Leyes de Grabación en la UE: RGPD, Ley de IA, Normas de Consentimiento y Guía País por País (2026)

Grabar una llamada telefónica, una videoconferencia o una conversación presencial en cualquier lugar de la Unión Europea está regido por al menos dos marcos legales simultáneamente, y a veces tres. El código penal del estado miembro determina si grabar constituye un acto penal. El RGPD determina si la grabación es un tratamiento lícito de datos personales. Y desde 2025, la Ley de IA de la UE impone obligaciones adicionales siempre que se utilicen herramientas de inteligencia artificial para capturar, generar o alterar grabaciones.
Esta guía explica cómo interactúan estas capas, describe las normas de consentimiento en los 27 estados miembros de la UE, y enlaza a cada página específica de país para un análisis detallado.
Respuesta rápida: ¿existe una única ley de grabación en la UE?
No. La Unión Europea nunca ha promulgado una ley unificada de consentimiento para grabar. La ley de grabación en Europa opera con una estructura de tipo federal: la UE establece normas de protección de datos e IA que se aplican de manera uniforme, pero la prohibición penal subyacente sobre grabar sin consentimiento queda enteramente en manos de cada estado miembro.
La consecuencia práctica es que la misma llamada telefónica puede ser perfectamente legal en un extremo y un delito penal en el otro, según la ley del país que se aplique a cada participante.
Lo que la UE sí proporciona de manera uniforme es la capa de protección de datos. El RGPD se aplica en todos los estados miembros, a todo responsable y encargado del tratamiento, sin excepción. Por lo tanto, independientemente de si la grabación está permitida penalmente, también debe cumplir los requisitos del RGPD sobre base legal, transparencia y minimización de datos.
Por qué no existe una única ley de grabación en la UE
La competencia legislativa de la UE no se extiende al derecho penal de los estados miembros sobre comunicaciones privadas. El artículo 83 del Tratado de Funcionamiento de la Unión Europea (TFUE) permite a la UE establecer normas mínimas para delitos transfronterizos especialmente graves, pero la interceptación de comunicaciones y la grabación privada nunca se han armonizado bajo esa facultad.
En cambio, el derecho de la UE aborda este ámbito de forma indirecta mediante la protección de datos y la normativa de telecomunicaciones. La Directiva ePrivacy 2002/58/CE exige a los estados miembros prohibir la interceptación de comunicaciones electrónicas sin consentimiento, pero se trata de una directiva, no de un reglamento. Cada estado miembro la transpuso de forma distinta, y las sanciones penales que cada uno vinculó a su incumplimiento varían ampliamente.
El resultado son 27 conjuntos distintos de normas penales, todos envueltos en una obligación uniforme del RGPD y, ahora, en una obligación uniforme de la Ley de IA. Entender la ley de grabación de la UE significa entender tanto las capas uniformes de la UE como las normas penales país por país que subyacen bajo ellas.
Las capas legales de la UE que se aplican en todas partes
El RGPD como capa universal

El Reglamento General de Protección de Datos (Reglamento 2016/679) se aplica directamente en todos los estados miembros desde el 25 de mayo de 2018. Es un reglamento, no una directiva, lo que significa que tiene efecto uniforme sin necesidad de transposición nacional.
Cualquier grabación de voz de una persona identificable constituye datos personales conforme al artículo 4(1) del RGPD. Tratar esos datos personales (incluida su captura, almacenamiento, acceso y difusión) exige una base legal conforme al artículo 6. Las seis bases disponibles son:
- Consentimiento (artículo 6(1)(a)): acuerdo libre, específico, informado e inequívoco para ser grabado.
- Ejecución de un contrato (artículo 6(1)(b)): la grabación es necesaria para cumplir un contrato con la persona grabada.
- Obligación legal (artículo 6(1)(c)): el derecho de la UE o nacional exige la grabación (por ejemplo, MiFID II para transacciones financieras).
- Intereses vitales (artículo 6(1)(d)): la grabación es necesaria para proteger la vida de una persona.
- Tarea de interés público (artículo 6(1)(e)): la grabación es necesaria para una tarea realizada en interés público conforme al derecho de la UE o nacional.
- Intereses legítimos (artículo 6(1)(f)): se persigue un interés legítimo, es necesario para ese fin, y no queda anulado por los derechos y libertades de la persona grabada.
Elegir una base legal no agota el análisis. El RGPD también exige transparencia (los avisos de los artículos 13/14 deben proporcionarse antes o en el momento de la grabación), limitación de la finalidad (las grabaciones no pueden reutilizarse para otro fin sin una nueva base compatible), minimización de datos (grabar solo lo necesario), limitación del plazo de conservación (definir y aplicar un período de retención), y seguridad adecuada (artículo 32).
La excepción doméstica del considerando 18 excluye del ámbito del RGPD la grabación puramente personal o doméstica. Grabar una conversación familiar para referencia personal está exento. Compartirla, publicarla o usarla comercialmente elimina la exención de inmediato.
