¿Qué tiene que ver el §203 del Código Penal alemán con el software de dictado?

El §203 del Código Penal protege los secretos privados de profesionales con obligación de confidencialidad como abogados, asesores fiscales y médicos. Quien transfiere datos de clientes o pacientes a servidores de terceros mediante software de dictado en la nube, arriesga violar el secreto profesional — penalizado with hasta un año de prisión.

¿Necesito un DPA para software de dictado?

Solo cuando el software transmite datos a servidores externos. Para soluciones basadas en la nube es obligatorio un contrato de tratamiento de datos según el Art. 28 RGPD. Para software puramente local no aplica esta obligación, ya que no se produce tratamiento por encargo.

Qué software de dictado funciona completamente sin conexión

Diktly procesa el lenguaje completamente en local en el ordenador y no requiere conexión a internet. También la versión clásica de Dragon para escritorio funciona en local. La mayoría de las alternativas modernas como Siri, entrada de voz de Google o Dragon Anywhere utilizan en cambio servidores en la nube.

¿Cuánto cuesta un software de dictado conforme al RGPD?

El rango de precios es amplio. Diktly Basic cuesta una sola vez 14,99 € más IVA. Las soluciones en la nube como Dragon Anywhere suelen costar 20-30 € mensuales en suscripción. Además, las soluciones en la nube conllevan costos ocultos para gestión de DPA, evaluación de impacto en protección de datos y documentación de cumplimiento.

Software de dictado y RGPD: Por qué el reconocimiento de voz en la nube es un riesgo legal

Q: ¿Son los datos de voz datos biométricos según el RGPD?

Las grabaciones de voz pueden constituir datos biométricos en el sentido del Art. 4 No. 14 RGPD cuando se procesan para la identificación única de una persona. En este caso aplica la estricta prohibición de procesamiento según el Art. 9 RGPD con sus limitadas excepciones.

En un vistazo: El software de dictado basado en la nube transmite datos de voz a servidores externos — un problema para el RGPD y aún más para los profesionales sujetos al secreto profesional según el §203 StGB. Las grabaciones de voz pueden contener datos biométricos y están por tanto sujetas al estricto Art. 9 RGPD. Las soluciones locales sin conexión evitan completamente estos riesgos porque no hay transmisión de datos.

Dicta un escrito para un cliente. Detalles confidenciales, números de expediente, nombres — todo fluye por voz hacia su ordenador. ¿Pero hacia dónde exactamente? En la mayoría de las soluciones de dictado la respuesta es: a un servidor en la nube. A menudo en EE.UU., a veces en Irlanda, rara vez en Alemania. Para grupos profesionales con deber de confidencialidad — abogados, asesores fiscales, médicos — esto no es solo una cuestión de protección de datos. Es potencialmente punible. Este artículo explica por qué el software de dictado y el RGPD forman un campo de tensión, qué riesgos concretos conllevan las soluciones en la nube y qué alternativas existen.

¿Qué pasa con sus datos de voz en la nube?

El software de dictado basado en la nube transmite sus datos de audio a un servidor externo, donde un modelo de IA convierte la voz en texto y envía de vuelta el resultado. En este proceso, sus datos de voz atraviesan varios nodos de red, se procesan en el servidor del proveedor y se almacenan temporalmente con frecuencia — un procedimiento que tiene consecuencias de largo alcance para la protección de datos.

El problema ya comienza con la propia transmisión. Según una investigación de SkyScribe (2026), algunas apps de transcripción suben datos de audio a servidores externos incluso antes del consentimiento del usuario — a través de SDKs que ya transmiten datos al iniciar la app. Este mecanismo es invisible para el usuario: la app solo solicita acceso al micrófono, mientras que en segundo plano los datos de audio se reenvían a modelos en la nube.

Los grandes proveedores de nube como Google, Apple y Microsoft procesan datos de voz por defecto en sus servidores. Con Siri de Apple y el reconocimiento de voz de Google, el reconocimiento de voz no funciona en absoluto con el WiFi desactivado — una clara señal de que el procesamiento no ocurre localmente. Para uso privado esto puede ser aceptable. Para usuarios profesionales con obligaciones de confidencialidad es un problema de cumplimiento.

