Nuevas directrices comunitarias sobre asistentes de voz y protección de datos

2021-07-19T16:11:00
Unión Europea

Estos asistentes de voz virtuales, por su propia naturaleza, procesan un alto volumen de datos personales, lo que a su vez merece una atención especial a sus implicaciones en materia de protección de datos.

Nuevas directrices comunitarias sobre asistentes de voz y protección de datos
19 de julio de 2021

Actualmente existen en el mundo más de tres mil millones de teléfonos móviles inteligentes y todos ellos tienen asistentes de voz (VVAs) integrados, la mayoría de ellos activados por defecto. Asimismo, el reciente aumento de los altavoces inteligentes (se vendieron 147 millones en 2019) está llevando los VVAs a millones de hogares y oficinas. Un asistente de voz virtual es un servicio que entiende los comandos de voz y los ejecuta o media con otros sistemas de IT si es necesario. Estos asistentes de voz virtuales, por su propia naturaleza, procesan un alto volumen de datos personales, lo que a su vez merece una atención especial a sus implicaciones en materia de protección de datos. Es por ello, que el pasado 7 de julio de 2021 el Comité Europeo de Protección de Datos (CEPD) adoptó el documento Guidelines 02/2021 on Virtual Voice Assistants (VVAs) Version 2.0.

El principal objetivo de estas directrices es identificar algunos de los desafíos de cumplimiento más relevantes y facilitar recomendaciones a las partes interesadas sobre cómo abordarlos. Además, dado que los VVAs generalmente implican el almacenamiento de datos en el dispositivo del usuario, también debe aplicarse de forma simultánea la Directiva sobre privacidad y comunicaciones electrónicas (Directiva de ePrivacy), y el Reglamento General de Protección de Datos (RGPD).

Estas directrices han sido actualizadas para tener en consideración las observaciones recibidas durante la consulta pública y abarcan, en particular, los siguientes ámbitos:

  • Contexto tecnológico: Las directrices definen de forma clara el funcionamiento de los VVAs, así como su funcionamiento, las formas de aprendizaje automático y almacenamiento y procesamiento de datos, etc.
  • Nociones de responsable y encargado del tratamiento: Desde la perspectiva de la protección de datos personales, se pueden observar varias constantes independientemente del tipo de VVA (es decir, el tipo de dispositivo, las funciones, los servicios o la combinación de ellos) que pueden ser utilizadas por un interesado. Tales constantes se refieren a la pluralidad de datos personales, sujetos de datos y procesamiento de datos en juego.

    Por otro lado, los principales interesados pueden identificarse bajo la función de proveedor o diseñador, desarrollador de aplicaciones, integrador, propietario o una combinación de ellos. Son posibles diferentes escenarios, dependiendo de quién esté haciendo qué en la relación comercial de las partes interesadas, de la solicitud del usuario, de los datos personales, de las actividades de procesamiento de datos y de sus propósitos. Deben decidir claramente e informar a los sujetos de datos sobre las condiciones en que cada uno de ellos actuará y cumplirá con el papel resultante.
  • Principio de minimización y transparencia: Los responsables del tratamiento están obligados a informar a los usuarios del tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso. La falta de información necesaria constituye un incumplimiento de obligaciones que puede afectar a la legitimidad del tratamiento de datos. Asimismo, de acuerdo con el principio de minimización, los controladores deben minimizar la cantidad de datos que se recopilan directa o indirectamente y se obtienen mediante el procesamiento y el análisis.
  • Identificación de usuarios y creación de perfiles de usuario para contenido o publicidad personalizados: El uso de datos de voz para la identificación del usuario implica el procesamiento de datos biométricos tal como se define en el artículo 4.14 del RGPD. En consecuencia, el controlador de datos tendrá que identificar una exención en virtud del artículo 9 del RGPD, además de la identificación de una base legal en virtud del artículo 6 del RGPD. De las exenciones enumeradas en el artículo 9 del RGPD, solo el consentimiento explícito de los interesados parece aplicable para este propósito específico.

    La personalización del contenido puede (pero no siempre) constituir un elemento intrínseco y esperado de un VVA. El hecho de que dicho tratamiento pueda considerarse como un aspecto intrínseco del servicio VVA dependerá de la naturaleza precisa del servicio prestado, de las expectativas del sujeto medio de los datos a la luz no sólo de las condiciones de servicio, sino también de la forma en que se promueva el servicio a los usuarios, y si el servicio se puede proporcionar sin personalización. En cuanto a la elaboración de perfiles de usuario para publicidad, debe tenerse en cuenta que este propósito nunca se considera como un servicio solicitado explícitamente por el usuario final. Por lo tanto, en caso de procesamiento para este propósito, el consentimiento de los usuarios debe recopilarse sistemáticamente.
  • Tratamiento de datos personales de menores: Los niños también pueden interactuar con los VVAs o pueden crear sus propios perfiles conectados con uno de los adultos. Incluso algunos VVAs están integrados en dispositivos que están dirigidos específicamente a los niños. Por ello cuando la base jurídica para el tratamiento sea la ejecución de un contrato, las condiciones para el tratamiento de los datos de los niños dependerán de las legislaciones contractuales nacionales.
  • Mecanismos para el ejercicio de los derechos de los interesados: De conformidad con el RGPD, los controladores de datos que proporcionan servicios de VVA deben permitir que todos los usuarios, registrados y no registrados, ejerzan sus derechos de interesado. Entre estos derechos se encuentran el derecho de acceso, el derecho a la rectificación de los datos o el derecho a eliminar los datos. El responsable del tratamiento debe proporcionar información sobre los derechos del interesado en el momento en que los interesados enciendan un VVA y, a más tardar, en el momento en que se procese la solicitud de voz del primer usuario.

Autores: Alba Terés y Albert Agustinoy

19 de julio de 2021