Los avances tecnológicos recientes han aumentado en gran medida la precisión y la popularidad de los asistentes virtuales de voz (en inglés, virtual voice assistants o por sus siglas VVA). Entre otros dispositivos, los asistentes de voz se han integrado en teléfonos inteligentes, vehículos conectados, televisores inteligentes y en los últimos años, incluso en dispositivos independientes como los altavoces inteligentes.
Debido a sus enormes funcionalidades, los asistentes de voz virtuales como Siri, Alexa constituyen uno de los usos cada vez más comunes de la inteligencia artificial de la que ya hemos hablado en anteriores artículos en nuestro blog (puedes consultar los mismos aquí y aquí) Estos asistentes por su propia naturaleza procesan una gran cantidad de datos personales de los usuarios como son el historial de navegación, el historial de búsqueda, citas en nuestra agenda entre otros muchos.
Es por ello, que el pasado 7 de julio de 2021 el Comité Europeo de Protección de Datos (en adelante CEPD) adoptó unas Directrices 02/2021 sobre asistentes de voz virtuales en su versión 2.0 tras someterse a consulta pública y que podéis consultar en este enlace en su versión en inglés.
El objetivo principal de estas directrices y que constituye el objeto de análisis de este artículo es brindar orientaciones y pautas sobre la aplicación práctica del Reglamento General de Protección de datos (en adelante RGPD), en el contexto de los asistentes de voz de tal forma que los mismos aseguren de la mejor manera posible la protección de los datos personales de sus usuarios y su privacidad.
ANTECENDENTES: ¿Qué es un asistente de voz?
Un asistente virtual de voz se puede definir como una aplicación de software que proporciona capacidades para el diálogo oral con un usuario en lenguaje natural. El lenguaje natural tiene una semántica específica del lenguaje humano. Dependiendo de las características del idioma y la diversidad del léxico, la misma instrucción se puede formular de múltiples formas. En la práctica, un asistente de voz no es un altavoz inteligente, pero un altavoz inteligente puede equiparse con un asistente de voz. Es común confundirlos a ambos, sin embargo, el último es solo una encarnación material del primero.
FINALIDADES Y BASES DE LEGITIMACIÓN
Aunque en primera instancia el marco legal para los asistentes de voz es el RGPD, al constituir el procesamiento de datos personales su función principal, les resulta también de aplicación la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (en adelante Directiva de privacidad electrónica), actualmente vigente a espera de la aprobación de la propuesta del Reglamento e Privacy que aún continua en fase de debate entre las diferentes instituciones legislativas de la Unión Europea.
Las presentes directrices determinan cuatro de las finalidades y/o propósitos más comunes para los cuales los asistentes de voz procesan datos personales:
- ejecutar solicitudes,
- mejorar el modelo de aprendizaje automático de los mismos,
- identificación biométrica y
- elaboración de perfiles para contenido personalizado o publicidad.
El uso principal de un asistente de voz es emitir comandos de voz que deben ser ejecutados por el propio asistente o una aplicación o servicio asociado (por ejemplo, un servicio de transmisión de música, un servicio de mapas o una cerradura electrónica). Por lo tanto, la voz del usuario y potencialmente otros datos (por ejemplo, la posición del usuario cuando solicita una ruta para un destino determinado) podrían tratarse.
En la medida en que el procesamiento de comandos de voz implique el almacenamiento o acceso a información almacenada en los dispositivos terminales del usuario final, dicho almacenamiento o acceso requiere como regla general el consentimiento previo del usuario final (artículo 5 de la Directiva citada anteriormente), pero también prevé una exención al requisito del consentimiento cuando sea «estrictamente necesario para que el proveedor de una sociedad de la información preste el servicio solicitado explícitamente por el abonado o usuario”. De tal forma que cuando los datos de voz sean tratados con el fin de ejecutar las solicitudes del usuario, dichos tratamientos estarán exentos del requisito de consentimiento previo.
Es por ello por lo que cualquier operación de tratamiento de datos personales posterior al almacenamiento o acceso a la información en el dispositivo terminal de los usuarios finales debe ampararse en alguna de las bases legales de legitimación en virtud del artículo 6 del RGPD.
Con relación a lo anterior, aunque el procesamiento de solicitudes de voz por parte de los asistentes de voz suele tener un propósito evidente como responder a solicitudes e instrucciones, sin embargo, a menudo hay propósitos adicionales que no son tan evidentes.
Para una mayor comprensión, en la siguiente tabla os mostramos a través de varios ejemplos prácticos las distintas bases legitimadoras atendiendo a las finalidades más comunes de los asistentes de voz:
SEGURIDAD
Para procesar de forma segura los datos personales, los asistentes de voz deben proteger su confidencialidad, integridad y disponibilidad y el uso de la voz como medio de comunicación crea un nuevo conjunto de riesgos de seguridad.
