El reto de cumplir con la normativa de protección de datos por parte de los asistentes de voz virtuales
Publicado el 22nd septiembre 2021
El Comité Europeo de Protección de Datos adoptó el pasado 7 de julio de 2021 una nueva versión de las directrices sobre los asistentes de voz virtuales en las que analiza el uso de esta tecnología en el mercado y propone una serie de recomendaciones para cumplir con las obligaciones de protección de datos y privacidad.
Los avances tecnológicos han permitido la integración de los asistentes de voz virtuales (o "VVAs" por sus siglas en inglés) en todo tipo de dispositivos, lo que ha derivado en tratamientos masivos de un elevado volumen de datos personales que, sin duda, no han pasado desapercibidos para las autoridades europeas de protección de datos.
En la actualidad, más de tres mil millones de smartphones incorporan de serie VVAs y el gigante tecnológico Google anunció en el Consumer Electronic Show 2020 que más de quinientos millones de usuarios utilizaban mensualmente su asistente de voz, 'Google Assistant'. La simplificación de tareas y el fácil acceso a la información mediante la interfaz de voz son el principal aliciente para que los usuarios se equipen con dispositivos que cuentan con VVAs, en especial en el ámbito de la automatización del hogar, aunque también se ha incrementado su utilización en otros sectores como el ámbito sanitario, en el que, por ejemplo, se utilizaron callbots (robots que atienden llamadas de manera personalizada) con VVA integrado para la realización del pre-diagnóstico de la Covid-19.
Con las directrices sobre asistentes de voz virtuales (las "Directrices"), el Comité Europeo de Protección de Datos (el "CEPD") identifica los principales retos en materia de protección de datos y privacidad que suponen los VVAs, además de proporcionar recomendaciones para el cumplimiento tanto del Reglamento General de Protección de Datos ("RGPD") como de la Directiva e-Privacy.
En un primer bloque, las Directrices se centran en analizar el contexto tecnológico de los asistentes de voz virtuales definiéndolos como un software capaz de entender comandos de voz de los usuarios y ejecutarlos y que permiten integrarse con componentes y aplicaciones de terceros (por ejemplo, enciclopedias online, aplicaciones de música, bancarias o climatológicas). Además, destaca que los VVAs mientras están en standby se encuentran constantemente en modo de escucha para detectar a nivel local (en el propio dispositivo) la expresión que produce su activación y el procesamiento de la información recibida, para lo que utiliza técnicas de machine learning, que consisten en identificar patrones de voz y elaborar predicciones para activar los VVAs, procesar la información recibida y ejecutar las órdenes solicitadas por los usuarios. El elevado número de actores involucrados en el ecosistema de VVAs (desde el diseñador del VVA que define las funcionalidades, modalidades de activación o especificaciones del hardware hasta el integrador del VVA en su producto y el desarrollador de aplicaciones con funcionalidades VVA por defecto) incrementa el riesgo de que la información captada por los asistentes de voz virtuales sea accedida por múltiples personas con intenciones dispares (por ejemplo, los diseñadores de VVAs quieren acceder a la información sobre el uso del VVA en condiciones reales para mejorar el rendimiento de dichos asistentes de voz).
El segundo bloque de las Directrices ofrece recomendaciones para cumplir con las obligaciones de protección de datos y privacidad resultantes de la aplicación del RGPD y de la Directiva e-Privacy, no sin antes abordar cuestiones controvertidas como el tratamiento de datos personales de forma no autorizada cuando los VVAs se activan por usuarios no registrados o de manera accidental, haciendo especial hincapié en que la diversidad de usuarios puede comportar el tratamiento de datos de sujetos vulnerables como son los niños o las personas discapacitadas y advirtiendo que la voz de los usuarios –en el contexto de los VVAs– constituye un dato biométrico que requiere de especial protección y de mayores requisitos legales para su tratamiento (esto es, además de una base jurídica de las reguladas en el artículo 6.1 del RGPD, una de las excepciones reguladas en el artículo 9.2 del RGPD para el tratamiento de categorías especiales de datos personales).
Entre las recomendaciones indicadas por el CEPD, destacan las ofrecidas para cumplir con el deber de información y transparencia instando a los responsables del tratamiento a hacer uso de la interactividad de los VVAs para facilitar la información en materia de protección de datos a usuarios registrados, usuarios no registrados y usuarios accidentales y haciendo especial alusión a que la información se ofrezca de manera concisa y transparente (por ejemplo, en secciones separadas dentro de políticas de privacidad globales o indicando con claridad qué datos se recogen y tratan y si los VVAs están captando sonidos e información de fondo). Respecto a la licitud de los tratamientos que los diferentes agentes involucrados pueden llevar a cabo con VVAs, el CEPD indica que la celebración del contrato con los usuarios (para ejecutar las solicitudes de los usuarios de VVAs o mejorar –en algunos casos– el rendimiento de los VVAs) y el consentimiento explícito (para identificar a los usuarios mediante su voz o elaborar perfiles de usuarios para remitir contenidos o publicidad personalizada) son las bases jurídicas apropiadas e incide en la necesidad de que las finalidades del tratamiento de los datos deben corresponderse con las expectativas de los usuarios de los dispositivos que integran VVAs. Además, el CEPD indica que las labores de comparación y verificación de la expresión que activan los asistentes de voz virtuales requiere acceder a información almacenada localmente en el dispositivo del usuario para lo que es necesario su consentimiento, si dicha información se utiliza para fines distintos de ejecutar las solicitudes de los usuarios. Por otro lado, el CEPD alerta que la práctica extendida entre los VVAs de almacenar los datos personales de manera indefinida, salvo que el usuario los elimine proactivamente, vulnera el principio de limitación del plazo de conservación de los datos y recomienda, para la eliminación de los datos personales, verificar los procesos de anonimización de la voz y diseñar los VVAs de modo que, por defecto, almacenen la mínima información de los usuarios. Por último, la utilización de la voz como medio de comunicación en los entornos de VVAs plantea nuevos riesgos en materia de seguridad, para lo que el CEPD recomienda que el reconocimiento biométrico en cada utilización del VVA se active a iniciativa del usuario y que no se lleve a cabo un análisis permanente de todas las voces de fondo por parte de los asistentes virtuales de voz.
La pluralidad de agentes involucrados en el entorno de asistentes de voz virtuales provoca que la definición del régimen jurídico de cada uno de ellos en materia de protección de datos sea difícil de discernir, en particular, teniendo en cuenta que un mismo agente (por ejemplo, el diseñador de VVAs) puede actuar como responsable del tratamiento al mismo tiempo que interviene en calidad de encargado del tratamiento cuando trata los datos personales en nombre y representación de los desarrolladores de aplicaciones.
Por último, en lo que respecta a los mecanismos para que los usuarios de VVAs ejerzan sus derechos de protección de datos y, en particular, los derechos de acceso, rectificación, supresión o portabilidad de datos personales, el CEPD indica la necesidad de ofrecer los mismos a las tres categorías de usuarios previamente identificadas (usuarios registrados, usuarios no registrados y usuarios accidentales), incluso mediante comandos de voz fáciles de seguir. Las Directrices además señalan que el responsable del tratamiento deberá informar a los interesados de sus derechos al encender el VVA o en el momento en el que se procese la primera solicitud de voz del usuario.
A pesar de los esfuerzos de las autoridades de protección de datos por ofrecer recomendaciones para cumplir con la normativa de protección de datos y privacidad, lo cierto es que la evolución de la tecnología y, en especial, de la inteligencia artificial está provocando escenarios de inseguridad jurídica entre los desarrolladores y usuarios de asistentes de voz virtuales.