Además está la cuestión del almacenamiento de datos. Muchos proveedores de nube se reservan en sus términos de uso el derecho a utilizar datos de audio para mejorar sus modelos. Incluso si se promete una eliminación inmediata, a menudo faltan pruebas transparentes de que los datos sean realmente eliminados completamente. Sin plazos claros de eliminación y procesos verificables queda un riesgo residual de que sus dictados confidenciales permanezcan en servidores ajenos.

Un punto frecuentemente subestimado: también los metadatos son dignos de protección. Incluso si el flujo de audio se transmite cifrado, las marcas de tiempo, direcciones IP, información del dispositivo y patrones de uso pueden permitir conclusiones sobre su trabajo. En un bufete, estos metadatos revelan por ejemplo cuándo se trabajó en qué caso — una información que puede ser valiosa para partes contrarias o competidores.

Flujo de datos en software de dictado basado en la nube comparado con procesamiento local

¿Qué requisitos del RGPD se aplican al software de dictado?

El software de dictado que procesa datos de voz está completamente sujeto al RGPD, ya que los datos de audio son datos personales. Contienen la voz de una persona identificable y a menudo también información sensible sobre terceros. Si se requiere un AVV depende de si el procesamiento tiene lugar localmente o en servidores externos.

Los requisitos centrales del RGPD se pueden dividir en cuatro áreas:

Base legal según Art. 6 RGPD. Todo procesamiento necesita una base legal. Con software de dictado en la nube suele aplicarse el Art. 6 Párr. 1 lit. f (interés legítimo) o lit. a (consentimiento). Ambos son problemáticos en el contexto profesional: el interés legítimo debe ponderarse contra los derechos de las personas afectadas, y obtener un consentimiento efectivo de todas las personas mencionadas en un dictado es prácticamente imposible.

Encargo de tratamiento según Art. 28 RGPD. Tan pronto como un proveedor de nube procesa sus datos de voz en sus servidores, existe un encargo de tratamiento. Un AVV (contrato de encargo de tratamiento) es obligatorio. Debe regular el objeto, duración, naturaleza y propósito del procesamiento, el tipo de datos personales y las obligaciones del encargado del tratamiento. Si falta el AVV, el uso del software ya viola el RGPD — independientemente de si realmente ocurre una violación de protección de datos.

Transferencia a terceros países. Muchos servicios de dictado en la nube procesan datos en EE.UU. u otros terceros países. Desde la sentencia Schrems-II del TJUE (2020), la transmisión de datos personales a EE.UU. está sujeta a requisitos estrictos. El actual EU-US Data Privacy Framework sí ofrece una base, pero ya está bajo crítica jurídica nuevamente. Según el estudio de DLA Piper (2025), solo en 2024 se impusieron multas del RGPD por 1,2 mil millones de euros en toda Europa — las transferencias a terceros países estuvieron entre las violaciones más frecuentes.

Evaluación de impacto de protección de datos (EIPD). Cuando el procesamiento probablemente conlleve un alto riesgo para los derechos de las personas físicas — por ejemplo con datos biométricos o con vigilancia sistemática —, debe realizarse una EIPD según el Art. 35 RGPD. Los datos de voz pueden cumplir este criterio, especialmente si se procesan a gran escala o sistemáticamente.

El punto decisivo: Todos estos requisitos solo se aplican si realmente tiene lugar una transmisión de datos a terceros. Con software de dictado puramente local que no envía datos a servidores externos, se elimina todo el esfuerzo de cumplimiento. No hay encargo de tratamiento, no hay transferencia a terceros países y por tanto tampoco obligación de EIPD — el cumplimiento del RGPD resulta de la propia arquitectura técnica.

Requisito	Software de dictado en la nube	Software de dictado local
Base legal (Art. 6)	Requerida, compleja	No aplica (no hay datos a terceros)
AVV (Art. 28)	Obligatorio	No necesario
Transferencia a terceros países	Frecuente (servidores en EE.UU.)	Excluida
EIPD (Art. 35)	A menudo requerida	Por lo general no necesaria
Medidas técnicas	Dependiente del proveedor	Control total

¿Por qué son los datos de voz especialmente sensibles?

Las grabaciones de voz pueden contener datos biométricos en el sentido del RGPD, porque capturan características físicas y de comportamiento de una persona: frecuencia vocal, ritmo de habla, patrones de articulación. El Art. 4 No. 14 del RGPD define los datos biométricos como datos personales obtenidos mediante procedimientos técnicos especiales que pueden identificar de forma única a una persona.

