Su lista de verificación del RGPD para usar herramientas de IA en reuniones de negocios

Una guía práctica para profesionales que quieren usar asistentes de IA para reuniones sin generar problemas de cumplimiento normativo.

Utilizar IA para capturar información de reuniones, generar resúmenes y mantenerse al día con los elementos de acción se ha convertido en práctica estándar para los profesionales del conocimiento. Pero si está sujeto al RGPD, ya sea porque tiene sede en la UE, trabaja con clientes de la UE o procesa datos de residentes de la UE, necesita pensar cuidadosamente en cómo estas herramientas gestionan los datos personales.

Esta lista de verificación le ayuda a evaluar cualquier herramienta de IA para reuniones y garantizar que su uso se mantenga conforme. También hemos incluido orientación sobre lo que necesita hacer de su parte, porque incluso la herramienta más consciente de la privacidad no puede cumplir todas sus obligaciones del RGPD por usted.

Parte 1: Evaluación de su herramienta de IA para reuniones

Antes de adoptar cualquier asistente de IA para reuniones, verifique estos aspectos fundamentales:

Acuerdos de procesamiento de datos

Qué buscar:

• Un Anexo de Procesamiento de Datos (DPA) que cumpla los requisitos del Artículo 28 del RGPD
• Documentación clara de qué datos se procesan y con qué fines
• Roles definidos (usted como responsable del tratamiento, el proveedor de la herramienta como encargado del tratamiento)

Por qué importa: Un DPA es obligatorio cuando un proveedor procesa datos personales en su nombre (Artículo 28). Esto es independiente de su base legal del Artículo 6 para el procesamiento en sí: necesita ambos. Usar un encargado del tratamiento sin un acuerdo conforme al Artículo 28 es incumplimiento, independientemente de su base legal.

Transferencias internacionales de datos

Si su proveedor de herramientas tiene sede fuera de la UE (la mayoría están en EE. UU.), necesita salvaguardas adicionales:

Qué buscar:

• Cláusulas Contractuales Tipo (SCCs) de la UE incorporadas en el acuerdo
• Una Evaluación de Impacto de la Transferencia (TIA) que documente la situación legal en el país de destino y cualquier medida complementaria
• Información clara sobre qué subencargados manejan sus datos y dónde

Por qué importa: La sentencia Schrems II invalidó el EU-US Privacy Shield. Las herramientas que transfieren datos a EE. UU. suelen basarse en SCCs, pero estas requieren una evaluación caso por caso y, cuando sea necesario, medidas complementarias para garantizar una protección adecuada.

Medidas Técnicas y Organizativas (TOMs)

Qué buscar:

• Documentación de medidas de seguridad (cifrado, controles de acceso, etc.)
• Información sobre dónde y cómo se almacenan los datos
• Políticas de retención de datos: ¿cuánto tiempo se conservan?
• Opciones de procesamiento local/en el dispositivo vs. procesamiento en la nube

Por qué importa: Necesita verificar que su encargado del tratamiento cuenta con medidas de seguridad apropiadas para la sensibilidad de los datos que procesa.

Consideraciones específicas de IA

Qué buscar:

• Confirmación de que sus datos no se usan para entrenar modelos de IA
• Políticas claras de retención de datos con subencargados de IA (idealmente retención cero)
• Transparencia sobre qué servicios de IA procesan sus datos

Por qué importa: Muchas herramientas de IA envían datos de conversaciones a servicios de IA de terceros. Necesita visibilidad sobre quién procesa sus datos y en qué términos. Aunque el RGPD no establece períodos de retención específicos, los principios de minimización de datos favorecen retenciones más cortas, y los compromisos de retención cero de los subencargados de IA reducen su exposición al riesgo.

Transparencia de subencargados

Qué buscar:

• Una lista completa de subencargados con sus propósitos y ubicaciones
• Proceso de notificación ante cambios de subencargados
• Capacidad de oponerse a nuevos subencargados

Por qué importa: El Artículo 28(2) requiere que los encargados obtengan autorización del responsable para los subencargados. Necesita visibilidad sobre todos los que tocan sus datos y la capacidad de evaluar si su participación es apropiada.