La excepción periodística del artículo 85 exige a los estados miembros conciliar la protección de datos con la libertad de expresión para fines periodísticos, académicos, artísticos o literarios. Los estados miembros aplican esta excepción con variaciones significativas. El Tribunal de Justicia de la UE (Buivids, C-345/17, 2019) sostuvo que publicar en YouTube una grabación de agentes de policía podía acogerse a la excepción periodística si el propósito era divulgar información al público.
Directiva ePrivacy 2002/58/CE
La Directiva ePrivacy regula la confidencialidad de las comunicaciones electrónicas. Su artículo 5(1) prohíbe a los estados miembros permitir la escucha, intervención, almacenamiento o vigilancia de comunicaciones electrónicas sin el consentimiento de los usuarios afectados.
El artículo 5(2) crea una excepción comercial limitada: se permite grabar cuando se realiza en el curso de una práctica comercial lícita con el fin de aportar prueba de una transacción comercial. Esta es la base legal para grabar llamadas de atención al cliente y de ventas, siempre que se avise previamente a quien llama.
La propuesta de Reglamento ePrivacy, que habría sustituido a la Directiva por un reglamento de aplicación directa, se presentó por primera vez en enero de 2017. Tras ocho años de bloqueo legislativo, la Comisión Europea retiró formalmente la propuesta en febrero de 2025, como parte de una iniciativa más amplia de simplificación normativa. La Directiva de 2002, modificada en 2009, sigue siendo el marco vigente.
Dado que la Directiva ePrivacy es una directiva, los requisitos de su artículo 5 se transpusieron de forma distinta al derecho nacional en cada estado miembro. La implementación de Alemania (TDDDG), la de Francia (conforme al Code des postes et des communications electroniques), y las de otros estados miembros añaden matices propios de cada país.
Ley de IA de la UE: artículos 5 y 50 (Reglamento 2024/1689)
La Ley de IA de la UE (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024. Sus disposiciones se aplican de forma escalonada.
Artículo 5, prácticas prohibidas (vigente desde el 2 de febrero de 2025). El artículo 5 prohíbe por completo una categoría de aplicaciones de IA. La prohibición más directamente relevante para la grabación es la que recae sobre los sistemas de identificación biométrica remota en tiempo real usados en espacios de acceso público con fines de aplicación de la ley. La identificación biométrica en tiempo real significa procesar transmisiones de video o audio en directo para identificar a personas comparando sus datos biométricos con una base de datos. Esta práctica (ejemplificada por el reconocimiento facial en cámaras de videovigilancia) está prohibida por defecto.
Los estados miembros pueden establecer excepciones limitadas mediante ley nacional para delitos graves específicamente enumerados, búsquedas selectivas de personas desaparecidas y amenazas terroristas inminentes, sujetas en la mayoría de los casos a autorización judicial o administrativa independiente previa. La Comisión publicó sus Guidelines on Prohibited AI Practices en abril de 2025 para aclarar el alcance de cada prohibición.
El artículo 5 también prohíbe los sistemas de IA que clasifican a las personas a partir de sus datos biométricos para inferir atributos sensibles como opinión política, creencia religiosa u orientación sexual. Los sistemas de grabación equipados con IA que perfilan automáticamente a los hablantes según esos atributos quedan dentro de esta prohibición.
Artículo 50, transparencia para el contenido generado por IA (se aplica desde el 2 de agosto de 2026). El artículo 50 impone obligaciones de divulgación a los proveedores y responsables del despliegue de sistemas de IA que generan audio, imagen, video o texto sintéticos. Las dos obligaciones más directamente relevantes para la grabación y los medios son:
Primero, el contenido de audio, imagen o video generado o manipulado por IA (deepfakes) debe divulgarse como generado o manipulado artificialmente cuando ese contenido represente a personas reales. Esta obligación se aplica a los responsables del despliegue y debe cumplirse de forma clara y distinguible, salvo cuando el contenido esté cubierto por una excepción limitada para uso autorizado de aplicación de la ley o para obras artísticas proporcionadas con la divulgación adecuada.
Segundo, el texto generado por IA que se publique para informar al público debe divulgarse como generado por IA, salvo que haya sido objeto de una revisión humana genuina y una persona física o jurídica asuma la responsabilidad editorial.
Las sanciones por incumplimiento del artículo 50 alcanzan los 15 millones de euros o el 3 por ciento de la facturación anual mundial, lo que sea mayor.
La Comisión publicó en marzo de 2026 el segundo borrador del Code of Practice on Transparency of AI-Generated Content, abierto a comentarios de las partes interesadas. El código pretende cerrar la brecha entre la obligación legal y los estándares técnicos necesarios para implementar el etiquetado legible por máquina. Las obligaciones completas del artículo 50 se aplican desde el 2 de agosto de 2026.