Cuando los datos de voz se utilizan para identificación única, aplica la estricta prohibición de tratamiento según el Art. 9 Apartado 1 del RGPD. Esta prohibición solo permite diez excepciones estrictamente definidas, como el consentimiento explícito. Para los servicios de dictado en la nube esto significa: incluso si existe un acuerdo de tratamiento de datos y los datos se procesan en la UE, el tratamiento puede violar el Art. 9 si el proveedor utiliza o podría utilizar los datos de audio para biometría vocal.

Según el documento de posición de la Conferencia de Protección de Datos (DSK, 2019), la idoneidad de los datos biométricos para identificación única debe considerarse siempre en la evaluación de riesgos, incluso si el tratamiento actual no tiene como objetivo la identificación. La mera posibilidad es suficiente para justificar medidas de protección elevadas. Esto también aplica a casos en los que el proveedor de la nube sería técnicamente capaz de crear perfiles de voz, incluso si actualmente no lo hace.

Otro aspecto: los datos de voz contienen regularmente también información sobre terceros. Cuando un abogado crea un dictado sobre un caso de cliente, contiene datos personales del cliente, de la parte contraria y posiblemente de testigos. Estas personas no han consentido al tratamiento ni pueden controlarlo. En el contexto de asesoría fiscal, la situación es similar: los dictados sobre casos fiscales contienen datos de ingresos, relaciones familiares e información patrimonial de clientes, todos datos altamente sensibles que terminan en un servidor del proveedor de la nube que ni el asesor fiscal ni el cliente controlan.

Según la TU Darmstadt y la Universidad de Ciencias Aplicadas de Rosenheim, los sistemas de reconocimiento de voz basados en la nube presentan un riesgo considerable porque las grabaciones transmitidas contienen tanto información biométrica como confidencial, y podrían ser mal utilizadas, por ejemplo para las llamadas “Fake Recordings” (grabaciones de voz artificialmente generadas que parecen auténticas). Este riesgo se elimina completamente con el procesamiento local, ya que los datos de audio nunca abandonan el ordenador.

¿Qué significa el §203 StGB para el uso de software de dictado?

El §203 StGB prohíbe a los portadores de secreto profesional (incluyendo abogados, asesores fiscales, auditores y médicos) la revelación no autorizada de secretos privados y castiga las violaciones con pena de prisión de hasta un año o multa. Quien transfiere datos de clientes o pacientes a servidores de terceros mediante software de dictado en la nube, arriesga así una violación del secreto profesional penalmente relevante.

Las consecuencias legales van más allá de la multa. En caso de intención de enriquecimiento, amenaza hasta dos años de prisión (§203 Apartado 6 StGB). A esto se añaden consecuencias del derecho profesional: procedimientos del tribunal de abogados, retirada de la autorización, reclamaciones de daños de los clientes afectados. Wikipedia describe las violaciones del §203 StGB como un “delito masivo difícil de superar” en su frecuencia, aunque rara vez se persigue seriamente. Sin embargo, esto no debe entenderse como una señal de tranquilidad: en caso de emergencia (por ejemplo, una filtración de datos en el proveedor de la nube) la cuestión del deber de diligencia se convierte en el punto decisivo.

Desde la reforma de 2017, el §203 Apartado 3 StGB permite la participación de proveedores de servicios externos como “otras personas colaboradoras”. Sin embargo, la condición es que el portador del secreto profesional seleccione cuidadosamente al proveedor de servicios y lo obligue al secreto. Estas personas colaboradoras quedan a su vez incluidas en la responsabilidad penal según el §203: también se hacen culpables si revelan un secreto conocido con ocasión de su actividad. Con proveedores de la nube con sede en Estados Unidos es cuestionable si esta condición puede cumplirse, especialmente considerando las leyes de vigilancia como FISA Section 702 y el CLOUD Act, que permiten a las autoridades estadounidenses acceso a datos, incluso si están almacenados en la UE.

El abogado especialista en derecho TI Andreas Nörr lo expresó claramente en una entrevista con Future-Law (2026): muchos abogados asesoran a sus clientes sobre protección de datos, pero ellos mismos utilizan herramientas de consumo inseguras para dictados confidenciales. El uso de Siri o entrada de voz de Google para dictados de clientes es una contradicción flagrante con las obligaciones profesionales. Ve la solución en herramientas profesionales que procesan datos localmente o en centros de datos europeos certificados: los productos de consumo no tienen lugar en el entorno de bufetes.