Parte 2: Sus responsabilidades como responsable del tratamiento

Incluso con una herramienta totalmente conforme, tiene obligaciones que ningún software puede cumplir por usted:

Antes de empezar a grabar

Base legal

• Identifique su base legal para el procesamiento según el Artículo 6 del RGPD (interés legítimo, consentimiento, ejecución de un contrato, etc.)
• Documente esta base y esté preparado para explicarla si se le solicita
• Nota: El consentimiento es una opción, pero los intereses legítimos o la necesidad contractual pueden ser apropiados según su contexto

Transparencia e información

• Informe a todos los participantes de la reunión que herramientas de IA procesarán la conversación
• Explique qué se capturará, cómo se procesará y quién tendrá acceso
• Proporcione esta información de forma clara y antes de que comience el procesamiento

Leyes sobre grabación (independientes del RGPD)

• Compruebe las leyes locales sobre grabación de conversaciones; muchas jurisdicciones requieren consentimiento de los participantes independientemente del RGPD
• Estos requisitos varían según el país y pueden ser más estrictos que el propio RGPD
• En caso de duda, obtener consentimiento explícito aborda tanto los requisitos de transparencia del RGPD como la mayoría de las leyes locales de grabación

Evaluación de riesgos

• Considere si se requiere una Evaluación de Impacto en la Protección de Datos (EIPD)
• Las EIPD son obligatorias para el procesamiento que probablemente resulte en alto riesgo para los derechos y libertades de las personas
• Factores que pueden indicar alto riesgo incluyen: procesamiento a gran escala, datos sensibles, nuevas tecnologías y monitorización sistemática
• Incluso cuando no son estrictamente obligatorias, las EIPD son buena práctica para el procesamiento basado en IA y ayudan a demostrar responsabilidad

Cumplimiento continuo

Actualizaciones de la política de privacidad

• Actualice su política de privacidad para reflejar el uso de herramientas de IA para reuniones
• Incluya: qué datos se recopilan, propósitos, base legal, períodos de retención, terceros involucrados y derechos de los interesados

Derechos de los interesados

• Establezca procesos para gestionar solicitudes de acceso (las personas pueden preguntar qué datos tiene sobre ellas)
• Habilite solicitudes de eliminación: necesita poder eliminar los datos de alguien de sus registros de reuniones
• Documente cómo gestionará las solicitudes de oposición, particularmente si se basa en intereses legítimos

Retención y eliminación

• Defina cuánto tiempo conservará los datos de reuniones en función de sus propósitos declarados
• Implemente programas de eliminación regulares
• Los principios de minimización de datos implican que no debería conservar datos más tiempo del necesario

Mantenimiento de registros

• Mantenga registros de actividades de procesamiento según lo requerido por el Artículo 30
• Documente sus medidas y decisiones de cumplimiento

Revisión anual

El cumplimiento del RGPD no es una tarea puntual:

• Revise los términos actualizados, el DPA y la lista de subencargados de su herramienta al menos anualmente
• Reevalúe su base legal si sus casos de uso cambian
• Actualice su EIPD si las actividades de procesamiento cambian significativamente
• Verifique que se están cumpliendo sus programas de retención

Parte 3: Decisiones de configuración

La mayoría de las herramientas de IA para reuniones ofrecen varias funciones que afectan su postura de privacidad. Para cada función que active, considere las implicaciones de cumplimiento:

.gdpr-table { width: 100%; border-collapse: collapse; margin: 1.5em 0; font-size: 1rem; } .gdpr-table th, .gdpr-table td { padding: 12px 16px; text-align: left; border-bottom: 1px solid #e2e8f0; } .gdpr-table th { background-color: #f8fafc; font-weight: 600; color: #1e293b; } .gdpr-table tr:hover { background-color: #f8fafc; } .gdpr-table td:first-child { font-weight: 500; color: #334155; }

Función	Consideración de privacidad
Sincronización en la nube	Los datos salen de su dispositivo y se almacenan en los servidores del proveedor
Coaching/sugerencias de IA en vivo	Transmisión de datos en tiempo real a servicios de IA
Resúmenes por correo	Contenido de la reunión transmitido por correo electrónico (generalmente sin cifrar)
Almacenamiento de grabaciones de audio	Las grabaciones de voz son datos personales; ver nota sobre datos biométricos
Compartir/colaboración	Amplía el acceso a los datos a partes adicionales
Integraciones API	Los datos fluyen a sistemas de terceros adicionales

Nota sobre grabaciones de audio: Las grabaciones de voz son datos personales. Pueden calificarse como datos biométricos de categoría especial según el Artículo 9 si se procesan con el fin de identificar de forma única a una persona (por ejemplo, análisis de huella vocal, sistemas de identificación de hablantes). Las grabaciones de reuniones estándar usadas para transcripción y toma de notas normalmente no entran en esta categoría, pero si utiliza funciones de identificación por voz, se aplican los requisitos del Artículo 9.

Principio general: Active solo lo que necesita. Cada función adicional amplía su huella de procesamiento de datos y requiere justificación bajo los principios de minimización de datos.