Directiva 2024/1385: lucha contra la violencia hacia las mujeres
La Directiva 2024/1385, de 14 de mayo de 2024, sobre la lucha contra la violencia hacia las mujeres y la violencia doméstica, penaliza varias formas de abuso digital y facilitado por IA a nivel de la UE. Las dos disposiciones más relevantes para la grabación y los medios sintéticos son:
Artículo 5, producción y difusión no consentidas de imágenes íntimas. Los estados miembros deben penalizar la producción, distribución o puesta a disposición de imágenes íntimas reales o realistas generadas por IA de una persona sin su consentimiento, cuando sea probable que cause un daño grave a la víctima. Esto cubre directamente la pornografía deepfake y las grabaciones íntimas de audio o video no consentidas.
Artículo 7, ciberacoso. Los estados miembros deben penalizar el envío reiterado de material amenazante o abusivo mediante comunicaciones electrónicas, incluidas grabaciones de audio y video, con el fin de intimidar a una persona.
La Directiva entró en vigor el 13 de junio de 2024. Los estados miembros deben transponerla al derecho nacional antes del 14 de junio de 2027.
Carta de los Derechos Fundamentales de la UE y artículo 8 del CEDH
Dos marcos basados en derechos limitan la forma en que se aplica la ley de grabación en toda la UE.
Los artículos 7 y 8 de la Carta de la UE garantizan, respectivamente, el respeto de la vida privada y familiar, el domicilio y las comunicaciones (artículo 7) y la protección de los datos personales (artículo 8). Se aplican cuando se implementa o aplica el derecho de la UE, incluso en procesos ante el TJUE. Las leyes nacionales de grabación que implementan directivas de la UE deben cumplir con la Carta.
El artículo 8 del Convenio Europeo de Derechos Humanos garantiza el derecho al respeto de la vida privada y familiar. El Tribunal Europeo de Derechos Humanos (TEDH) ha desarrollado una jurisprudencia considerable que interpreta el artículo 8 en el contexto de grabaciones, vigilancia y publicación de información privada.
La línea de referencia de casos von Hannover (von Hannover c. Alemania, demanda 59320/00, sentencia de 24 de junio de 2004; von Hannover c. Alemania (n.º 2), demandas 40660/08 y 60641/08, sentencia de la Gran Sala de 7 de febrero de 2012) estableció que el artículo 8 protege a las personas no solo frente a la injerencia de las autoridades públicas, sino también frente a particulares y medios de comunicación. La sentencia de la Gran Sala de 2012 fijó una prueba de ponderación de proporcionalidad: la publicación o el uso de grabaciones que involucren a particulares exige sopesar la contribución a un debate de interés público general frente al grado de injerencia en la esfera privada de la persona.
El artículo 10 del CEDH (libertad de expresión) opera en el otro lado de esta balanza. El TEDH ha sostenido de forma constante que filmar y publicar grabaciones de funcionarios públicos, incluida la policía, en el desempeño de sus funciones puede quedar amparado por la protección del artículo 10. Cualquier injerencia en ese derecho debe ser necesaria y proporcionada.
Normas de consentimiento por estado miembro: la tabla por país

Cada fila refleja la regla penal por defecto a mayo de 2026. El RGPD se aplica en todas las filas. Los enlaces a las páginas de cada país que aparecen a continuación incluyen las citas legales completas, las sanciones y las medidas de aplicación recientes.
| País | Norma de consentimiento | Ley clave | Guía del país |
|---|---|---|---|
| Austria | Todas las partes | StGB art. 120 | Austria |
| Bélgica | Una parte | Art. 314bis CP | Bélgica |
| Bulgaria | Todas las partes | Código Penal art. 145 | Bulgaria |
| Croacia | Todas las partes | Código Penal art. 142 | Croacia |
| Chipre | Todas las partes | Constitución arts. 15/17 | Chipre |
| República Checa | Una parte | Código Penal art. 182 | República Checa |
| Dinamarca | Una parte | Código Penal art. 263 | Dinamarca |
| Estonia | Una parte | Código Penal arts. 156-157 | Estonia |
| Finlandia | Una parte | Código Penal cap. 38 | Finlandia |
| Francia | Todas las partes | Código Penal art. 226-1 | Francia |
| Alemania | Todas las partes | StGB art. 201 | Alemania |
| Grecia | Todas las partes | Código Penal art. 370A | Grecia |
| Hungría | Todas las partes | Código Penal art. 422 | Hungría |
| Irlanda | Una parte | Sin prohibición penal explícita sobre la grabación por un participante | Irlanda |
| Italia | Una parte | Código Penal art. 617 | Italia |
| Letonia | Una parte | Ley Penal art. 144 | Letonia |
| Luxemburgo | Todas las partes | Código Penal art. 509-1 | Luxemburgo |
| Países Bajos | Una parte | Código Penal art. 139a | Países Bajos |
| Polonia | Una parte | Código Penal art. 267 | Polonia |
| Portugal | Todas las partes | Código Penal arts. 190-194 | Portugal |
| Rumania | Una parte | Código Penal art. 302 | Rumania |
| Eslovaquia | Todas las partes | Código Penal art. 377 | Eslovaquia |
| Eslovenia | Todas las partes | Código Penal art. 137 | Eslovenia |
| España | Una parte | Código Penal art. 197 | España |
| Suecia | Una parte | Código Penal cap. 4 art. 9a | Suecia |
Nota sobre el RGPD. Todos los países de esta tabla también están sujetos al RGPD. Una grabación que sea penalmente lícita conforme a la norma nacional de consentimiento de la segunda columna puede, aun así, infringir el RGPD si quien graba carece de una base legal válida conforme al artículo 6, no proporciona un aviso de privacidad, o conserva la grabación sin un calendario de retención definido. Estas obligaciones son independientes y acumulativas.
