Acercamiento a los Asistentes Virtuales de Voz. (Cont.)
Limitación de la finalidad y base jurídica
El procesamiento de las peticiones de voz por parte de los VVAs tiene una finalidad evidente, la ejecución de la petición. Sin embargo, a menudo existen finalidades adicionales que no son tan evidentes, como la mejora de las capacidades de comprensión del lenguaje natural del VVA mediante el entrenamiento del modelo del VVA con técnicas de machine learning.
Entre las finalidades más comunes del tratamiento de datos personales por parte de los VVAs encontramos:
- Ejecutar las solicitudes de los usuarios.
- Mejora del VVA mediante el entrenamiento del modelo de aprendizaje automático y la revisión y etiquetado humanos de las transcripciones de voz.
- Identificación del usuario (mediante datos de voz).
- Elaboración de perfiles de usuario para contenidos o publicidad personalizados.
Debido a su papel de intermediarios y a la forma en que están diseñados, los VVAs procesan una gran variedad de datos personales y no personales. Esto permite procesar datos personales para muchos fines que van más allá de responder a las solicitudes de los usuarios y que podrían pasar totalmente desapercibidos. Mediante el análisis de los datos recogidos a través de los VVA, es posible conocer o deducir los intereses, los horarios, las rutas de conducción o los hábitos de los usuarios. Esto podría permitir el tratamiento de datos personales con fines imprevistos, que irían mucho más allá de las expectativas razonables de los usuarios.
Los responsables del tratamiento deben especificar claramente su(s) finalidad(es) en relación con el contexto en el que se utiliza el VVA, de modo que los interesados las entiendan claramente.
Ejecutar las solicitudes de los usuarios.
El uso principal de un VVA es emitir órdenes de voz que deben ser ejecutadas por el VVA o por una app o servicio asociado (por ejemplo, un servicio de streaming de música, un servicio de mapas o una cerradura electrónica). Por lo tanto, se puede procesar la voz del usuario y potencialmente otros datos (por ejemplo, la posición del usuario cuando solicita una ruta para un determinado destino).
En la medida en que el tratamiento de los comandos de voz implique el almacenamiento o el acceso a la información almacenada en los dispositivos terminales del usuario final, deberá cumplirse el artículo 5, apartado 3, de la Directiva sobre privacidad electrónica. Si bien el apartado 3 del artículo 5 incluye el principio general de que dicho almacenamiento o acceso requiere el consentimiento previo del usuario final, también prevé una excepción al requisito de consentimiento cuando sea "estrictamente necesario para que el prestador de un servicio de la sociedad de la información solicitado explícitamente por el abonado o usuario pueda prestar el servicio". En la medida en que los datos de voz se tratan para ejecutar las solicitudes del usuario, están exentos del requisito de consentimiento previo.
Como se ha indicado anteriormente, cualquier operación de tratamiento de datos personales posterior al almacenamiento o acceso a la información en el dispositivo terminal de los usuarios finales debe tener una base legal en virtud del artículo 6 del RGPD para ser lícita.
Cuando un individuo toma la decisión de utilizar un VVA, esta acción implica generalmente que el usuario inicial necesita primero registrar una cuenta para activar el VVA. En otras palabras, esta situación se refiere a una relación contractual entre el usuario registrado y el controlador del VVA. Teniendo en cuenta su contenido y objetivo fundamental, el propósito central de este contrato es utilizar el VVA para ejecutar la solicitud de asistencia del usuario.
Por lo tanto, cualquier tratamiento de datos personales que sea necesario para ejecutar la solicitud del usuario puede basarse en la base jurídica de la ejecución del contrato.
La ejecución de un contrato puede ser una base jurídica para el tratamiento de datos personales utilizando el aprendizaje automático (“Machine Learing”) (“ML”) cuando sea necesario para la prestación del servicio. El tratamiento de datos personales mediante ML para otros fines que no son necesarios, como la mejora del servicio, no debe basarse en esa base jurídica.
Por último, no deben confundirse las bases jurídicas de la ejecución del contrato y el consentimiento en virtud del RGPD. El consentimiento prestado para celebrar el contrato, es decir, para aceptarlo, forma parte de la validez de este contrato y no se refiere al significado específico del consentimiento con arreglo al RGPD.
Cuando el uso de un VVA no requiera configurar previamente una cuenta de usuario al VVA, el consentimiento podría ser una posible base legal.
Identificación del usuario (utilizando datos de voz)
El uso de datos de voz para la identificación del usuario implica el tratamiento de datos biométricos. En consecuencia, el responsable del tratamiento tendrá que identificar una exención en virtud del artículo 9 del RGPD, además de la identificación de una base jurídica en virtud del artículo 6 del RGPD.
