14/04/2021

DIRECTRICES DEL COMITÉ EUROPEO DE PROTECCION DE DATOS SOBRE LOS ASISTENTES DE VOZ VIRTUALES. Primera Parte

Acercamiento a los Asistentes Virtuales de Voz.

El European Data Protection Board (“EDPB”), en español, Comité Europeo de Protección de Datos, con fecha 9 de marzo de 2021, editó las “Directrices sobre Asistentes de Voz Virtuales. Versión 1.0” (“Guidelines 02/2021 on Virtual Voice Assistants.Version 1.0“), sometiendo las mismas a consulta pública.

Dichas Directrices definen a un asistente de voz virtual (“VVA”) como “un servicio que entiende las órdenes de voz y las ejecuta o media con otros sistemas informáticos si es necesario.

En el momento actual, los VVAs están disponibles en la mayoría de los smartphones y tabletas, vehículos conectados, ordenadores tradicionales e, incluso, en dispositivos autónomos como los altavoces inteligentes o las Smart TV. Los VVAs actúan como interfaz entre los usuarios y sus dispositivos informáticos y los servicios en línea, como motores de búsqueda o las tiendas online.

Para funcionar correctamente, un VVAs necesita un dispositivo terminal provisto de micrófonos y altavoces. El dispositivo almacena la voz y otros datos que los VVAs actuales transfieren a los servidores VVAs remotos.

La cercanía de los VVAs, les da acceso a información y datos de carácter personal e íntimo, que, de no gestionarse adecuadamente, podrían dar lugar a la conculcación de los derechos fundamentales de las personas en el ámbito de su intimidad y privacidad.

Ahora bien, los VVAs usan las interacciones basadas en el habla, esto es, en la voz, lo que supone un conjunto de ventajas para la sociedad: fácil aprendizaje de su uso, rapidez en la ejecución de las ordenes, acceso más rápido a la información, etc.

Las personas se deciden a equiparse de un VVA debido a la fluidez o la simplificación de las tareas a realizar. La EPDB pone como ejemplos de fluidez y sencillez: “realizar/responder una llamada, programar un temporizador, etc., especialmente cuando los usuarios no tienen las manos disponibles. La automatización del hogar es la principal aplicación propuesta por los diseñadores de los VVAs. Al proponer simplificar la ejecución de tareas (encender la luz, regular la calefacción, bajar las persianas, etc.) y centralizarlas a través de una única herramienta que puede activarse fácilmente a distancia, se inscriben en el discurso como facilitador doméstico. Además del uso personal o doméstico, los comandos de voz pueden ser interesantes en entornos profesionales en los que es difícil manejar herramientas informáticas y utilizar comandos escritos (por ejemplo, en trabajos de fabricación).”

En principio, los principales beneficiarios de los VVA podrían ser las personas con discapacidad o dependientes.

Aunque las ventajas son muchas, el solo hecho de que los mismos tengan acceso a datos personales muy íntimos, hace, pues, necesario observar de cerca su estructura, alcance y arquitectura para frenar posibles violaciones de los derechos a la protección datos. Se hace, también, necesario que todas las autoridades de control escruten los VVA y se fijen líneas y limitaciones en materia de protección de datos.

Por ello, el fin último de las Directrices no es otro que orientar a los creadores y prestadores de servicios de VVA sobre los elementos a tener en consideración, derivados de la aplicación del Reglamento General de Protección de Datos (Reglamento 2016/679/UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos)(“RGPD”) a los mismos, desgranando las recomendaciones, sino obligaciones, que han de tener en cuenta los creadores y entrenadores de los VVA en materia de protección de datos dentro de la Unión Europea.

Por lo tanto, los responsables del tratamiento de datos que prestan servicios de VVA y sus encargados tienen que tener en cuenta tanto el RGPD como la Directiva sobre privacidad electrónica (Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.)

Elementos de Protección de Datos a tener en Consideración.

Marco Jurídico aplicable a los VVAs.

A nivel de la Unión Europea podemos fijar el marco jurídico por el que se regulan los VVAs a las siguientes normas: (i) el RGPD, ya que una de las funciones principales de los citados asistentes es el tratamiento de datos personales; (ii) la Directiva sobre la privacidad en las comunicaciones electrónicas, antes citada, que establece una norma específica para todos agentes que deseen almacenar o acceder a información almacenada en el equipo terminal de un abonado o usuarios en el Espacio Económico Europeo (“EEE”) 

Identificación del tratamiento de datos y de las partes interesadas.

Pluralidad de Datos.

De todos es conocido que un VVA tiene múltiples posibilidades de asistencia en diversos entornos de la vida cotidiana. Todo ello con una capacidad de acceso a datos personales que debiéndose tener, muy en cuenta, el tratamiento de los datos personales.

