¿Son seguros para la privacidad de los usuarios los asistentes de voz?

¿Son seguros para la privacidad de los usuarios los asistentes de voz?

Son de gran ayuda para escuchar música, buscar un teléfono, conocer el estado del clima… pero los expertos de ARAG advierten que, mientras están activos, estos dispositivos graban las conversaciones que mantienen los usuarios en la nube.

Es una pregunta muy difícil de responder ya que la Agencia Española de Protección de Datos (Aepd) aún no ha publicado ninguna guía de privacidad de estos dispositivos que, cada vez, se encuentran con más frecuencia en los hogares. La sección ‘innovación y tecnología’ de esta entidad no incluye ningún informe o nota técnica sobre estos asistentes pero, tras la consulta de AdndelSeguro.com remite a un documento que se puede consultar on line del ‘European Data Protection Supervisor’ que reconoce que en su “comprensión preliminar, esto plantea varios desafíos de protección de datos para la mayoría de los altavoces inteligentes y asistentes virtuales existentes”. El más famoso es ‘Alexa’ de Amazon pero existen: ‘Google Assistant’, ‘Siri’ de Apple, Genie AI de Alibaba, Xiao AI de Xiaomi o DuerOS de Baidu.

Son de gran ayuda para escuchar música, buscar un teléfono, conocer el estado del clima… pero la abogada de ARAG, Miriam Montero, indica que mientras están activos, estos dispositivos graban las conversaciones que mantienen los usuarios en la nube. Esta información forma parte del ‘machine learning’ que les permite recabar datos sobre los usuarios para recordar una función concreta, conocer sus preferencias o hábitos y compartir información con servidores de terceros para poder ofrecer la solución que se solicita.

Protección de datos por diseño, falta de transparencia y control parental limitado

El diseño y el comportamiento actual de la mayoría de los altavoces inteligentes y asistentes virtuales no cumple totalmente con los principios de protección de datos por diseño y protección de datos por defecto dictados por la ‘European Data Protection Board’.

Sin transparencia, los datos personales recopilados por los altavoces inteligentes podrían ser mal utilizados para propósitos que van mucho más allá de las expectativas del usuario. Por ejemplo, las tecnologías recientemente patentadas tienen como objetivo deducir el estado de salud y los estados emocionales de la voz de un usuario y adaptar los servicios proporcionados en consecuencia.

La ‘European Data Protection Supervisor’ también advierte que “cuando se trata de procesar los datos de los niños, parece que no hay forma de garantizar que la persona con responsabilidad parental haya dado su consentimiento. Los controles parentales están disponibles hasta cierto punto, pero en su forma actual no son fáciles de usar”. De hecho, advierte que, de forma alarmante, ya hay informes de que las grabaciones de voz de los niños se están utilizando para crear huellas de voz que podrían usarse para identificarlos cuando otros dispositivos los detectan en otros lugares.

Qué datos, por quién y para qué

Los especialistas en seguros de defensa jurídica de ARAG recomiendan saber qué datos se están recogiendo, por quién y con qué finalidad. Es importante que antes de utilizar este tipo de aparatos:

  1. Se lea detenidamente toda la información del producto y las políticas de seguridad y privacidad del producto o la marca.
  2. Saber con qué finalidad se van a recoger todos esos datos y qué uso se les va a dar.
  3. Revisar las condiciones de privacidad y permisos y mantenerlas actualizadas por lo que hay que borrar conversaciones del historial. No es fácil para los usuarios de altavoces inteligentes averiguar cuánto tiempo se almacenarán sus datos. Los usuarios generalmente se quedan con la tarea de eliminar cualquier dato que el asistente virtual haya procesado y guardado. En algunos casos, es posible que ni siquiera sea posible eliminar todos los datos almacenados. Dependiendo del asistente virtual, la función de eliminación solo puede eliminar parcialmente los datos, eliminando solo datos de voz, por ejemplo.
  4. Revisar los permisos que le damos al aparato, conocer a qué se da un consentimiento expreso y qué conlleva. También es clave ser conscientes de los altavoces inteligentes pueden detectar por error una expresión hablada como su expresión de activación y, por lo tanto, procesar datos personales sin el consentimiento del usuario. La expresión de activación puede cambiarse y una persona que no es consciente de este cambio podría encender accidentalmente el altavoz inteligente.

Al analizar los datos recopilados a través de altavoces inteligentes, advierte la ‘European Data Protection Supervisor’, es posible conocer o inferir los intereses, horarios, rutas o hábitos de manejo del usuario. Todos estos datos podrían utilizarse, sin que la gente lo sepa, para crear perfiles y proporcionar servicios personalizados no solicitados, como publicidad o resultados de búsqueda modificados.

Seguridad de los datos comprometida

La ‘European Data Protection Supervisor’ destaca que los diseños actuales de altavoces inteligentes y asistentes virtuales aún no ofrecen un control de acceso adecuado a los datos personales. La autenticación por reconocimiento de voz es opcional y no permite el control del acceso a los datos personales por parte de todos los servicios. Si no se está utilizando el reconocimiento de voz, el control de acceso se basa en un número PIN opcional que el usuario tiene que decir.

Es importante saber, para los usuarios, que es posible manipular un altavoz inteligente de forma remota a través de la transmisión de señales y comprometer el altavoz a través de la radio o la televisión. La mayoría de los asistentes de voz inteligentes confían ciegamente en sus redes locales. Cualquier dispositivo comprometido en la misma red podría cambiar la configuración del altavoz inteligente o instalar malware en él sin el conocimiento o acuerdo del usuario.

También es clave tener en cuenta que, tal como están diseñados estos dispositivos en la actualidad, los altavoces inteligentes graban localmente durante unos segundos y no envían ninguna información al servicio de reconocimiento de voz en la nube hasta que se detecta la expresión de activación. Sin embargo, podrían ser el blanco de ataques y solicitudes de acceso de las agencias policiales. Podrían acceder a las grabaciones de voz locales antes de que se eliminen, convirtiendo los altavoces inteligentes en un sistema de vigilancia masivo instalado por los propios individuos vigilados.

Información accesible y fácil de entender

Es importante conocer, a nivel asegurador, que según establece el considerando 58 del Reglamento Europeo de Protección de Datos, el principio de transparencia exige que toda información dirigida al público o al interesado sea:

  1. Concisa.
  2. Fácilmente accesible.
  3. Fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, que se visualice.

Derechos del usuario

El usuario, además, debe saber que le asisten derechos como el de acceso, rectificación, oposición y supresión. Si se advierte una vulneración de derechos, uso indebido de datos o cualquier vulnerabilidad relacionada con los datos personales o la privacidad se debe poner, de inmediato, en en conocimiento de la Aepd.