De las excepciones enumeradas en el artículo 9 del RGPD, sólo el consentimiento explícito de los interesados parece aplicable para este fin específico.
Elaboración de perfiles de usuario para contenidos o publicidad personalizados
Los VVA tienen acceso al contenido de todos los comandos de voz, incluso cuando están dirigidos a servicios prestados por terceros. Este acceso permitiría al diseñador de VVAs construir perfiles de usuario muy precisos que podrían utilizarse para ofrecer servicios o anuncios personalizados. La personalización de los contenidos puede constituir un elemento intrínseco y esperado de un servicio de VVA.
Cuando la personalización tiene lugar en el contexto de una relación contractual y como parte de un servicio solicitado explícitamente por el usuario final (y el tratamiento se limita a lo estrictamente necesario para prestar este servicio), dicho tratamiento puede basarse en el artículo 6, apartado 1, letra b), del RGPD.
Si el tratamiento no es estrictamente "necesario para la ejecución de un contrato" en el sentido del artículo 6, apartado 1, letra b) del RGPD, el proveedor de VVA debe, en principio, solicitar el consentimiento del interesado.
En lo que respecta a la elaboración de perfiles de usuario con fines publicitarios, cabe señalar que esta finalidad nunca se considera un servicio solicitado explícitamente por el usuario final. Por lo tanto, en caso de tratamiento con este fin, debe recogerse sistemáticamente el consentimiento de los usuarios.
Tratamiento de los datos de los niños.
Los niños también pueden interactuar con los VVAs o pueden crear sus propios perfiles conectados a los de los adultos. Algunos VVAs están integrados en dispositivos que se dirigen específicamente a los niños
Cuando la base jurídica del tratamiento sea la ejecución de un contrato, las condiciones para el tratamiento de los datos de los niños dependerán de la legislación contractual nacional.
Cuando la base jurídica del tratamiento es el consentimiento y según el artículo 8, apartado 1, del RGPD, el tratamiento de los datos de los niños sólo es lícito "cuando el niño tiene al menos 16 años. Cuando el niño sea menor de 16 años, dicho tratamiento sólo será lícito si, y en la medida en que, el consentimiento sea dado o autorizado por el titular de la responsabilidad parental sobre el niño". En consecuencia, para cumplir con el RGPD, cuando el consentimiento es la base legal, debe solicitarse el permiso explícito de los padres o tutores para recoger, procesar y almacenar los datos de los niños (voz, transcripciones, etc.).
Los responsables del tratamiento de datos deberían invertir en el desarrollo de medios para que los padres o tutores puedan controlar el uso que hacen los niños de los AVS.
Conservación de datos.
Los VVAs procesan y generan una gran variedad de datos personales como la voz, transcripciones de voz, metadatos o registros del sistema. Estos tipos de datos pueden tratarse para una amplia gama de fines, como la prestación de un servicio, la personalización o la investigación científica. De acuerdo con el principio de limitación del almacenamiento de datos del RGPD, los VVA deben almacenar los datos durante un período no superior al necesario para los fines para los que se tratan los datos personales. Por lo tanto, los periodos de conservación de los datos deben estar vinculados a los diferentes fines del tratamiento. Los proveedores de servicios de VVA o los terceros que prestan servicios a través de VVA deben evaluar el período máximo de conservación para cada conjunto de datos y finalidad.
El principio de minimización de datos está estrechamente relacionado con el principio de limitación del almacenamiento de datos. Los responsables del tratamiento no sólo deben limitar el periodo de almacenamiento de los datos, sino también el tipo y la cantidad de los mismos.
Algunos VVA almacenan por defecto datos personales, como fragmentos de voz o transcripciones, durante un periodo indefinido, al tiempo que ofrecen a los usuarios medios para eliminar dichos datos. Conservar los datos personales indefinidamente va en contra del principio de limitación del almacenamiento. Proporcionar a los interesados los medios para eliminar sus datos personales no elimina la responsabilidad del responsable del tratamiento de definir y aplicar una política de conservación de datos.
El diseño del VVA debe tener en cuenta los controles de los usuarios para borrar sus datos personales en sus dispositivos y en todos los sistemas de almacenamiento remoto. Estos controles pueden ser necesarios para resolver diferentes tipos de solicitudes de los usuarios, por ejemplo, una solicitud de borrado o la retirada de un consentimiento previamente otorgado.
Al igual que en otros contextos, los responsables del tratamiento pueden necesitar conservar los datos personales como prueba de un servicio prestado a un usuario para cumplir una obligación legal. El responsable del tratamiento puede conservar los datos personales sobre esa base. Sin embargo, los datos conservados deben ser los mínimos necesarios para cumplir con dicha obligación legal y durante el mínimo de tiempo. Por supuesto, los datos conservados para cumplir una obligación legal no deben utilizarse para ningún otro fin sin una base legal.