Decisiones de aplicación del RGPD sobre grabación
Dos decisiones de autoridades de protección de datos ilustran cómo opera el RGPD en la práctica junto con el derecho penal de los estados miembros.
Dinamarca, Datatilsynet contra TDC (2019). Dinamarca es un país de consentimiento de una parte: un participante puede grabar una llamada conforme al derecho penal danés sin avisar a la otra parte. Pese a ello, la autoridad danesa de protección de datos falló en contra de TDC A/S, la mayor empresa de telecomunicaciones de Dinamarca, porque TDC grababa llamadas de atención al cliente con fines de capacitación sin una base legal válida conforme al RGPD. Informar a quienes llamaban de que las llamadas podían ser grabadas resultó insuficiente. Dado que la capacitación no es ejecución de un contrato ni una obligación legal, TDC necesitaba el consentimiento específico y afirmativo de cada persona que llamaba. La resolución trazó una línea clara entre la licitud penal y el cumplimiento del RGPD.
Polonia, UODO contra Centro de Varsovia (2022). La autoridad polaca de protección de datos multó a una instalación pública por operar cámaras equipadas con micrófonos que captaban audio de forma continua. La instalación contaba con autorización legal para la videovigilancia, pero no para la grabación de audio. La UODO sostuvo que la captura de audio requiere su propia base legal independiente conforme al artículo 6 del RGPD, completamente separada de cualquier autorización que cubra el video. La multa fue modesta (10.000 PLN), pero el principio quedó claro: no se puede extender una base legal de videovigilancia para cubrir el audio sin un nuevo análisis.
Directrices 1/2024 del CEPD sobre intereses legítimos. En octubre de 2024, el Comité Europeo de Protección de Datos finalizó sus directrices sobre el interés legítimo del artículo 6(1)(f). Las directrices confirman una prueba de tres pasos: prueba de finalidad (¿existe un interés legítimo?), prueba de necesidad (¿es la grabación necesaria para ese fin?), y prueba de ponderación (¿los derechos del interesado prevalecen sobre el interés del responsable?). La prevención del fraude y la preservación de pruebas pueden calificar; el control de calidad general y la capacitación, sin consentimiento, requieren un análisis cuidadoso caso por caso.
Grabar a la policía y a funcionarios públicos en la UE

Grabar a agentes de policía y a otros funcionarios públicos en el desempeño de sus funciones ocupa un espacio legalmente distinto al de grabar conversaciones privadas. Se aplican dos marcos en tensión.
El artículo 10 del CEDH respalda la grabación de la policía. El Tribunal Europeo de Derechos Humanos ha tratado de forma constante el hecho de filmar y publicar grabaciones de funcionarios públicos en el desempeño de sus funciones como una expresión protegida conforme al artículo 10 del CEDH. Cualquier injerencia en ese derecho debe ser necesaria y proporcionada. Los estados miembros no pueden penalizar la grabación de la policía únicamente porque el agente no haya dado su consentimiento.
El RGPD se aplica a la propia grabación. Publicar una grabación de un agente de policía implica tratar sus datos personales, aunque actúe en calidad pública. La sentencia Buivids del TJUE (C-345/17, 2019) confirmó que filmar a la policía en una comisaría y publicar las imágenes en línea constituye un tratamiento de datos personales. Sin embargo, la excepción periodística del artículo 85 del RGPD (transpuesta de forma distinta en cada estado miembro) puede justificar dicho tratamiento cuando el propósito es informar al público.
Las variaciones entre países son significativas. Francia reconoce explícitamente el derecho a filmar a la policía en espacios públicos conforme al principio de libertad de prensa y libertad de expresión. La Ley de Seguridad Ciudadana de España (Ley Orgánica 4/2015) impone multas por la publicación no autorizada de imágenes de la policía que puedan poner en riesgo su seguridad, aunque esta disposición ha sido criticada por desproporcionada y está sujeta a impugnación legal en curso. La norma general alemana de consentimiento de todas las partes se aplica incluso a la grabación de la policía en público, aunque la prohibición penal se ve atenuada por consideraciones constitucionales de libertad de expresión cuando las grabaciones sirven a un interés público claro.
