El Comité Europeo de Protección de Datos (CEPD) ha publicado un documento de directrices para los asistentes virtuales de voz (VVA en sus siglas en inglés).
Los VVA son un servicio capaz de escuchar, comprender y responder a mensajes de voz realizados por los usuarios. Por ejemplo, puede hacer que suene una canción si se lo pedimos o hacer una búsqueda en Google y leernos el resultado. Un VVA puede estar integrado en un teléfono móvil, ordenador, coche o electrodoméstico o usar un aparato creado específicamente para su uso, normalmente un altavoz inteligente.
Los principales operadores del mercado de asistentes de voz son Amazon Alexa, Google Assistant, Microsoft Cortana y Apple Siri.
El uso de los asistentes de voz genera una serie de desafíos legales en materia de privacidad y protección de datos. Durante años se han hecho públicos diversos casos de malas prácticas como, por ejemplo, la grabación de conversaciones privadas. El CEPD ha considerado, por lo tanto, que es necesario aclarar qué criterios tienen que seguir las empresas responsables del desarrollo de estos servicios.
Los asistentes de voz funcionan mediante la escucha permanente del sonido ambiente a su alrededor. Sin embargo, no graban ni envían ningún dato hasta que escuchan una palabra clave que los “despierta”. Una vez que escuchan esa palabra, se establece una comunicación con un servidor remoto que procesará la información y atenderá a las peticiones del usuario.
El CEPD considera que, para que el VVA operen de manera legal deben de cumplir con una serie de requisitos.
Obligación de transparencia
Las empresas que desarrollan estos servicios deben de informar a través de una interfaz de voz a sus usuarios sobre el tratamiento de sus datos de una manera clara y concisa.
Agrupar servicios
El CEPD advierte que no se debe agrupar asistente de voz con otros servicios como el correo electrónico o el video por demanda. Esto es así porque daría lugar a políticas de privacidad tan complejas que sería imposible cumplir con el deber de transparencia.
Consentimiento
Si el tratamiento de datos se realiza como respuesta a consecuencia de una petición del usuario (por ejemplo, una petición de una canción), el responsable de tratamiento no necesita un consentimiento previo.
El consentimiento sí es necesario cuando la información que se almacene sea utilizada para cualquier propósito que no sea el de atender a la petición del usuario.
Plazos de conservación de datos
El almacenamiento de datos por parte de los servicios de asistentes de voz por un tiempo ilimitado hasta que el usuario solicite su borrado no es compatible con el principio de limitación del plazo de conservación recogido en el RGPD 5.1 e). Los VVA no deben almacenar datos durante más tiempo del necesario para atender a la petición para la cual fueron originalmente recogidos. Si se quisiera prolongar este plazo, se debería contar con el consentimiento del usuario ya que sólo podría responder a otras razones de tratamiento para las que el consentimiento original ya no vale.
Evitar la recogida accidental de datos
El usuario debe tener claro en todo momento si el aparato está en modo grabación. Esta identificación debe ser posible también para personas con discapacidad.
Autentificación
Los VVA deben crear sistemas que permitan identificar que una persona ajena no acceda al servicio. Para ello no es posible usar los métodos tradicionales de contraseñas. Por lo tanto, el CEPD sugiere que se innove y se creen nuevos sistemas que lo permitan.
Filtrado de ruido de fondo
El ruido de fondo puede contener datos personales tales como conversaciones. El CEPD solicita a los proveedores de este tipo de servicios que apliquen filtros que permitan eliminar estos sonidos de las grabaciones que realizan.
