Guillem Alsina Gonzàlez
Una de las tareas más tediosas que puede haber en una oficina es, tal vez, tener que redactar el acta de una reunión a partir de la grabación de esta, una cosa que, por suerte, nos está quitando de encima la inteligencia artificial gracias a las aplicaciones de toma de notas y resumen automático.
Los notetakers empezaron simulando un asistente más que se conectaba a la sala de videoconferencia para seguir la reunión y, ahora, ya están integrados en la mayoría de las plataformas de videoconferencia, además de encontrarse disponibles como utilidades independientes como, por ejemplo, MeetGeek, ClickUp o Krisp.
Su presencia se ha normalizado en los entornos de colaboración, pero su impacto para la organización que los adopta trasciende lo técnico, ya que puede afectar a la seguridad, las operaciones, la reputación y la estrategia, según explican en Dark Reading los autores Gadi Evron (fundador y CEO de Knostic) y Joe Sullivan (CEO de Ukraine Friends y también CEO de Joe Sullivan Security LLC), ambos expertos en ciberseguridad.
Si operan como servicios externos al margen de los sistemas internos, el riesgo crece, ya que nadie de la organización puede garantizar que las transcripciones se gestionen siempre de la forma adecuada, o bien acaben alojadas en servicios de terceros que no cumplen las mínimas normas legales ni de ciberseguridad.
Precisamente, la exposición del almacenamiento en la nube es un vector central para los ataques: abundan proveedores sin SOC 2, sin alineamiento con GDPR y sin cifrado sólido, y cuesta controlar que alguno de ellos no sea el seleccionado por la empresa que pone el bot de transcripción para almacenar las transcripciones.
A ello se le suma la fragilidad de algunos proveedores de menor tamaño: si el producto se retira o cambia de manos, la empresa puede quedarse sin soporte y con datos sensibles por gestionar, como ocurrió con el cierre de Novacy, que explican en el artículo.
La adopción de estas herramientas se propaga con facilidad por invitaciones entre usuarios; en el artículo de Dark Reading, los autores explican el caso de una organización que llegó a detectar unas 800 cuentas en 90 días por “invite sprawl”.
Riesgos legales y de cumplimiento
Muchas herramientas no muestran con claridad que están en funcionamiento, lo que deriva en grabaciones no comunicadas. En jurisdicciones que exigen consentimiento explícito de todos los participantes, la falta de aviso o aprobación supone un incumplimiento y las transcripciones ya están apareciendo en litigios. Algunos contratos trasladan al cliente la responsabilidad de obtener el consentimiento e incluyen cláusulas de indemnización que desplazan el riesgo.
La protección exige un proceso integral que cubra políticas, programas y todo el ciclo de vida de la reunión, desde la convocatoria hasta el archivo. Conviene establecer un proceso de aprobación para el uso de notetakers y exigir copia cuando clientes o socios deseen grabar a empleados propios. Resulta necesario definir quién puede activarlos, en qué tipos de reuniones están permitidos, cómo se almacenan y retienen las transcripciones y cómo se audita el acceso.
No deben emplearse notetakers en sesiones de estrategia legal, investigaciones de RRHH, evaluaciones de rendimiento ni llamadas amparadas por privilegio profesional, y siempre debe existir una revisión humana que contraste alucinaciones, omisiones y posibles sesgos por “dirección del registro”.
En contratación, es clave revisar y negociar el no uso de los datos para entrenamiento, así como las cláusulas de consentimiento e indemnización.
En paralelo, debe actualizarse la política de compras y la gestión de riesgos de terceros para cubrir resumidores y notetakers de IA, con monitorización y aplicación de configuraciones (retención, cifrado) y de uso (consentimiento, entrada de notetakers externos).
La coordinación con el área legal permite alinear los controles con los requisitos de consentimiento, las normas de privacidad y las obligaciones contractuales e incorporar estos riesgos al marco global de gestión de riesgos empresariales.
En la operativa de cada reunión, conviene validar si la toma automática de notas es apropiada, confirmar que solo se emplean herramientas aprobadas y comunicar los requisitos de consentimiento con antelación. También es recomendable hacer visible la presencia del notetaker, utilizar un lenguaje estándar de aviso, vigilar comportamientos de “dirección del registro”, aplicar retención y controles de acceso estrictos tras la reunión, almacenar las transcripciones en sistemas aprobados por la empresa y definir claramente quién cierra y valida el acta final.
Cabe tener en cuenta que, según los autores del artículo, cuando los resúmenes generados por IA se asumen como registro “oficial”, los participantes tienden a modular su discurso para que figure en la transcripción, lo que introduce un riesgo de gobernanza al primar la influencia sobre el consenso.
Los notetakers reproducen patrones conocidos de BYOD (Bring Your Own Device) y “shadow SaaS”, con dos giros relevantes: mayor exposición legal y contratos que trasladan el riesgo al cliente, además de la fragilidad del proveedor. Fijar reglas ahora evita que las transcripciones acaben como prueba en un litigio o que la organización acumule cuentas no controladas que conviertan la agenda en un “campo de bots”.