La regla práctica en la mayor parte de la UE es que grabar a la policía en el desempeño de funciones públicas en un espacio de acceso público es, por lo general, expresión protegida. Publicar grabaciones que identifiquen a particulares captados incidentalmente en la misma escena puede activar obligaciones del RGPD. Usar herramientas de IA para analizar la grabación con fines de identificación biométrica de agentes de policía en tiempo real está prohibido conforme al artículo 5 de la Ley de IA de la UE.
Grabación transfronteriza dentro de la UE
¿Qué derecho penal nacional se aplica?
No existe una norma a nivel de la UE que resuelva los conflictos de jurisdicción entre las leyes de grabación de los estados miembros. Cuando una llamada o conversación cruza una frontera nacional, en teoría pueden aplicarse las leyes penales de ambos países. Una llamada entre una persona en Alemania (consentimiento de todas las partes) y una persona en los Países Bajos (consentimiento de una parte) activa ambos sistemas legales simultáneamente.
El enfoque más seguro es siempre cumplir con la más estricta de las normas aplicables. En el ejemplo de Alemania y los Países Bajos, esto significa tratar la llamada como sujeta a los requisitos de consentimiento de todas las partes.
La aplicación transfronteriza es poco frecuente para grabaciones privadas individuales. Sin embargo, para las empresas que operan centros de llamadas o realizan llamadas de ventas en varios estados miembros de la UE, el riesgo de infringir el derecho penal de un país de destino es real y ha dado lugar a medidas de aplicación.
Alcance territorial del RGPD
A efectos del RGPD, el artículo 3 establece que el reglamento se aplica siempre que un responsable o encargado del tratamiento esté establecido en la UE, o siempre que los datos personales de personas de la UE sean tratados por una entidad fuera de la UE que ofrezca bienes o servicios a personas de la UE o supervise su comportamiento.
Cuando una operación transfronteriza de tratamiento de datos personales involucra establecimientos en varios estados miembros, se aplica el mecanismo de autoridad de control principal conforme a los artículos 56 y 60. La autoridad de protección de datos del principal establecimiento del responsable en la UE lidera la investigación, y las demás autoridades interesadas participan como cosupervisoras.
En noviembre de 2025, el Consejo de la UE adoptó un nuevo reglamento para acelerar la aplicación transfronteriza del RGPD, atendiendo a las frustraciones de larga data sobre los plazos de coordinación. Las nuevas normas introducen plazos obligatorios para que las autoridades de control principales compartan los proyectos de decisión con las autoridades interesadas, lo que reduce el plazo promedio de aplicación en los casos transfronterizos.
Orientación práctica para operaciones multinacionales
Toda empresa multinacional que graba llamadas desde una base en un país de consentimiento de una parte mientras llama a clientes en países de consentimiento de todas las partes debe construir su política de grabación en torno al estándar de todas las partes. Aplicar la ley permisiva del país de origen de quien graba a las personas que llaman en jurisdicciones más estrictas es el error de cumplimiento más común en las operaciones de centros de llamadas en la UE.
Para las empresas sujetas a MiFID II (servicios financieros), la obligación legal de grabar las comunicaciones relacionadas con transacciones conforme al artículo 16(7) de esa directiva proporciona una base legal clara del RGPD conforme al artículo 6(1)(c). Esta obligación de grabar coexiste con los requisitos de consentimiento del derecho penal nacional: incluso las empresas reguladas por MiFID II deben avisar previamente a quienes llaman en jurisdicciones de consentimiento de todas las partes.
Deepfakes y contenido audiovisual sintético
El marco legal en evolución
Tres instrumentos legales distintos regulan ahora los deepfakes y las grabaciones sintéticas en la UE, con alcances que se superponen pero no son idénticos.
El artículo 50 de la Ley de IA de la UE (desde el 2 de agosto de 2026) exige que cualquier persona que despliegue un sistema de IA para generar audio, imagen o video sintético realista de una persona real etiquete el resultado como generado por IA. La obligación se aplica a nivel técnico (marcado legible por máquina en los metadatos del contenido) y, para los deepfakes, también a nivel visible para el usuario (una divulgación clara en pantalla o en audio). Las sanciones alcanzan los 15 millones de euros o el 3 por ciento de la facturación global.
El artículo 5 de la Directiva 2024/1385 (con plazo de transposición el 14 de junio de 2027) penaliza la producción y distribución de imágenes íntimas realistas generadas por IA de una persona real sin su consentimiento. Esto cubre específicamente la pornografía deepfake y no se limita al contenido que esté etiquetado o no. La prohibición se aplica independientemente de si el contenido se divulga como sintético. Los estados miembros deben proporcionar a las víctimas acceso a órdenes de eliminación rápida y asistencia policial.