Resumen: ¿Qué grupos profesionales están cubiertos por el §203 StGB

¿Qué riesgos concretos existen con el software de dictado en la nube?

El software de dictado basado en la nube conlleva riesgos técnicos, legales, económicos y reputacionales considerables que pueden reforzarse mutuamente. Un único incidente de protección de datos en el proveedor de la nube puede desencadenar simultáneamente una multa del RGPD, una investigación penal según el §203 StGB, demandas civiles de indemnización y un daño reputacional duradero entre clientes y pacientes.

Riesgos técnicos. Los datos de audio se transmiten a través de Internet hacia el servidor. A pesar del cifrado HTTPS, existe un riesgo residual con certificados comprometidos o ataques de man-in-the-middle. En el propio servidor, los datos se descifran y procesan: quien tenga acceso al servidor, tiene acceso a sus dictados. Según el Cloud-Monitor de KPMG y Bitkom Research, las amenazas procedentes de la nube están aumentando constantemente, especialmente para las empresas medianas, particularmente por robo de datos y espionaje industrial. Especialmente insidioso: algunas aplicaciones transfieren audio ya a través de SDKs antes de que el usuario haya dictado activamente.

Riesgos legales. Además de las multas del RGPD (hasta 20 millones de euros o el 4% de la facturación anual mundial según el Art. 83 RGPD) y la penalización según el §203 StGB, también amenazan las reclamaciones civiles de indemnización. El Art. 82 RGPD otorga a los afectados un derecho a indemnización por infracciones del RGPD, incluso por daños inmateriales. En 2025, solo la BfDI impuso una multa de 45 millones de euros contra Vodafone por procesamiento de encargos deficiente (Portal RGPD, 2026). En el mismo año, la CNIL multó a Google con 325 millones de euros y a Shein con 150 millones de euros.

Riesgos económicos. El software de dictado en la nube genera costos continuos: suscripciones, gestión de contratos de encargo, auditorías de cumplimiento regulares, creación de EIPD. Dragon Anywhere como modelo de suscripción cuesta mensualmente entre 20 y 30 euros por usuario con una duración mínima de 12 meses. A esto se suman los costos de revisión legal del cumplimiento de protección de datos, que se repiten con cada cambio de proveedor.

Riesgos reputacionales. Un incidente de protección de datos en un proveedor de la nube afecta potencialmente a todos los usuarios simultáneamente. Para bufetes y consultas, tal incidente puede suponer una amenaza existencial. El número promedio de violaciones de protección de datos reportadas aumentó según DLA Piper (2025) a 363 notificaciones por día en Europa. En 2025 se notificaron a las autoridades alemanas un total de 10.259 brechas de datos, un aumento respecto al año anterior con 8.623 notificaciones (Portal RGPD, 2026).

Categoría de riesgo	Solución en la nube	Solución local
Fuga de datos en transmisión	Posible	Excluida
Acceso de terceros en el servidor	Posible (también autoridades de EE.UU.)	Excluido
Multa RGPD	Hasta 20 millones € / 4% facturación	Riesgo mínimo
§203 StGB Penalización	Sí, para portadores de secreto profesional	No
Costos de cumplimiento continuos	Contratos de encargo, EIPD, auditorías	Ninguno

¿Cómo funciona el reconocimiento de voz local como alternativa?

El reconocimiento de voz local procesa los datos de audio completamente en el propio ordenador del usuario, sin conexión a Internet y sin transmisión a servidores externos. El modelo de IA se ejecuta directamente en el hardware local, por lo que ningún tercero se integra en la cadena de procesamiento, no se necesita ningún contrato de procesamiento de encargos y el cumplimiento del RGPD está dado arquitectónicamente.

El avance tecnológico que hace esto posible se llama OpenAI Whisper. Este modelo de código abierto fue entrenado con 680.000 horas de datos de audio multilingües y alcanza para el alemán una Word Error Rate (WER) de aproximadamente 5,8%, comparable con los servicios comerciales en la nube. Lo decisivo es: Whisper funciona completamente en hardware local. Las CPU modernas procesan dictados en tiempo casi real, con soporte de GPU (Apple Metal en Mac, NVIDIA CUDA en Windows) incluso significativamente más rápido.