Cualquier interacción de un tipo de datos que se refiera a una persona física identificada o identificable con un VVA puede entrar en el ámbito de la definición de datos personales del artículo 4 del RGPD. Una vez que se produce la interacción, puede tratarse diversos datos personales a lo largo del funcionamiento del VVA.

Desde la solicitud inicial hasta la respuesta, la acción o el seguimiento relacionados con ella (por ejemplo, el establecimiento de una alerta semanal), la primera entrada de datos personales generará, por tanto, datos personales posteriores.

La pluralidad de datos personales tratados cuando se utiliza un VVA, también se refiere a una pluralidad de categorías de datos personales a las que debe prestarse atención. La AEPD recuerda que cuando se tratan categorías especiales de datos, el artículo 9 del RGPD exige que el responsable del tratamiento identifique una excepción válida a la prohibición de tratamiento del artículo 9, apartado 1, y una base jurídica válida en virtud del artículo 6, apartado 1, utilizando un medio adecuado identificado en virtud del artículo 9, apartado 2. El consentimiento explícito puede ser una de las excepciones apropiadas cuando el consentimiento sea la base jurídica invocada en virtud del apartado 1 del artículo 6.

Pluralidad de Sujetos.

Al utilizar un VVA, los datos personales se procesan desde la primera interacción con el VVA. Para algunos sujetos esto se refiere a la compra de un VVA y/o la configuración de una cuenta de usuario (es decir, los usuarios registrados). Para otros sujetos de datos se refiere a la primera vez que interactúan conscientemente con el VVA de otro sujeto que compró y/o configuró este VVA (es decir, usuarios no registrados). Además, existe una tercera categoría de sujetos: los usuarios accidentales que, registrados o no, hacen peticiones al VVA sin saberlo (por ejemplo, diciendo la expresión correcta de despertar sin saber que el VVA está activo).

El término pluralidad de sujetos de datos también se refiere a los múltiples usuarios de un VVA (por ejemplo, dispositivo compartido entre usuarios registrados y no registrados, entre colegas, en una familia, en la escuela) y a los diferentes tipos de usuarios según su condición (por ejemplo, un adulto, un niño, un anciano o una persona discapacitada).

Pluralidad de tratamiento de datos.

Cuanto más servicios o funciones ofrezcan los VVAs y estén conectado a otros dispositivos o servicios gestionados por otras partes, más aumentará la cantidad de datos personales que se procesan y el tratamiento de reutilización. Esto da lugar a una pluralidad de tratamientos realizados por medios automatizados.

Además de los medios automatizados, algunos procesamientos pueden implicar también medios humanos. Este es el caso, por ejemplo, cuando la tecnología implementada implica la intervención humana, como la revisión de la transcripción de voces en textos, o el suministro de anotaciones sobre datos personales que pueden utilizarse para insertar nuevos modelos en una tecnología de aprendizaje automático.

Tratamiento por parte de los responsables y encargados del tratamiento.

Los interesados deben estar en condiciones de comprender e identificar las funciones del VVA y deben poder ponerse en contacto o actuar con cada una de las partes interesadas, tal como exige el RGPD. El reparto de funciones no debe ir en detrimento de los interesados. Las principales partes interesadas pueden identificarse bajo el papel de un proveedor o diseñador, un desarrollador de aplicaciones, un integrador, un propietario o una combinación de ellos. Son posibles diferentes escenarios, dependiendo de quién hace qué en la relación comercial de los interesados, de la solicitud del usuario, de los datos personales, de las actividades de tratamiento de datos y de sus fines.

El diseñador puede actuar como controlador de datos cuando determina los fines y los medios de un tratamiento, pero puede intervenir como procesador de datos cuando trata datos personales en nombre de otras partes, como un desarrollador de aplicaciones. Por lo tanto, el usuario de VVA estaría sometido a varios responsables del tratamiento: el desarrollador de la aplicación y el diseñador. También es posible que el diseñador, el integrador y el desarrollador se agrupen en un único organismo que actúe como responsable único del tratamiento.

Varias partes interesadas pueden tratar los mismos datos personales, aunque el interesado no espere realmente que otras partes distintas del proveedor de VVA participen en la cadena de tratamiento. Así, cuando un interesado actúa ante el proveedor de VVA en relación con sus datos personales (por ejemplo, el ejercicio de los derechos del interesado), esto no significa automáticamente que esta acción se aplique a los mismos datos personales que son tratados por otro interesado. Cuando estos interesados son controladores independientes, es importante que se dé un aviso de información claro a los interesados, explicando las distintas etapas y actores del tratamiento. Además, en los casos de corresponsabilidad, debe quedar claro si cada responsable del tratamiento es competente para cumplir con todos los derechos del interesado o qué responsable es competente para cada derecho.

Dado que en la cadena de tratamiento pueden intervenir muchas partes interesadas y, respectivamente, mucho personal, pueden producirse situaciones de riesgo si no se aplican las medidas y salvaguardias adecuadas.