Los asistentes de voz son multiusuario, es decir, estos permiten más de un usuario registrado y cualquier persona en su entorno puede emitir comandos y utilizar sus servicios. Sin control de acceso, cualquier persona capaz de emitir comandos de voz al asistente podría acceder, modificar o eliminar los datos personales de cualquier usuario (por ejemplo, solicitar mensajes recibidos, dirección del usuario o eventos del calendario).
Las cuentas de usuario de los asistentes de voz están asociadas a los dispositivos en los que se presta el servicio. A menudo, la misma cuenta que se usa para administrar el asistente de voz se usa para administrar otros servicios. La mayoría de los asistentes de voz no requieren ni ofrecen un mecanismo de identificación o autenticación cuando un dispositivo que proporciona un servicio voz tiene solo una cuenta de usuario y sin un mecanismo de identificación o autenticación, cualquiera podría acceder a los datos de otros usuarios y modificarlos o borrarlos a voluntad.
Los diseñadores de los asistentes de voz y los desarrolladores de aplicaciones deben proporcionar a los usuarios procedimientos de autenticación seguros y de vanguardia.
CONSIDERACIONES ESPECÍFICAS AL PROCESAR DATOS BIOMÉTRICOS
Algunos asistentes de voz tienen la capacidad de identificar de forma única a sus usuarios simplemente en función de su voz. Este proceso se conoce como reconocimiento de modelo de voz. Durante la fase de inscripción del reconocimiento de voz, el asistente procesa la voz de un usuario para crear un modelo o huella de voz y lo compara con los modelos registrados para identificar de forma única al usuario que ejecutó un comando.
El reconocimiento de la voz de un usuario sobre la base de un modelo de voz equivale al procesamiento de categorías especiales de datos personales, el cual requerirá el consentimiento explícito del interesado a tenor de lo establecido en el artículo 9.2 a) del RGPD. Por lo tanto, al obtener el consentimiento de los usuarios, y tal y como se aclara en el considerando 32 del RGPD, se deberá ofrecer un método de identificación alternativo a la biometría, con respecto a la naturaleza libre del consentimiento.
Además, detectar la voz del hablante correctamente implica compararla con la de otras personas cercanas al asistente, por lo que puede ocurrir que se registre la biometría de voz de terceras personas que no han sido previamente informadas. Para evitar dicha recopilación de datos biométricos sin el conocimiento de los interesados y al mismo tiempo permitir que el asistente reconozca al usuario, se debe dar prioridad a las soluciones basadas únicamente en los datos del usuario. Esto significa que el reconocimiento biométrico solo se activará en cada uso por iniciativa del usuario, y no mediante un análisis permanente de las voces escuchadas por el asistente. Por ejemplo, se podría proporcionar una palabra clave o una pregunta específica a las personas presentes con el fin de obtener su consentimiento para activar el procesamiento biométrico. Por ejemplo, el usuario puede decir «identificación» o el asistente puede preguntar «¿desea ser identificado?» y esperar una respuesta positiva para activar el procesamiento biométrico.
MECANISMOS PARA EJERCER LOS DERECHOS
De conformidad con el RGPD, los proveedores que brindan servicios de asistentes de voz deben permitir que todos los usuarios, registrados y no registrados, ejerzan sus derechos como sujeto de datos utilizando comandos de voz fáciles de seguir.
El responsable del tratamiento debe proporcionar información sobre los derechos del interesado en el momento en que los interesados encienden los asistentes virtuales de voz y, a más tardar, en el momento en que se procesa la solicitud de voz del primer usuario.
En este sentido, los diseñadores, así como los desarrolladores de aplicaciones en caso de que formen parte de la solución, deberán al final del proceso de ejercicio de derechos informar al usuario que sus derechos han sido debidamente contabilizados, por voz o mediante notificación por escrito al móvil del usuario, cuenta o cualquier otro medio que éste elija.
En definitiva, a pesar de que es muy probable que los servicios de asistentes de voz se incluyan en las categorías de tratamientos identificados que necesitan una evaluación de impacto (EIPD) por constituir un riesgo alto para los derechos y libertades de las personas, de conformidad con el artículo 35.3 RGPD, los asistentes virtuales de voz constituyen a día de hoy una tecnología que a pesar de sus riesgos, bien aplicada y respetando el marco jurídico vigente, puede proporcionar múltiples ventajas en la asistencia a las personas, sobre todo para aquellas personas con algún tipo de discapacidad (visual, auditiva, motora, etc.), de tal forma que estos asistentes, combinados con dispositivos médicos o robots, puede servirles de apoyo proporcionando un acceso más fácil a la información promoviendo su inclusión y en definitiva mejorando su calidad de vida.