El RGPD se aplica a los deepfakes como datos personales. Una imagen o un clip de audio realista generado por IA de una persona identificable constituye datos personales (posiblemente datos biométricos si permite la identificación). Su tratamiento exige una base legal, que la producción de un deepfake dirigido a un particular sin consentimiento normalmente no puede satisfacer.
Consecuencias prácticas
Para los particulares, crear un deepfake realista de otra persona sin consentimiento (ya sea con fines íntimos o de desinformación política) estará penalmente prohibido en toda la UE una vez transpuesta la Directiva 2024/1385, con responsabilidad civil y del RGPD también disponibles.
Para las plataformas y los proveedores de herramientas de IA, el artículo 50 de la Ley de IA significa que las herramientas que generan voz o imagen humana realista deben implementar una infraestructura de etiquetado obligatoria antes del 2 de agosto de 2026. El borrador de marzo de 2026 de la Comisión del Code of Practice on AI-Generated Content establece estándares técnicos para las marcas de agua legibles por máquina y el etiquetado visible.
Grabación de llamadas empresariales: lista de verificación de cumplimiento
Para cualquier empresa que grabe llamadas con clientes o empleados de la UE, se exigen los siguientes pasos.
Indique la finalidad al inicio de cada llamada. Informe a quien llama de que la llamada se está grabando, explique por qué, y especifique durante cuánto tiempo se conservará la grabación. Declaraciones vagas como "las llamadas pueden grabarse por motivos de calidad" no satisfacen el requisito de transparencia del RGPD.
Identifique su base legal antes de comenzar a grabar. Las bases más defendibles para la grabación empresarial son: obligación legal (MiFID II, EMIR o normativa sectorial equivalente), ejecución de un contrato (si la grabación es necesaria para cumplir una cláusula contractual específica), o intereses legítimos (para prevención del fraude, preservación de pruebas o resolución de disputas regulatorias, respaldados por una prueba de ponderación documentada).
Proporcione a quienes llaman desde países de consentimiento de todas las partes un aviso específico y, para la grabación basada en consentimiento, una opción genuina. A una persona que llama desde Alemania, Francia, Austria, Grecia, Portugal, Croacia, Eslovaquia, Eslovenia, Luxemburgo, Hungría o Chipre se le debe informar con claridad y dar la oportunidad de ejercer sus derechos antes de que comience cualquier grabación.
Establezca y aplique un calendario de retención. La retención ilimitada nunca cumple con la normativa. Defina períodos máximos de retención vinculados a la finalidad específica de cada grabación, documente esos períodos en su política de retención de datos, e implemente la eliminación automatizada.
Realice una Evaluación de Impacto relativa a la Protección de Datos. La grabación sistemática o a gran escala de llamadas califica como tratamiento de alto riesgo conforme al artículo 35 del RGPD, lo que exige una EIPD antes de poner en marcha el programa o modificarlo significativamente.
Atienda los requisitos de la Ley de IA para cualquier grabación asistida por IA. Si el software de grabación de llamadas usa IA para transcribir, analizar el sentimiento, identificar a los hablantes o generar resúmenes, evalúe si esas funciones de IA quedan dentro de las categorías prohibidas, de alto riesgo o de obligación de transparencia de la Ley de IA de la UE. La identificación biométrica en tiempo real mediante voz para identificar a personas desconocidas está prohibida conforme al artículo 5 de la Ley de IA.
Cómo encontrar las normas específicas de su país
Para conocer el texto legal detallado, las sanciones penales, las medidas de aplicación recientes de las autoridades de protección de datos, las decisiones judiciales y la orientación práctica de cada estado miembro de la UE, use las páginas de país a continuación. Cada página cubre la ley penal específica, la implementación del RGPD, la transposición de ePrivacy y los últimos avances en esa jurisdicción.

Estados miembros de la UE con guías de país:
Leyes de Grabación en Austria -- Consentimiento de todas las partes, StGB artículo 120, hasta un año de prisión.
Leyes de Grabación en Bélgica -- Consentimiento de una parte, artículo 314bis del Código Penal, aplicación del RGPD por la APD.
Leyes de Grabación en Bulgaria -- Consentimiento de todas las partes, Código Penal artículo 145, RGPD aplicado a través de la CPDP.
Leyes de Grabación en Croacia -- Consentimiento de todas las partes, Código Penal artículo 142, RGPD aplicado a través de la AZOP.
Leyes de Grabación en Chipre -- Consentimiento de todas las partes conforme a los artículos constitucionales 15 y 17, RGPD aplicado a través del Comisionado para la PDPD.
Leyes de Grabación en la República Checa -- Consentimiento de una parte, Código Penal artículo 182, supervisión de la UOOU.
Leyes de Grabación en Dinamarca -- Consentimiento de una parte, Código Penal artículo 263, aplicación activa del RGPD por Datatilsynet.
