As Assistentes de Voz Virtuais e a Proteção de Dados Pessoais

13.01.2022 – Enquanto no Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) esforça-se para cumprir o seu cronograma de regulamentações da Lei Geral de Proteção de Dados (LGPD) para o biênio 2021 e 2022, a Europa dá passos largos na regulamentação e na orientação de diversos aspectos da Resolução Europeia de Proteção de Dados (GDPR), conforme será possível evidenciar nesse artigo.

Na verdade, o European Data Protection Board (EDPB), ou seja, o Conselho Europeu de Proteção de Dados (EDPB), que é um órgão europeu independente, que contribui para a aplicação consistente das regras de proteção de dados em toda a União Europeia e promove a cooperação entre as autoridades de proteção de dados entre os países daquela comunidade, com sede em Bruxelas, Bélgica, editou um guia para a interpretação da GDPR, no que diz respeito à interatividade das assistentes de voz virtuais, também chamadas de VVAs, tais como Cortana, Alexa, Siri, Bixby, etc.

As VVAs, com o avanço da tecnologia, têm se popularizado tremendamente, atraindo inclusive a atenção de Hollywood, que já lançou, ao menos, dois filmes sobre o assunto, sendo o primeiro chamado Her e estrelado por Joaquin Phoenix e o segundo chamado Jexi e estrelado por Adam DeVine. Os dois filmes são imperdíveis.

Voltando ao guia, existe uma preocupação cada vez maior das autoridades que na interação das VVAs com o usuário, aquelas tenham um acesso cada vez maior a informações de natureza íntima desses, que se mal geridas, poderiam causar danos aos usuários e violar direitos à proteção de dados e à privacidade.

Segundo definição técnica, uma VVA permite realizar diferentes tarefas tais como a captura de som e sua reprodução, a transcrição automática de fala (fala para texto), o processamento de linguagem automática, a capacidade de diálogo, o acesso a ontologias (conjuntos de dados e conceitos estruturados e relacionados a um determinado domínio) e fontes externas de conhecimento, a geração de linguagem, síntese de voz (texto para fala), etc. VVAs podem ser atualmente implantadas em diversos equipamentos como celulares, carros, computadores, TVs, relógios, etc.

Sua composição se dá por 3 (três) componentes principais:

1. O componente físico – o elemento de hardware no qual a assistente está incorporada (smartphone, alto-falante, smart TV, etc.) e que transporta microfones, alto-falantes e rede e computação capacidades (mais ou menos desenvolvidas dependendo do caso).

2. O componente de software – a parte que implementa a interação homem-máquina estritamente falando e que integra os módulos de reconhecimento automático de fala, linguagem natural processamento, diálogo e síntese de fala. Isso pode ser operado diretamente dentro do componente físico, embora, em muitos casos, seja realizado remotamente.

3. Os recursos – dados externos, como bancos de dados de conteúdo, ontologias ou aplicativos de negócios que fornecem conhecimento (por exemplo, “diga que horas são no Reino Unido”, “leia meus e-mails”, etc.) ou permitir que a ação solicitada seja realizada de forma concreta (por exemplo, “aumente a temperatura em 2°C”).

Uma VVA pode envolver diferentes atores no curso da sua execução, conforme a descrição abaixo:

1. O provedor da VVA (ou designer) – responsável pelo seu projeto, funcionalidades, ativação, arquitetura, acesso a dados, gerenciamento de registros, especificações de hardware, etc.

2. O desenvolvedor de aplicativos – cria aplicativos para desenvolver as funcionalidades da VVA, respeitando as limitações impostas pelo provedor.

3. O integrador – fabricante dos equipamentos que serão conectados por uma VVA.

4. O proprietário – responsável pelos espaços físicos que recebem pessoas (locais de hospedagem, ambientes profissionais, aluguel de veículos, etc.) e que deseja fornecer uma VVA para seu público (possivelmente com aplicativos dedicados).

