El CEPD publicó a mediados de este mes unas orientaciones sobre el uso de los asistentes de voz virtuales en el contexto del RGPD.
El CEPD busca con estas orientaciones arrojar contexto sobre el uso de los asistentes de voz virtuales. Un asistente de voz virtual (VVA, por sus siglas en inglés) es un sistema que comprende y ejecuta comandos de voz a la vez que se relaciona y trabaja con otros sistemas de IT si es preciso. Actúa como una interfaz entre los usuarios y sus dispositivos o servicios online como motores de búsqueda. Esta herramienta es cada vez más común en los últimos años, especialmente tras la integración de los dispositivos y los hogares inteligentes. Dada la popularidad de estos dispositivos en los hogares, en los vehículos y en el día a día de los usuarios que incluso los llevan consigo, existe un gran acceso a mucha información de los sujetos, a veces de carácter íntimo, lo cual puede amenazar la privacidad de los usuarios. Como resultado, los VVA se han situado en el punto de mira de muchas autoridades de control. Con la publicación de estas orientaciones, el CEPD busca ofrecer recomendaciones sobre la aplicación de estos sistemas en el contexto del RGPD, así como en el de otros marcos legales.
Los asistentes de voz virtuales utilizan métodos de machine learning que implican la recogida e interpretación de grandes cantidades de datos de voz.
Los asistentes de voz virtuales se basan en gran medida en métodos de machine learning para desarrollar sus funciones. Estos dispositivos normalmente tienen un comando de activación, por ejemplo mediante un botón o una palabra que accione el sistema para que se ponga en modo de activa escucha. Los VVAs normalmente dependen de grandes cantidades de datos que han de ser recogidos, seleccionados y etiquetados, para lo cual la calidad y la cantidad de datos son igual de importantes y, en consecuencia, son particularmente relevantes los fragmentos que aportan contexto al uso de los dispositivos y su implementación en condiciones reales. En algunas circunstancias los VVA pueden capturar audio de sujetos que no pretenden usar en ese momento el asistente de voz virtual, de manera que dicha información se recoge por error. Esto puede ocurrir por ejemplo cuando la expresión del comando de activación se detecta de manera accidental, o cuando ésta ha cambiado y el sujeto lo activa sin así quererlo al no ser consciente de la nueva palabra. Por este motivo, entre otros muchos, los asistentes de voz virtuales deben cumplir con los requisitos del RGPD para el almacenamiento de datos.
Las orientaciones del CEPD subrayan el marco legal de los asistentes de voz virtuales no sólo en relación al RGPD, sino en algunos casos también la Directiva ePrivacy.
Dado que los VVAs tratarán inevitablemente grandes cantidades de datos, uno de los marcos legales más relevantes al respecto es el RGPD. Además del RGPD, la Directiva ePrivacy establece un estándar específico para todos aquellos actores que almacenen o accedan a información almacenada en los dispositivos o equipos terminales del usuario. El concepto “equipo terminal” se refiere a cualquier teléfono inteligente, televisión inteligente o dispositivos de IoT similares. Los asistentes de voz virtuales deberían también considerarse equipos terminales cuando se pueda almacenar o acceder a la información en los mismos. En todos estos casos se aplicarán las disposiciones de la Directiva ePrivacy. Las orientaciones sobre los asistentes de voz virtuales publicadas por el CEPD también ofrecen aclaraciones en torno a la identificación de los encargados del tratamiento y las partes implicadas, transparencia, tratamiento de datos de menores, tratamiento de categorías especiales de datos y otros elementos de protección de datos vinculados a los VVAs.
Las orientaciones del CEPD sobre los asistentes de voz virtuales hacen especial referencia a los mecanismos para ejercer los derechos de los sujetos.
El CEPD recomienda varios mecanismos para el ejercicio de los derechos de los sujetos, lo cual incluye el derecho de acceso, de rectificación, de supresión y de portabilidad. Los responsables de los datos deben permitir a los usuarios, ya estén estos registrados o no, el ejercicio de tales derechos, y les deben informar al respecto, bien cuando el sujeto active el asistente de voz virtual o, como mínimo, cuando lo utilice por primera vez. Dada que la principal interacción de los VVAs se basa en el uso de comandos de voz, y una parte de los usuarios de los VVAs son personas con capacidades diversas que hacen que necesiten emplear los asistentes de voz virtuales, los diseñadores deben asegurarse de que cualquiera de los derechos puede ser ejercitado mediante comandos de voz. El CEPD recomienda implementar herramientas específicas que ofrezcan modos efectivos y eficientes de ejercitar estos derechos.