Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Opinión | Protección de datos en asistentes virtuales y sistemas de voz

Opinión | Protección de datos en asistentes virtuales y sistemas de voz
Franco Blanco es abogado experto en "blockchain" y criptomonedas; trabaja como consultor y formador en Tecnologías de la Información y Comunicación (TIC).
22/2/2025 05:35
|
Actualizado: 22/2/2025 01:09
|

En esta noticia se habla de:

Los asistentes virtuales y los sistemas de voz, como Siri[1], Google Asistant[2], Alexa o Cortana[3], han transformado la interacción entre los usuarios y la tecnología, permitiendo una comunicación más natural y eficiente con dispositivos electrónicos. Estos sistemas, impulsados por inteligencia artificial y procesamiento de lenguaje natural[4], facilitan la automatización de tareas, la gestión de información y el acceso a servicios mediante comandos de voz.

La creciente implementación de asistentes virtuales en dispositivos móviles, smart homes y entornos corporativos implica la recolección masiva de datos personales y, en muchos casos, información sensible de los usuarios.

La capacidad de estos sistemas para registrar, analizar y almacenar datos sobre hábitos, preferencias y comunicaciones personales plantea riesgos significativos en términos de privacidad. En este contexto, la protección de datos emerge como un elemento esencial en la regulación y el diseño de estos sistemas, requiriendo un enfoque de Compliance riguroso que garantice el cumplimiento de normativas de privacidad y seguridad.

Desde una perspectiva de Compliance, las empresas que desarrollan e integran estas tecnologías deben implementar políticas y procedimientos que aseguren la conformidad con la normativa de protección de datos (en esencia RGPD y LOPD).

De este modo, habrán de llevarse a cabo evaluaciones de impacto en protección de datos en los términos del artículo 35 RGPD y, en su caso, el procedimiento de consulta previa previsto en el artículo 36 RGPD,

la adopción de estrategias de privacidad desde el diseño y por defecto del artículo 25 RGPD, la gestión del consentimiento de los usuarios y la implementación de protocolos de respuesta ante incidentes de seguridad, entre otros.

RIESGOS EN PROTECCIÓN DE DATOS

En este contexto, los asistentes virtuales y los sistemas de voz presentan riesgos significativos en protección de datos debido a la naturaleza intrusiva de su funcionamiento. Estos dispositivos dependen de la recopilación, almacenamiento y procesamiento de información personal para ofrecer respuestas personalizadas y mejorar su capacidad de reconocimiento.

Sin embargo, la manera en que se gestionan estos datos puede comprometer derechos fundamentales y generar vulnerabilidades en la seguridad de los usuarios.

Uno de los principales riesgos radica en la recopilación indiscriminada de información personal. Los asistentes virtuales se activan mediante comandos de voz, pero cabe la posibilidad de captar datos sin el conocimiento del usuario, ya sea por errores en la detección de palabras clave o por configuraciones que permiten un monitoreo continuo.[5]

Esta situación se agrava cuando la información recopilada es almacenada durante largos períodos sin mecanismos efectivos que permitan al usuario gestionar su eliminación, infringiendo el principio de limitación del plazo de conservación. En este contexto, la falta de transparencia sobre el destino de los datos y los procedimientos para su uso incrementa la exposición a prácticas abusivas.

La posibilidad de que un asistente virtual escuche conversaciones privadas y las registre sin consentimiento explícito genera dudas sobre la privacidad en espacios personales y profesionales.

Asimismo, la información recopilada puede utilizarse para la elaboración de perfiles de comportamiento que alimentan modelos de publicidad dirigida sin que los usuarios tengan un control efectivo sobre la forma en que sus datos son analizados y comercializados.

La posibilidad de que actores malintencionados accedan a grabaciones de voz mediante ataques cibernéticos o brechas de seguridad compromete la confidencialidad de los datos.

De igual manera, la cesión de información a terceros sin un consentimiento claro y específico incrementa la posibilidad de que los datos sean utilizados con fines distintos a los previstos.