5. O usuário – aquele que pode usar a VVA em vários dispositivos: alto-falante, TV, smartphone, relógio, etc.

De acordo com o guia, ficou sedimentada a aplicabilidade do item 3, do Artigo 5º da Diretriz E-Privacy, para todos os atores acima descritos que desejem armazenar ou acessar informações armazenadas no equipamento terminal de um assinante ou usuário na União Europeia. E aqui está o que determina esse dispositivo:

” 3. Os Estados-Membros velarão para que a utilização de redes de comunicações eletrônicas para a armazenagem de informações ou para obter acesso à informação armazenada no equipamento terminal de um assinante ou usuário só seja permitida na condição de serem fornecidas ao assinante ou ao usuário em causa informações claras e completas, nomeadamente sobre os objetivos do processamento, em conformidade com a Diretriz 95/46/CE, e de lhe ter sido dado, pelo controlador dos dados, o direito de recusar esse processamento. Tal não impedirá qualquer armazenamento técnico ou acesso que tenham como finalidade exclusiva efetuar ou facilitar a transmissão de uma comunicação através de uma rede de comunicações eletrônicas, ou que sejam estritamente necessários para fornecer um serviço no âmbito da sociedade de informação que tenha sido explicitamente solicitado pelo assinante ou pelo usuário.”

Além disso, o guia deixou claro que o tratamento dos dados deve estar amparado por uma das 6 bases legais previstas no Art. 6 da GPDR, ou seja, (i) consentimento do titular, (ii) execução de contrato do qual o titular seja parte, (iii) obrigação legal, (iv) proteção dos interesses vitais do titular ou de outra pessoa, (v) interesse público ou autoridade investida no papel de controladora e (vi) legítimo interesse.

Logo, especialmente em razão do item 3 do Art. 5º da Diretriz E-Privacy, o controlador terá que informar ao titular dos dados sobre todas as finalidades do processamento; o que leva ao raciocínio lógico de que das 6 bases legais acima descritas, o consentimento do titular deve ser a base legal geralmente escolhida, já que o Art. 6 da GDPR não pode ser invocado pelos controladores para reduzir a proteção adicional prevista no item 3 do Art. 5º da Diretriz E-Privacy. Todavia, são previstas duas exceções: (i) realizar ou facilitar a transmissão de uma comunicação em uma rede de comunicação eletrônica e (ii) fornecer um serviço de uma sociedade de informação explicitamente solicitado pelo assinante ou usuário.

A propósito, ativações acidentais por parte do usuário, como, por exemplo, a VVA interpretar equivocadamente uma fala ou um comando, não podem ser consideradas como um consentimento válido. Nesse caso, recomenda-se a exclusão dos dados pessoais, se houver, coletados acidentalmente.

Importante também considerar a interpretação do EDPB de que dados de voz, são também considerados dados pessoais biométricos, que, para efeito da LGPD brasileira, seriam considerados dados pessoais sensíveis.

Algumas recomendações são mencionadas no Guia:

1. Quando os usuários são informados sobre o tratamento de dados pessoais pela VVA referindo-se a uma política de privacidade para a conta de usuário e a conta está vinculada a outros serviços independentes (por exemplo, e-mail ou compras), o EDPB recomenda que a política de privacidade tenha uma seção claramente separada sobre o tratamento de dados pessoais pela VVA.

2. As informações fornecidas ao usuário devem corresponder à coleta e ao tratamento exatos que são realizados. Enquanto algumas meta-informações estão contidas em uma amostra de voz (por exemplo, nível de estresse do usuário), não fica claro se tal análise é realizada. É fundamental que os controladores sejam transparentes sobre os aspectos específicos dos dados brutos que tratam.

3. Deve estar sempre claro em qual estado a VVA está, ou seja, os usuários devem poder determinar se uma VVA está atualmente escutando o ambiente e especialmente se está transmitindo informações para seu provedor. Esta informação também deve ser acessível para pessoas com deficiência, como daltonismo, surdez, etc.