Mediante la cuantización de modelos, la conversión de pesos de coma flotante de 32 bits a formatos más pequeños, el modelo se reduce a un tamaño manejable sin afectar sustancialmente la precisión. Según MLCommons (2025), la implementación de referencia de Whisper alcanza una Word Accuracy del 97,93% y redujo la tasa de error en más del 72% respecto al modelo MLPerf-ASR anterior. La licencia MIT permite el uso comercial irrestricto, una ventaja decisiva frente a los servicios propietarios en la nube, donde está vinculado a un único proveedor.

Para el cumplimiento del RGPD, el resultado es claro: si ningún dato de voz abandona el ordenador, no hay procesamiento de encargos, no hay transferencia a terceros países y no hay proveedor de la nube en el que deba confiar. Toda la complejidad de cumplimiento desaparece. También para el §203 StGB la situación es clara: datos que nunca abandonan el ordenador no pueden ser “revelados”.

Diktly utiliza exactamente este enfoque. El software procesa el habla completamente de forma local a través del modelo Whisper. Sin Internet, sin nube, sin conexión al servidor, ni siquiera para verificaciones de actualizaciones. Para los portadores de secreto profesional según el §203 StGB, este es el camino más seguro: los datos permanecen en el ordenador, el deber de confidencialidad se garantiza técnicamente.

Una ventaja práctica que a menudo se pasa por alto: el reconocimiento de voz local también funciona donde no hay Internet: en el tribunal, en la cita con el cliente, en el tren o en el extranjero. Mientras las soluciones en la nube fallan con conexiones deficientes o luchan con alta latencia, el software local trabaja de manera fiable y sin demora. Para asesores fiscales en la fase alta de las declaraciones de impuestos y abogados con plazos ajustados, esto no es un tema de comodidad, sino un factor de productividad.

¿Qué requisitos debe cumplir un software de dictado conforme al RGPD?

Un software de dictado conforme al RGPD debe garantizar que los datos de voz no se transmitan a terceros sin base legal y que el usuario mantenga siempre el control total sobre sus datos de audio. El término “conforme al RGPD” no está protegido — por lo tanto, verifique específicamente cómo maneja el software sus datos.

Los siguientes criterios ayudan en la evaluación:

1. Procesamiento de datos. ¿Dónde tiene lugar el reconocimiento de voz — en su dispositivo o en un servidor externo? Pruebe esto desconectando la conexión a internet e iniciando un dictado. Si el software funciona sin conexión, el procesamiento es realmente local. Esta prueba también desenmascarará a proveedores que promocionan “IA local” pero que en realidad dependen del procesamiento en la nube.

2. Comunicación de red. Verifique si el software transmite datos en segundo plano. Algunas aplicaciones promocionan “IA local”, pero aún así envían datos de telemetría, estadísticas de uso o actualizaciones de modelos a través de la red. Según el análisis de SkyScribe (2026), algunas aplicaciones de transcripción redirigen grabaciones a modelos en la nube a través de procesos en segundo plano, aunque solo soliciten acceso al micrófono. Preste especial atención a aplicaciones que establecen una conexión de red al iniciar, aunque no deberían necesitar internet para la función de dictado.

3. DPA y documentación. Si el software utiliza componentes en la nube: ¿ofrece el proveedor un DPA completo? ¿Dónde están los servidores? ¿En qué país tiene sede el proveedor? ¿Qué subcontratistas están involucrados? Un DPA faltante o incompleto ya constituye una violación del RGPD — independientemente de si realmente fluyen datos.

4. Almacenamiento y eliminación de datos. ¿Se almacenan datos de audio o transcripciones? Si es así, ¿por cuánto tiempo? ¿Hay plazos claros de eliminación? La falta de especificaciones como “eliminación después de X días” significa que según el RGPD no hay garantía de que sus datos no se almacenen indefinidamente. También preste atención a si el proveedor utiliza datos de audio para entrenar sus modelos de IA — este es un propósito de procesamiento separado que requiere su propia base legal.

5. Transparencia de código abierto. ¿Es de código abierto el motor de IA utilizado? Con modelos de código abierto como Whisper (licencia MIT), se pueden realizar auditorías de seguridad independientes. Los modelos propietarios en la nube son cajas negras — debe confiar en el proveedor sin poder verificar su procesamiento de datos.

¿Cuál es la situación legal del reconocimiento de voz en la nube en el bufete?

El reconocimiento de voz basado en la nube en bufetes de abogados no está prohibido per se, pero requiere el cumplimiento tanto de las disposiciones de protección de datos como de las normas profesionales. Además del RGPD, se aplica el Código Deontológico para Abogados (BRAO): el §43a párr. 2 BRAO obliga al secreto profesional sobre todo lo que se haya conocido en el ejercicio de la profesión.