Leyes de Grabación en Estonia -- Consentimiento de una parte, Código Penal artículos 156-157, supervisión de la AKI.
Leyes de Grabación en Finlandia -- Consentimiento de una parte, Código Penal capítulo 38, orientación de la Tietosuojavaltuutetun toimisto.
Leyes de Grabación en Francia -- Consentimiento de todas las partes, Código Penal artículo 226-1, aplicación activa por la CNIL.
Leyes de Grabación en Alemania -- Consentimiento de todas las partes, StGB artículo 201, hasta tres años de prisión, BfDI y autoridades de protección de datos estatales.
Leyes de Grabación en Grecia -- Consentimiento de todas las partes, Código Penal artículo 370A, hasta cinco años de prisión, HDPA.
Leyes de Grabación en Hungría -- Consentimiento de todas las partes, Código Penal artículo 422, supervisión de la NAIH.
Leyes de Grabación en Irlanda -- Consentimiento de una parte (sin prohibición penal explícita sobre la grabación por un participante), aplicación activa del RGPD por la DPC.
Leyes de Grabación en Italia -- Consentimiento de una parte, Código Penal artículo 617, aplicación activa por el Garante.
Leyes de Grabación en Letonia -- Consentimiento de una parte, Ley Penal artículo 144, supervisión de la DVI.
Leyes de Grabación en Luxemburgo -- Consentimiento de todas las partes, Código Penal artículo 509-1, supervisión de la CNPD.
Leyes de Grabación en los Países Bajos -- Consentimiento de una parte, Código Penal artículo 139a, aplicación activa por la AP.
Leyes de Grabación en Polonia -- Consentimiento de una parte, Código Penal artículo 267, aplicación activa por la UODO.
Leyes de Grabación en Portugal -- Consentimiento de todas las partes, Código Penal artículos 190-194, supervisión de la CNPD.
Leyes de Grabación en Rumania -- Consentimiento de una parte, Código Penal artículo 302, supervisión de la ANSPDCP.
Leyes de Grabación en Eslovaquia -- Consentimiento de todas las partes, Código Penal artículo 377, supervisión de la UOOU.
Leyes de Grabación en Eslovenia -- Consentimiento de todas las partes, Código Penal artículo 137, supervisión de la IP RS.
Leyes de Grabación en España -- Consentimiento de una parte, Código Penal artículo 197, aplicación activa por la AEPD.
Leyes de Grabación en Suecia -- Consentimiento de una parte, Código Penal capítulo 4 artículo 9a, supervisión de la IMY.
Preguntas frecuentes
¿La UE es una región de consentimiento de una parte o de todas las partes para grabar?
No existe una única norma de consentimiento válida para toda la UE. El código penal de cada estado miembro fija su propio estándar. Aproximadamente la mitad de los 25 estados miembros de la UE con leyes de grabación específicas por país exigen solo el consentimiento de una parte (Bélgica, República Checa, Dinamarca, Estonia, Finlandia, Irlanda, Italia, Letonia, Países Bajos, Polonia, Rumania, España, Suecia), mientras que la otra mitad exige el consentimiento de todas las partes (Austria, Bulgaria, Croacia, Chipre, Francia, Alemania, Grecia, Hungría, Luxemburgo, Portugal, Eslovaquia, Eslovenia). El RGPD se aplica de manera uniforme en todos ellos e impone requisitos adicionales de protección de datos por encima de la norma penal.
¿El RGPD exige el consentimiento para grabar una llamada telefónica?
El RGPD no exige el consentimiento como base legal para grabar. Exige una base legal, y el consentimiento es solo una de seis opciones. Las empresas a menudo recurren en su lugar al interés legítimo (artículo 6(1)(f)) o a la obligación legal (artículo 6(1)(c)). Lo que el RGPD siempre exige, independientemente de la base legal elegida, es transparencia: debe informar a la persona de que la está grabando, por qué y durante cuánto tiempo. El consentimiento conforme al RGPD debe ser libre, específico, informado e inequívoco: una declaración general de que las llamadas pueden grabarse es insuficiente.
¿Qué dice la Ley de IA de la UE sobre la grabación y los deepfakes?
La Ley de IA de la UE aborda la grabación y los medios sintéticos en dos disposiciones principales. El artículo 5, vigente desde el 2 de febrero de 2025, prohíbe los sistemas de IA de identificación biométrica remota en tiempo real usados en espacios de acceso público con fines de aplicación de la ley, salvo excepciones limitadas autorizadas judicialmente. El artículo 50, que se aplica desde el 2 de agosto de 2026, exige a los responsables del despliegue de sistemas de IA que generan audio, imagen o video deepfake realista etiquetar el contenido como generado artificialmente de forma clara y distinguible. Las sanciones por incumplimiento alcanzan los 15 millones de euros o el 3 por ciento de la facturación anual global.