En este sentido, el desarrollo de la inteligencia artificial ha potenciado las capacidades de los asistentes virtuales y con ello nuevos desafíos en materia de privacidad. Los modelos de aprendizaje automático pueden generar sesgos en el procesamiento de información y dificultar la supervisión de los algoritmos que analizan los datos de los usuarios.

A su vez, la automatización de decisiones basada en la recopilación de datos de voz puede derivar en la toma de determinaciones sin intervención humana resultando de aplicación lo dispuesto en el artículo 22 RGPD.

ENFOQUE INTEGRAL

La protección de los datos en asistentes virtuales y sistemas de voz requiere un enfoque integral que combine medidas de seguridad tecnológica con estrategias de Compliance. El compromiso de las organizaciones con la privacidad y la adopción de principios de transparencia y control por parte de los usuarios resultan fundamentales para garantizar un uso responsable de estos sistemas y fortalecer la confianza en su implementación.

Por ello, los modelos de Compliance en protección de datos en las organizaciones que desarrollan asistentes virtuales y sistemas de voz promueven el cumplimiento de los requisitos que la normativa sobre esta materia exige.

Entre estas exigencias, destacamos el principio de minimización de datos que obliga a que las empresas recopilen únicamente la información estrictamente necesaria para la finalidad específica del tratamiento, toda vez que cabe la posibilidad de que los asistentes virtuales traten datos más allá de lo necesario o consentido por el usuario.

«La seguridad y la privacidad deben ser ejes fundamentales en el desarrollo de asistentes virtuales, asegurando que su funcionamiento respete los derechos de los usuarios y permita su uso de manera ética y responsable».

Derivado de ello, surge la obligación de limitar la finalidad del tratamiento de la información por lo que los desarrolladores deben diseñar sus sistemas de manera que reduzcan al máximo la cantidad de datos personales tratados, asegurando que estos sean pertinentes y adecuados para la prestación del servicio. Asimismo, la conservación de los datos debe ajustarse a períodos razonables, evitando el almacenamiento indefinido sin justificación legítima.

Asimismo, el consentimiento informado por el que los usuarios otorgan su autorización de forma expresa, libre, específica, informada e inequívoca de forma previa a que sus datos sean tratados.

En el caso de los asistentes virtuales, la obtención de este consentimiento puede representar un desafío debido a que multitud de sus funciones se activan de manera automatizada sin interacción directa con el usuario.

La obligación de garantizar un consentimiento explícito requiere que las organizaciones adopten mecanismos claros y accesibles que permitan a los usuarios comprender cómo se utilizarán sus datos y decidir sobre su tratamiento.

Además, debe ofrecerse la posibilidad de revocar el consentimiento en cualquier momento, con procedimientos ágiles, similares a los que propios para conceder el consentimiento, y sin restricciones indebidas.

Respecto de los derechos de los usuarios en materia de protección de datos en el ámbito de los sistemas de voz, su ejercicio puede verse obstaculizado por la dificultad de identificar y segmentar los datos individuales dentro de las bases de información almacenadas.

Las organizaciones tienen la responsabilidad de establecer procedimientos eficientes para que los usuarios puedan ejercer sus derechos de manera sencilla y efectiva, garantizando que sus solicitudes sean atendidas de forma diligente.

TRANSPARENCIA

Por su parte, el principio y derecho de transparencia en el tratamiento de datos supone que las organizaciones que operan asistentes virtuales deben proporcionar información clara y accesible sobre todos los aspectos exigidos en los artículos 13 o 14 RGPD.

Como no puede ser de otro modo, los sistemas de voz deben contar con medidas técnicas y organizativas adecuadas para prevenir accesos no autorizados, filtraciones y cualquier otra vulnerabilidad que comprometa la confidencialidad de la información.

El cifrado de datos, la anonimización o pseudonimización y la adopción de protocolos de autenticación son algunos ejemplos de estrategias que deben implementarse para garantizar la protección de los datos personales almacenados en estos sistemas.