Categorías especiales de datos

Si sus reuniones involucran datos sensibles según el Artículo 9 del RGPD (información de salud, opiniones políticas, creencias religiosas, datos procesados para identificación biométrica única, etc.), necesita protecciones reforzadas:

• Una base legal específica tanto bajo el Artículo 6 COMO una condición bajo el Artículo 9(2)
• El consentimiento explícito se usa comúnmente, pero pueden aplicarse otras condiciones según el contexto
• Medidas de seguridad más sólidas apropiadas para la sensibilidad
• EIPD probablemente requerida
• Considere si las funciones en la nube son apropiadas dado el perfil de riesgo

Parte 4: Implementación práctica

Ejemplo de aviso y lenguaje de consentimiento

Antes de iniciar cualquier reunión grabada:

“Me gustaría usar un asistente de IA para ayudar a capturar notas e información de nuestra conversación. Esto significa que nuestra discusión será transcrita y analizada por IA. La transcripción permanece bajo mi control y no se usará para entrenar ningún modelo de IA. ¿Le parece bien?”

Espere la confirmación antes de iniciar. Este enfoque satisface tanto los requisitos de transparencia del RGPD como la mayoría de las leyes locales de consentimiento para grabaciones.

Adición a la invitación de calendario

“Esta reunión contará con la asistencia de un sistema de toma de notas con IA. Si tiene alguna inquietud al respecto, háganoslo saber antes de la reunión.”

Nota: Esto proporciona aviso previo, lo cual es buena práctica. Según su base legal y las leyes locales de grabación, puede que aún necesite confirmar el consentimiento al inicio de la reunión.

Lenguaje para política de privacidad (plantilla)

Incluya en su política de privacidad:

Asistencia de IA en reuniones

Utilizamos herramientas con IA para transcribir y analizar reuniones con el fin de [capturar elementos de acción / mejorar la comunicación / mantener registros precisos]. Este procesamiento se basa en [su base legal, por ejemplo, intereses legítimos en mantener registros empresariales precisos / ejecución de contrato / consentimiento].

Los datos de las reuniones pueden ser procesados por nuestro proveedor de herramientas de IA para reuniones y sus subencargados. Los datos pueden transferirse a Estados Unidos bajo Cláusulas Contractuales Tipo de la UE con las medidas complementarias apropiadas.

Las transcripciones y resúmenes de reuniones se conservan durante [X período] y luego se eliminan. Puede solicitar acceso, corrección o eliminación de sus datos contactando a [datos de contacto].

Adapte esto a su situación específica y base legal.

Cómo gestiona Hedy el cumplimiento del RGPD

Construimos Hedy con la privacidad como principio fundamental, no como algo añadido después. Así es como hemos abordado los requisitos de esta lista de verificación:

Marco contractual

• Anexo de Procesamiento de Datos con Cláusulas Contractuales Tipo de la UE incluido automáticamente con su cuenta
• Evaluación de Impacto de la Transferencia disponible documentando las salvaguardas y medidas complementarias para la transferencia de datos a EE. UU.
• Documentación completa de Medidas Técnicas y Organizativas
• Lista transparente de subencargados con notificaciones de cambios

Arquitectura que prioriza la privacidad

• Reconocimiento de voz en el dispositivo por defecto: su audio nunca sale de su dispositivo a menos que active funciones en la nube
• Acuerdos de retención cero con subencargados de IA
• Sus datos nunca se usan para entrenar modelos de IA
• Controles granulares: active solo las funciones que necesita

Documentación de cumplimiento

• Documentación completa disponible en nuestro Trust Center
• Orientación de cumplimiento del RGPD para usuarios (responsabilidades del responsable del tratamiento)
• Certificaciones SOC 2 Type II y HIPAA en proceso (previstas para Q2 2026)

Control del usuario

• Modo solo local disponible para máxima privacidad
• Elimine sus datos en cualquier momento
• Exporte sus datos para portabilidad
• Configuración de región de protección de datos en la UE para minimizar el seguimiento

Acceda a nuestra documentación completa de cumplimiento en trust.hedy.ai.

¿Preguntas?

El cumplimiento del RGPD puede parecer complejo, pero no tiene que ser abrumador. Si tiene preguntas sobre cómo usar Hedy de forma conforme al RGPD, contáctenos en privacy@hedy.ai o consulte nuestra documentación de ayuda.

Para cuestiones de cumplimiento complejas específicas de su organización, recomendamos consultar con un profesional cualificado en protección de datos o su Delegado de Protección de Datos.

Esta guía proporciona información general sobre el cumplimiento del RGPD para herramientas de IA en reuniones. No constituye asesoramiento legal y no debe tomarse como tal. Los requisitos pueden variar según su situación específica, jurisdicción y la naturaleza de los datos que procesa. Las leyes locales sobre grabación de conversaciones pueden imponer requisitos adicionales más allá del RGPD.