 27001, fuera del alcance de la Cloud Act, con un DPA RGPD avanzado. Los planes Free y Standard funcionan en una infraestructura internacional rápida.

Dictado por voz y RGPD: ¿adónde van de verdad tus datos?