Asimismo, la adopción de principios de privacidad desde el diseño y por defecto permite que la protección de los datos personales sea un elemento central en el desarrollo de estas tecnologías

La integración de medidas de Compliance en cada fase del proceso de tratamiento de datos garantiza que la privacidad de los usuarios sea respetada y que las organizaciones puedan operar dentro de los límites establecidos por la legislación.

La combinación de transparencia, seguridad, control de riesgos y supervisión constante es la clave para asegurar que los asistentes virtuales y sistemas de voz cumplan con los estándares más exigentes en materia de protección de datos.

El carácter altamente sensible de los datos tratados por estas tecnologías, así como su potencial exposición a amenazas externas e internas, exige la implementación de controles adecuados que resguarden la privacidad e intimidad de los usuarios y aseguren el cumplimiento de las normativas en materia de protección de datos.

El cumplimiento de estándares internacionales de seguridad, como la norma ISO/IEC 27001[6] sobre gestión de la seguridad de la información, aporta un marco de referencia para la implementación de controles efectivos en asistentes virtuales y sistemas de voz.

ESTÁNDARES

La certificación en estos estándares contribuye a fortalecer la confianza de los usuarios y demostrar el compromiso de las organizaciones con la seguridad de los datos. La adopción de buenas prácticas en ciberseguridad y la formación continua de los equipos responsables del tratamiento de la información permiten reducir el impacto de amenazas y mejorar la capacidad de respuesta ante posibles ataques.

El compromiso con la seguridad en asistentes virtuales y sistemas de voz debe ser asumido como una prioridad estratégica en el desarrollo y operación de estas tecnologías.

La protección de los datos personales no solo es un requisito normativo, sino también un elemento clave para preservar la confianza de los usuarios y garantizar la viabilidad a largo plazo de estos sistemas.

La combinación de medidas tecnológicas avanzadas con estrategias de Compliance eficaces permite establecer un entorno seguro en el que la privacidad de los usuarios sea respetada y protegida frente a las múltiples amenazas que pueden comprometer su información personal.

En su virtud, podemos afirmar que los asistentes virtuales y sistemas de voz representan un avance tecnológico con múltiples beneficios, pero su implementación conlleva riesgos significativos en materia de protección de datos.

La recopilación masiva de información personal, el monitoreo continuo y la utilización de inteligencia artificial exigen la adopción de medidas de Compliance que garanticen la transparencia, seguridad y control sobre los datos de los usuarios.

El cumplimiento de los estándares internacionales y la supervisión de la regulación aplicable no solo responden a exigencias legales, sino que constituyen un elemento diferenciador en la competitividad de las empresas en un entorno donde la protección de datos se ha convertido en un factor determinante.

La seguridad y la privacidad deben ser ejes fundamentales en el desarrollo de asistentes virtuales, asegurando que su funcionamiento respete los derechos de los usuarios y permita su uso de manera ética y responsable.

[1] Más información en: https://www.apple.com/es/siri/

[2] Más información en: https://assistant.google.com/intl/es_es/

[3] Más información en: https://support.microsoft.com/es-es/cortana

[4] El procesamiento del lenguaje natural es un subcampo de la informática y la inteligencia artificial (IA) que utiliza el machine learning para permitir que los ordenadores entiendan y se comuniquen con el lenguaje humano. https://www.ibm.com/es-es/think/topics/natural-language-processing

[5] Vid. Lopez v. Apple, Inc. https://casetext.com/case/lopez-v-apple-inc

[6] Más información en: https://www.iso.org/es/norma/27001

Otras Columnas por Carlos Franco:
Opinión | Más allá del código: «Blockchain» en la encrucijada de la regulación comunitaria
Opinión | Ética y regulación: pilares del futuro de la Inteligencia Artificial
Opinión | Situación actual de los «Exchange Trade Funds» de «Bitcoin» en Estados Unidos
Opinión | Implicaciones éticas y legales de los videos ultrarrealistas creados por IA: Un estudio sobre Sora de OpenAI
Opinión | El rol de la Inteligencia Artificial en la propiedad intelectual: análisis del caso Thaler en el Supremo inglés
Opinión | El impacto transformador de la Inteligencia Artificial en la práctica legal: una revolución digital en marcha
Últimas Firmas