La capacidad de reconocimiento de voz de los VVAs mejora al entrenar los sistemas de aprendizaje automático con los datos de los usuarios. Si los usuarios no consienten o retiran su consentimiento para el uso de sus datos con ese fin, sus datos no podrían utilizarse legalmente para entrenar ningún otro modelo y deberían ser eliminados por el responsable del tratamiento, suponiendo que no hay ningún otro fin que justifique la retención continuada.
Los responsables y encargados del tratamiento deben utilizar modelos que no restrinjan su capacidad para detener el tratamiento si una persona revoca su consentimiento, ni tampoco deben utilizar modelos que restrinjan su capacidad para facilitar los derechos del interesado. Los responsables y encargados del tratamiento deben aplicar medidas de mitigación para reducir el riesgo de reidentificación a un umbral aceptable.
En el caso de que el usuario retire su consentimiento, los datos recogidos del usuario ya no pueden ser utilizados para el entrenamiento posterior del modelo. Sin embargo, el modelo previamente entrenado con estos datos no tiene que ser eliminado.
No se debe incitar a los interesados a conservar sus datos indefinidamente.
La anonimización de las grabaciones de voz es especialmente difícil, ya que es posible identificar a los usuarios a través del contenido del propio mensaje y de las características de la voz. No obstante, se están llevando a cabo algunas investigaciones sobre técnicas que podrían permitir eliminar información situacional como los ruidos de fondo y anonimizar la voz.
Seguridad
Para procesar de forma segura los datos personales, los VVA deben proteger su confidencialidad, integridad y disponibilidad.
Las VVAs son multiusuario. Pueden permitir más de un usuario registrado y cualquier persona de su entorno puede emitir comandos y utilizar sus servicios. Cualquier servicio de VVA que requiera confidencialidad implicará algún mecanismo de control de acceso y autenticación de usuarios. Sin control de acceso, cualquiera que pueda emitir comandos de voz al VVA podría acceder, modificar o borrar los datos personales de cualquier usuario (por ejemplo, pedir los mensajes recibidos, la dirección del usuario o los eventos del calendario).
Emitir órdenes de voz al VVA no requiere estar físicamente cerca de él, ya que se puede manipular, por ejemplo, a través de la emisión de señales (por ejemplo, de radio o televisión). Algunos de los métodos conocidos para emitir órdenes a distancia a los VVA, como el láser o las ondas ultrasónicas (inaudibles), ni siquiera son detectables por los sentidos humanos.
La autenticación del usuario puede basarse en uno o varios de los siguientes factores: algo que se sabe (como una contraseña), algo que se tiene (como una tarjeta inteligente) o algo que se es (como una huella vocal).
La autenticación mediante algo que el usuario conoce es problemática. El secreto que permitiría a los usuarios demostrar su identidad debería ser pronunciado en voz alta, exponiéndolo a cualquier persona del entorno.
La autenticación mediante algo que tenga el usuario requeriría que los proveedores de servicios de VVA creasen, distribuyesen y gestionasen "tokens" que pudiesen utilizarse como prueba de identidad.
La autenticación mediante algo que el usuario es implica el uso de datos biométricos con el fin de identificar de forma única a una persona física.
Las cuentas de usuario del VVA están asociadas a los dispositivos en los que se presta el servicio. A menudo, la misma cuenta utilizada para gestionar el VVA se utiliza para gestionar otros servicios. La mayoría de los VVA no requieren ni ofrecen un mecanismo de identificación o autenticación cuando un dispositivo que presta un servicio VVA tiene una sola cuenta de usuario. Cuando hay más de una cuenta de usuario asociada al dispositivo, algunos VVAs ofrecen un control de acceso básico opcional en forma de número PIN sin autentificación.
Aunque la identificación o autentificación del usuario puede no ser necesaria para acceder a todos los servicios de VVA, definitivamente lo será para algunos. Sin un mecanismo de identificación o autenticación, cualquiera podría acceder a los datos de otros usuarios y modificarlos o borrarlos a voluntad.
La mayoría de los VVA confían ciegamente en sus redes locales. Cualquier dispositivo comprometido en la misma red podría cambiar la configuración del altavoz inteligente o permitir la instalación de malware o asociarle apps/habilidades falsas sin el conocimiento o acuerdo del usuario.
Los VVAs, como cualquier otro software, están sujetos a vulnerabilidades de software. Sin embargo, debido a la concentración del mercado de los VVA, cualquier vulnerabilidad podría afectar a millones de usuarios de VVA.
Leer la Primera parte
Leer la Tercera parte