El ecosistema de VVA es complejo, ya que puede haber muchos actores que intercambien y procesen datos personales como responsables o procesadores de datos. Es de suma importancia aclarar el papel de cada actor con respecto a cada tratamiento y seguir el principio de minimización de datos también con respecto al intercambio de datos

Además, los responsables del tratamiento deben estar atentos a las transferencias de datos personales y garantizar el nivel de protección requerido, en particular cuando utilizan servicios situados fuera del EEE.

Transparencia.

Dado que los VVA procesan datos personales (por ejemplo, la voz de los usuarios, su ubicación o el contenido de la comunicación), deben cumplir los requisitos de transparencia del RGPD regulados en el artículo 5, apartado 1, letra a), así como en los artículos 12 y 13. Los responsables del tratamiento están obligados a informar a los usuarios del tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso.

No proporcionar la información necesaria es un incumplimiento de las obligaciones que puede afectar a la legitimidad del tratamiento de datos. Cumplir con el requisito de transparencia es un imperativo.

El cumplimiento de los requisitos de transparencia puede ser especialmente difícil para el proveedor de servicios de VVA o cualquier otra entidad que actúe como responsable del tratamiento de datos. Dada la naturaleza específica de los VVA, los responsables del tratamiento se enfrentan a varios obstáculos para cumplir los requisitos de transparencia del RGPD: (i) Múltiples usuarios; (ii) Complejidad del ecosistema (quien trata los datos personales cuando se utiliza un VVA no es nada evidente para los usuarios); y (iii) Especificidades de la interfaz vocal (los sistemas digitales aún no están preparados para las interacciones sólo con la voz.)

Las aplicaciones deberían poner a disposición del usuario la información necesaria en una página web en línea antes de su descarga. De este modo, la información se ofrece lo antes posible y, a más tardar, en el momento en que se obtienen los datos.

Algunos proveedores de VVA incluyen aplicaciones de terceros en la configuración por defecto del VVA para que estas aplicaciones puedan ejecutar dichas aplicaciones utilizando expresiones de activación específicas. Los VVAs que utilizan esta estrategia de despliegue de apps de terceros deben asegurarse de que los usuarios obtienen la información necesaria también en el procesamiento de terceros.

Sin embargo, muchos diseñadores de VVA requieren cuentas de usuario de VVA que agrupan el servicio de VVA con otros múltiples servicios como el correo electrónico, la transmisión de vídeo o las compras, por nombrar algunos. La decisión del diseñador de VVA de vincular la cuenta a muchos servicios diferentes tiene el efecto de requerir políticas de privacidad muy largas y complejas. La longitud y la complejidad de estas políticas de privacidad dificultan enormemente el cumplimiento del principio de transparencia.

Aunque la forma más habitual de proporcionar la información necesaria es por escrito, el RGPD permite también "otros medios". La información puede darse en forma electrónica, por ejemplo, a través de un sitio web. Una opción para los dispositivos sin pantalla podría ser proporcionar un enlace fácil de entender, ya sea directamente o en un correo electrónico. Las soluciones ya existentes podrían servir de ejemplo para la información, por ejemplo, las prácticas de los centros de llamadas de notificar a la persona que llama sobre la grabación de una llamada telefónica y dirigirla a sus políticas de privacidad. Las limitaciones de la VVA sin pantalla no eximen al responsable del tratamiento de los datos de proporcionar la información necesaria de acuerdo con el RGPD cuando se configura la VVA o se instala o utiliza una aplicación de VVA. Los proveedores y desarrolladores de VVA deben desarrollar interfaces basadas en la voz para facilitar la información obligatoria.

Los VVAs podrían ser de gran interés para los usuarios con problemas de visión, ya que proporcionan un medio alternativo de interacción con los servicios informáticos que tradicionalmente se basan en la información visual. Según el artículo 12, apartado 1, del RGPD, es posible proporcionar la información necesaria de forma oral exclusivamente si lo solicita el interesado, pero no como método predeterminado. Sin embargo, las limitaciones de los VVAs sin pantalla requerirían medios de información oral automatizados que podrían complementarse con medios escritos. Al utilizar el audio para informar a los interesados, los responsables del tratamiento deben proporcionar la información necesaria de forma concisa y clara. Además, los interesados deberían poder volver a escuchar.

Tomar las medidas adecuadas para cumplir con los requisitos de transparencia del GDPR es más complejo cuando hay múltiples usuarios del VVA además del propietario del dispositivo. Los diseñadores de VVA deben considerar cómo informar adecuadamente a los usuarios no registrados y accidentados cuando se procesan sus datos personales.

Los responsables del tratamiento deben encontrar la manera de informar no solo a los usuarios registrados, sino también a los usuarios no registrados y a los usuarios accidentales de VVA. Estos usuarios deben ser informados lo antes posible y, a más tardar, en el momento del tratamiento.

Leer la Segunda parte
Leer la Tercera parte

Compartir esta publicación