¿Es legal grabar llamadas con clientes en un despacho de abogados?
La respuesta corta es sí, pero con condiciones muy específicas. El RGPD (Reglamento UE 2016/679) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en España permiten la grabación de llamadas cuando existe una base jurídica legítima. Para los despachos legales, las bases más habituales son el consentimiento explícito del interesado o el interés legítimo del responsable del tratamiento.
Sin embargo, la mera existencia de una base jurídica no es suficiente. El despacho debe documentar esa base, informar al cliente antes de iniciar la grabación y garantizar que los datos tratados sean los mínimos necesarios para el fin perseguido. Cualquier desviación de estos principios puede derivar en sanciones que, en casos graves, alcanzan los 20 millones de euros o el 4% de la facturación anual global.
Las dos bases jurídicas más utilizadas
Consentimiento explícito: El cliente debe prestar su conformidad de forma libre, específica, informada e inequívoca antes de que comience la grabación. Un aviso verbal al inicio de la llamada («esta llamada puede ser grabada») no es suficiente por sí solo; debe ir acompañado de información sobre quién trata los datos, con qué finalidad y durante cuánto tiempo.
Interés legítimo: Esta base permite grabar sin consentimiento previo si el despacho puede demostrar que el interés es real, necesario y no prevalecen los derechos del interesado. En la práctica, los organismos de control europeos han cuestionado su uso para grabaciones de llamadas salvo en contextos muy acotados, por lo que el consentimiento sigue siendo la vía más segura.
Obligaciones de información: qué hay que decirle al cliente
El artículo 13 del RGPD exige que, en el momento en que se recogen datos personales, el responsable informe al interesado de una serie de extremos. Para las grabaciones de llamadas, esto implica comunicar, como mínimo:
- La identidad y los datos de contacto del responsable del tratamiento (el despacho).
- La finalidad de la grabación (por ejemplo, documentación del asesoramiento, formación interna o prueba en caso de litigio).
- La base jurídica que legitima el tratamiento.
- El plazo de conservación de la grabación.
- El derecho del cliente a acceder, rectificar o suprimir sus datos, así como a oponerse al tratamiento.
- El derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
Esta información puede facilitarse mediante una cláusula incluida en el contrato de servicios, un correo electrónico previo a la llamada o un mensaje automático al inicio de la conversación. Lo importante es que quede constancia de que se proporcionó.
Plazos de conservación y destrucción segura de grabaciones
El RGPD prohíbe conservar los datos personales más tiempo del necesario para el fin que justificó su recogida. Para los despachos de abogados, determinar ese plazo es un ejercicio de ponderación que debe tener en cuenta la prescripción de las acciones legales relacionadas con el asunto, las obligaciones de conservación impuestas por normativa sectorial y la posibilidad de que la grabación sea necesaria como prueba.
Una vez transcurrido el plazo de conservación, las grabaciones deben eliminarse de forma irreversible. Esto aplica no solo a los archivos de audio sino también a las transcripciones generadas a partir de ellos. Las herramientas de transcripción con IA que procesan datos en la nube deben ofrecer mecanismos de borrado certificado y no pueden utilizar esos datos para entrenar sus modelos sin consentimiento adicional.
Subcontratistas y encargados del tratamiento
Cuando el despacho utiliza un proveedor externo para transcribir o almacenar grabaciones, ese proveedor adquiere la condición de encargado del tratamiento. El RGPD exige formalizar esta relación mediante un contrato específico (DPA, por sus siglas en inglés) que regule las instrucciones de tratamiento, las medidas de seguridad, la subcontratación y las obligaciones en caso de brecha. Operar sin este contrato constituye una infracción autónoma, incluso si el tratamiento en sí fuera lícito.
Regla práctica: Antes de contratar cualquier herramienta de transcripción o grabación, solicite al proveedor su DPA modelo, verifique que los servidores estén ubicados en el Espacio Económico Europeo o en un país con decisión de adecuación, y compruebe que su política de retención de datos sea configurable por el cliente.
Medidas de seguridad técnicas y organizativas
El principio de responsabilidad proactiva del RGPD obliga al despacho a implementar medidas de seguridad proporcionales al riesgo. Para las grabaciones de llamadas, esto incluye cifrado en tránsito y en reposo, controles de acceso basados en roles (solo los abogados asignados al asunto deben poder acceder a la grabación), registro de accesos y un plan de respuesta ante brechas de seguridad.
Adicionalmente, los despachos que traten datos de manera sistemática a gran escala pueden estar obligados a designar un Delegado de Protección de Datos (DPD) y a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de implantar un sistema de grabación y transcripción.
Cómo implementar un sistema de grabación y transcripción conforme al RGPD
El proceso de implementación consta de cuatro fases: análisis de la base jurídica y elaboración de las cláusulas de información, selección de un proveedor que ofrezca garantías RGPD y firmar el DPA, configuración técnica del sistema con los controles de acceso y retención adecuados y, finalmente, formación del personal sobre los procedimientos internos.
CallsIQ ha sido diseñado desde cero con este cumplimiento en mente: los datos se procesan en servidores europeos, se ofrece un DPA estándar, el cifrado AES-256 protege todas las grabaciones y transcripciones, y los plazos de retención son configurables por el propio despacho. Esto permite a los abogados beneficiarse de la transcripción automática sin asumir riesgos regulatorios innecesarios.