El uso de software de dictado en la nube en el bufete requiere al menos:

Un DPA completo con el proveedor de la nube según el Art. 28 RGPD
La verificación de si el proveedor de la nube puede calificarse como “otra persona colaboradora” en el sentido del §203 párr. 3 StGB
Un compromiso escrito del proveedor de confidencialidad
Con proveedores estadounidenses: verificación de los efectos de FISA Section 702, CLOUD Act y EU-US Data Privacy Framework
Una evaluación de impacto de protección de datos documentada según Art. 35 RGPD
La información a todos los interesados (Art. 13/14 RGPD) — es decir, también a los clientes sobre cuyos datos se dicta

En la práctica, esto significa una considerable carga administrativa. Como señaló Simon Reuvekamp, CTO del bufete Meyer-Köring y especialista en sistemas de dictado, en legal-tech.de: La protección de datos no limita las ventajas del reconocimiento de voz — siempre que haya un concepto bien pensado detrás. Quien simplemente usa Siri o la entrada de voz de Google para dictados de clientes, actúa negligentemente. Recomienda como alternativa más segura el uso de soluciones locales de reconocimiento de voz que funcionen completamente sin transmisión de red — o al menos soluciones donde los datos solo fluyan a través del servidor encriptado propio del bufete.

La solución más simple que evita todos estos requisitos: software donde el reconocimiento de voz se ejecute completamente en local en la computadora del bufete. Sin proveedor de nube, sin DPA, sin transferencia a terceros países — y sin flancos abiertos en la próxima auditoría de protección de datos.

Un ejemplo práctico ilustra la diferencia: un bufete individual que usa Dragon Anywhere debe revisar el DPA con Nuance/Microsoft, evaluar la problemática de terceros países (los servidores están según el proveedor en un centro de datos alemán, pero Microsoft como empresa estadounidense está sujeta al CLOUD Act), crear una EIPD, informar a todos los clientes según Art. 13 RGPD y calificar al proveedor de la nube como persona colaboradora según §203 párr. 3 StGB y comprometería a la confidencialidad. El mismo bufete con una solución local como Diktly no necesita hacer nada de esto — la conformidad con el RGPD surge de la arquitectura.

¿Cuánto cuesta el software de dictado conforme al RGPD en comparación?

Los costes totales del software de dictado conforme al RGPD se componen del precio de adquisición y los costes de cumplimiento, a menudo pasados por alto: estos últimos pueden superar varias veces el precio puro del software en las soluciones en la nube. Por tanto, una comparación justa debe tener en cuenta, además de las tarifas de licencia, la verificación del contrato de encargo de tratamiento, la evaluación de impacto de protección de datos y la documentación continua de cumplimiento.

Solución	Precio	Modelo	Nube / Local	¿Contrato necesario?
Siri / Google Entrada de voz	Gratuito	—	Nube	Sí (apenas posible)
Dragon Anywhere	~25 €/mes (Suscripción)	Suscripción, 12 meses	Nube (centro de datos alemán)	Sí
Philips SpeechLive	~15–25 €/mes	Suscripción	Nube (UE)	Sí
Whisper (Self-Hosted)	Gratuito (Open Source)	—	Local	No
Diktly Basic	14,99 € una vez + IVA	Compra única	100 % local	No
Diktly Pro	49,99 € una vez + IVA	Compra única	100 % local	No

En las soluciones en la nube se añaden costes de cumplimiento: la verificación inicial de un contrato de encargo de tratamiento por un responsable de protección de datos cuesta entre 500 y 2.000 € según la complejidad. Una evaluación de impacto de protección de datos oscila entre 1.000 y 5.000 €. Estos costes se producen por proveedor y se repiten con cada cambio de proveedor. Para despachos más grandes con varios profesionales, los costes de licencia se multiplican por usuario, mientras que los costes de cumplimiento solo se producen una vez; en unidades pequeñas, por el contrario, predomina claramente la sobrecarga de cumplimiento.