4. Uma consideração particular deve ser aplicada se os dispositivos permitirem adicionar funcionalidades de terceiros (“aplicativos” para VVAs), já que o usuário pode não estar suficientemente informado sobre como e por quem seus dados são tratados.

5. Os usuários devem ser informados da finalidade do tratamento dos dados pessoais e essa finalidade deve estar de acordo com suas expectativas em relação ao dispositivo que compram. No caso de um VVA, essa finalidade, do ponto de vista de um usuário, claramente é o tratamento de sua voz com o único propósito de interpretar sua consulta e fornecer respostas significativas (sejam respostas a uma consulta ou sejam outras reações como o controle remoto de um interruptor de luz, por exemplo).

6. Quando o tratamento de dados pessoais for baseado no consentimento, tal consentimento “deverá ser dado em relação a uma ou mais finalidades específicas e o titular de dados deve ter a opção de aceitar ou recusar cada uma delas”. Além disso, “um controlador que busca consentimento para várias finalidades diferentes deve fornecer um opt-in separado para cada finalidade, para permitir que os usuários deem consentimento específico para cada finalidade”.

7. Do ponto de vista do usuário, o principal objetivo do tratamento de seus dados é consultar e receber respostas e/ou acionar ações como tocar música ou acender ou apagar luzes. Após uma consulta ser respondida ou um comando executado, os dados pessoais devem ser excluídos, a menos que o designer ou desenvolvedor da VVA tenha uma base legal válida para retê-los para uma finalidade específica.

8. Antes de considerar a anonimização como meio para cumprir o princípio de limitação de armazenamento de dados, provedores e desenvolvedores da VVA devem verificar se o processo de anonimização renderiza a voz tornando-a não identificável.

9. Os padrões de configuração devem refletir esses requisitos por padrão para um valor absoluto mínimo de informações do usuário armazenadas. Se essas opções forem apresentadas como parte de um assistente de configuração, a configuração padrão deve refletir isso e todas as opções devem ser apresentadas como possibilidades iguais sem discriminação visual.

10. Quando durante o processo de revisão o provedor ou desenvolvedor da VVA detectar uma gravação originada em uma ativação equivocada, a gravação e todos os dados associados devem ser imediatamente excluídos e não utilizados para finalidade alguma.

11. Os designers da VVA e desenvolvedores de aplicativos devem fornecer segurança de última geração nos procedimentos de autenticação aos usuários.

12. Os revisores humanos devem sempre receber os dados pseudonimizados estritamente necessários.  Os contratos que regem a revisão devem proibir expressamente qualquer tratamento que possa levar a identificação do titular dos dados.

13. Se chamada de emergência for fornecida como um serviço através da VVA, um tempo de atividade estável deve ser garantido.

14. Os modelos de voz devem ser gerados, armazenados e combinados exclusivamente no dispositivo local, não em servidores remotos.

15. Devido à sensibilidade das impressões de voz, padrões como ISO/IEC 24745 e técnicas de proteção do modelo biométrico devem ser aplicados de forma completa.

16. Os projetistas da VVA devem considerar tecnologias que excluam o ruído de fundo para evitar a gravação e processamento de vozes de fundo e informações situacionais.

17. Se as mensagens de voz forem usadas para informar os usuários, os controladores de dados devem publicar essas mensagens em seu site para que sejam acessíveis aos usuários e às autoridades de proteção de dados.

As crianças também podem interagir com as VVAs ou podem criar seus próprios perfis conectados aos dos adultos. Algumas VVAs estão embutidas em dispositivos especificamente voltados para crianças. Quando a base legal para o processamento for o consentimento e de acordo com o artigo 8.º, n.º 1, da GDPR,o tratamento de dados de crianças só será lícito quando a criança tiver pelo menos 16 anos de idade. Se for menor de 16 anos, tal tratamento somente será lícito, se dado ou autorizado pelo titular da responsabilidade parental sobre a criança. Se, todavia, a base legal para o tratamento for a execução de um contrato, as condições do tratamento de dados de crianças dependerá das leis contratuais nacionais.