¿Puedo grabar a un agente de policía en la UE?
Por lo general sí, pero con matices importantes. El Tribunal Europeo de Derechos Humanos ha sostenido de forma constante que filmar a funcionarios públicos en el desempeño de sus funciones es una expresión protegida conforme al artículo 10 del CEDH. Sin embargo, el RGPD se aplica a los datos personales captados, y en la mayoría de los estados miembros debe recurrirse a la excepción periodística del artículo 85 del RGPD para su publicación. Las variaciones entre países importan: Francia protege ampliamente el derecho a filmar a la policía; la Ley de Seguridad Ciudadana de España restringe la publicación de imágenes de la policía que puedan poner en riesgo la seguridad de los agentes. Usar IA para identificar a los agentes en tiempo real a partir de la grabación está prohibido conforme al artículo 5 de la Ley de IA de la UE.
¿Qué es la Directiva ePrivacy y sigue vigente?
La Directiva ePrivacy 2002/58/CE regula la privacidad en las comunicaciones electrónicas en toda la UE. Su artículo 5 prohíbe la interceptación de comunicaciones electrónicas sin consentimiento, con una excepción limitada para grabar transacciones comerciales con aviso previo. La Directiva sigue vigente. La propuesta de Reglamento ePrivacy que la habría sustituido fue retirada formalmente por la Comisión Europea en febrero de 2025. Dado que la Directiva se transpuso al derecho nacional de forma distinta en cada estado miembro, sus requisitos varían algo en toda la UE.
¿Qué significa la Directiva 2024/1385 para las grabaciones deepfake?
La Directiva 2024/1385 sobre la lucha contra la violencia hacia las mujeres y la violencia doméstica (adoptada en mayo de 2024, con plazo de transposición en junio de 2027) penaliza la producción y distribución de imágenes íntimas realistas generadas por IA de una persona real sin consentimiento. Esto cubre directamente la pornografía deepfake y las grabaciones íntimas de audio o video no consentidas. Una vez transpuesta, las víctimas tendrán acceso a órdenes de eliminación rápida y a remedios de derecho penal en todos los estados miembros de la UE. La Directiva opera junto con la obligación de etiquetado del artículo 50 de la Ley de IA de la UE y el RGPD, pero su prohibición penal se aplica independientemente de si un deepfake está etiquetado.
Mi empresa graba llamadas de clientes desde un centro de llamadas en un país de consentimiento de una parte. ¿Cumplimos con la normativa?
No automáticamente. El derecho penal de su país de origen puede permitir grabar sin informar a los clientes. Pero si llama a clientes en países de consentimiento de todas las partes, como Alemania, Francia, Austria o Grecia, las leyes penales de esos países se aplican a esas llamadas y le exigen obtener el consentimiento o, como mínimo, dar aviso previo. El RGPD también exige una base legal documentada, un aviso de privacidad y un calendario de retención, independientemente de qué derecho penal nacional permita la grabación. Para las llamadas de servicios financieros reguladas por MiFID II, la obligación legal de grabar proporciona la base legal del RGPD, pero el aviso previo sigue siendo obligatorio en las jurisdicciones de consentimiento de todas las partes.
Fuentes y referencias
- Reglamento RGPD 2016/679(eur-lex.europa.eu).gov
- Directiva ePrivacy 2002/58/CE(eur-lex.europa.eu).gov
- Reglamento de la Ley de IA de la UE 2024/1689(eur-lex.europa.eu).gov
- Directiva 2024/1385 sobre Violencia contra las Mujeres(eur-lex.europa.eu).gov
- Directrices 1/2024 del CEPD sobre Interés Legítimo(edpb.europa.eu).gov
- Directrices de la Comisión sobre Prácticas de IA Prohibidas(digital-strategy.ec.europa.eu).gov
- Von Hannover c. Alemania N.º 2 (TEDH 2012)(hudoc.echr.coe.int).gov
- Buivids c. Letonia C-345/17 (TJUE 2019)(eur-lex.europa.eu).gov
- UODO Polonia: la grabación de audio requiere base legal (2022)(edpb.europa.eu).gov
- Código Penal art. 226-1 Francia(legifrance.gouv.fr).gov
- Autoridad de Protección de Datos de Finlandia sobre llamadas telefónicas(tietosuoja.fi).gov
- Resumen del SEPD sobre la Directiva ePrivacy(edps.europa.eu).gov
- Consejo: aplicación transfronteriza del RGPD 2025(consilium.europa.eu).gov
- Código de Buenas Prácticas de la Comisión sobre Contenido Generado por IA 2026(digital-strategy.ec.europa.eu).gov
- Ley de IA de la UE, artículo 50: obligaciones de transparencia para proveedores y responsables del despliegue de determinados sistemas de IA(artificialintelligenceact.eu)
- Captado en video: lo que dice la ley sobre filmar a la policía en Europa (Open Society Justice Initiative)(justiceinitiative.org)