Para autónomos y pequeños despachos, el cálculo es especialmente claro: una suscripción en la nube suma más de 600 € en dos años, más el esfuerzo de cumplimiento. Si se añaden la verificación única del contrato de encargo (desde 500 €) y una evaluación de impacto de protección de datos (desde 1.000 €), los costes totales para la operación conforme al RGPD de una solución de dictado en la nube superan rápidamente los 2.000 € en los primeros dos años. Una solución local como Diktly cuesta una sola vez 14,99 € y no requiere gestión continua de protección de datos. También las herramientas de consumo supuestamente “gratuitas” como Siri o Google Entrada de voz tienen un precio: pagas con tus datos, y para los sujetos al secreto profesional se añade en caso de urgencia el precio de un proceso penal.

Preguntas frecuentes sobre software de dictado y RGPD

¿Es el software de dictado conforme al RGPD?

Depende de la arquitectura. El software de dictado basado en la nube transmite datos de voz a servidores externos y requiere un contrato de encargo de tratamiento según el Art. 28 RGPD. El software instalado localmente como Diktly procesa todo en el ordenador: sin transmisión de datos, sin necesidad de contrato, conforme al RGPD por diseño.

¿Por qué las soluciones de dictado en la nube son problemáticas desde el punto de vista de la protección de datos?

Los servicios en la nube transmiten datos de audio a servidores externos, a menudo fuera de la UE. Las grabaciones de voz contienen características biométricas y contenido potencialmente confidencial. Sin la base jurídica correcta, contrato de encargo y evaluación de impacto de protección de datos, el uso viola el RGPD.

¿Qué tiene que ver el §203 StGB con el software de dictado?

El §203 StGB protege los secretos privados de los sujetos al secreto profesional como abogados, asesores fiscales y médicos. Quien transmite datos de clientes o pacientes a servidores de terceros mediante software de dictado en la nube, se arriesga a una violación del deber de confidencialidad, punible con hasta un año de prisión.

¿Necesito un contrato de encargo para el software de dictado?

Solo si el software transmite datos a servidores externos. En soluciones basadas en la nube, un contrato de encargo de tratamiento según el Art. 28 RGPD es obligatorio. En software puramente local, esta obligación no aplica, ya que no tiene lugar tratamiento por encargo.

¿Qué software de dictado funciona completamente offline?

Diktly procesa la voz completamente en local en el ordenador y no necesita internet. También la versión clásica de escritorio de Dragon trabaja localmente. La mayoría de las alternativas modernas como Siri, Google Entrada de voz o Dragon Anywhere utilizan servidores en la nube.

¿Son los datos de voz datos biométricos según el RGPD?

Las grabaciones de voz pueden ser datos biométricos en el sentido del Art. 4 No. 14 RGPD si se procesan para la identificación única de una persona. En este caso se aplica la estricta prohibición de tratamiento según el Art. 9 RGPD con sus excepciones limitadas.

¿Cuánto cuesta el software de dictado conforme al RGPD?

El rango de precios es amplio. Diktly Basic cuesta una vez 14,99 € más IVA. Las soluciones en la nube como Dragon Anywhere cuestan a menudo 20–30 € mensuales por suscripción. A esto se añaden en las soluciones en la nube costes ocultos para gestión de contratos de encargo, evaluación de impacto de protección de datos y documentación de cumplimiento.

Conclusión: El procesamiento local es el camino más seguro hacia la conformidad con el RGPD

La pregunta no es si el software de dictado en la nube puede operarse de forma conforme al RGPD. Con suficiente esfuerzo —contrato de encargo, evaluación de impacto, verificación de terceros países, asegurar §203— esto es teóricamente posible. La pregunta es si vale la pena este esfuerzo cuando existe una solución más sencilla.

El reconocimiento de voz local elimina el problema de raíz. Cuando ningún dato abandona el ordenador, no hay encargado del tratamiento, no hay transferencia a terceros países y no hay violación del secreto profesional. El cumplimiento no es laborioso: está dado arquitectónicamente. Gracias a modelos de código abierto como Whisper, la calidad de reconocimiento de las soluciones locales está hoy al nivel de los servicios comerciales en la nube: la supuesta ventaja de calidad de la nube ya no es un argumento.

Si como abogado, asesor fiscal o médico utilizas software de dictado, pregúntate hoy: ¿dónde van a parar tus datos de voz? Si la respuesta es “a la nube”, es hora de cambiar. Diktly procesa todo localmente, cuesta una vez desde 14,99 € y no requiere ni un solo proceso de cumplimiento. Porque la mejor protección de datos es aquella en la que no hay nada que proteger, porque los datos nunca abandonan tu ordenador.