Transcripción de voz con IA: implicaciones para la protección de datos

Foto de Immo Wegmann en Unsplash

Es una realidad que la inteligencia artificial ha revolucionado muchos sectores gracias a su capacidad de realizar diferentes procesos y al estar esta tecnología cada vez más al alcance de cualquier persona o empresa. Entre las distintas aplicaciones de la IA en la empresa, este artículo se centra en analizar el caso de los servicios de transcripción de voz con IA, y su implicación en protección de datos.

Con carácter general, la voz de una persona debe considerarse un dato personal, en la medida en que puede identificar o hacer identificable a una persona física, directa o indirectamente, atendiendo al contexto, a los medios razonablemente utilizables y al estado de la técnica. La voz presenta rasgos propios que, en determinadas circunstancias, pueden permitir la identificación de una persona, en particular para quienes conocen al hablante o cuando se dispone de muestras de referencia. Su capacidad identificativa no es homogénea ni automática en todos los casos, pues se puede anonimizar utilizando distintas técnicas.

La voz llevará asociada información relativa al contenido inherente de la comunicación, además de metadatos propios de los servicios digitales, por ejemplo, el número de teléfono desde donde se llama, la conexión desde donde se transmite la voz (dirección IP), información sobre el uso del aplicativo (cookies) u otro tipo de información. Esta información adicional también constituye datos personales y habrá que ser tenida en cuenta a la hora de garantizar el cumplimiento del RGPD.

Centrándonos únicamente en el tratamiento de la voz, en los transcriptores basados en sistemas de IA es posible, pero no es imperativo, encontrar dos tratamientos de datos con finalidades distintas cuando:

1. De un lado, se realiza la transcripción de la voz utilizando un sistema basado en IA para, por ejemplo, recoger actas de reuniones.
2. Por otro, se podría realizar el ajuste de un sistema de IA con muestras de voces, ya sea por el propio responsable o, lo que es más común, por el proveedor del servicio de transcipción.

Un responsable del tratamiento que decide incorporar un servicio de transcripción de voz ha de ser diligente a la hora de determinar y asegurar la protección de los derechos de las personas cuando seleccione sistemas o encargados con los que creen nuevas relaciones de tratamiento. El responsable ha de tener la diligencia de seleccionar aquellos que ofrecen información clara sobre tratamientos adicionales y sus responsables, sobre garantías de confidencialidad (de la voz, metadatos y del mensaje) y medidas de seguridad, en su caso de cómo se realiza el reentrenamiento, y su legitimidad, sobre plazos de conservación, minimización y, en particular, minimización de metadatos, sobre encargados y localización de datos, y el resto de las garantías y medidas necesarias para cumplir con el RGPD en general y, en particular, con los requisitos del artículo 28 de la norma. 

Con relación a posibles tratamientos adiciones, la organización que usa el sistema ha de determinar si se realiza cualquier tipo de tratamiento que infiera emociones, pensamientos, creencias, estado de salud, identificación biométrica, etc. Los servicios de transcripción que incluyen detección de emociones, o la inferencia de cualquier categoría especial de datos, estarán sujetos a un estricto régimen de protección, e incluso implicar la utilización de sistemas de IA prohibidos por el Reglamento (UE) 2024/1689 de Inteligencia Artificial.

Por otro lado, habitualmente el responsable de la transcripción no es quien realiza el mantenimiento o evolución del sistema de IA con datos personales. Por ello, en el caso de que los datos del transcriptor se empleen para reentrenar el sistema de IA, quien realice dicho tratamiento para sus propios fines asume el rol de responsable según el RGPD. Además, su base legitimadora será distinta de la del tratamiento de transcripción. En estos casos, hay que tener en cuenta que es una práctica común que el entrenamiento del transcriptor sea supervisado, lo que significa que la voz será escuchada por terceros y el contenido transcrito manualmente para llevar a cabo las tareas relacionadas con el ajuste del modelo.

Aplicando el principio de finalidad, el responsable que determina el uso de un sistema de transcripción debe identificar para cada tratamiento los fines, que han de ser determinados, explícitos y legítimos. El responsable, además, debería plantearse la necesidad de incluir una operación de transcriptor en el tratamiento y cumplir con el resto de las obligaciones del RGPD. 

Las bases legitimadoras podrían ser, según el caso, el cumplimiento de un contrato, el interés legítimo, el consentimiento u otras para casos especiales, por ejemplo, en servicios de emergencias. En el caso de que la base sea el consentimiento, debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca de aceptar cada uno de los tratamientos, y sin ser una acción activada por defecto en el uso del servicio. El usuario no debe tener ningún tipo de perjuicio por no dar su consentimiento o retirarlo en cualquier momento; retirada que ha de poderse realizar de una manera tan sencilla cómo fue dar el consentimiento antes de iniciar el tratamiento. El consentimiento podría ser adecuado para determinadas relaciones profesionales, sin embargo, habría que valorar si dicho consentimiento pudiera estar viciado en una relación empleado-empleador o en trámites con las Administraciones Públicas.

En muchos otros casos, cuando se hace uso del interés legítimo como base legal, se recuerda que este interés tiene que ser evaluado de manera que se pueda demostrar que se ha equilibrado con los derechos y libertades del interesado.

Una vez que la organización ha ejercido sus obligaciones de diligencia, determinado la legalidad de los tratamientos (en la medida en la que sólo podrá usar el sistema sujetándose a las condiciones de la plataforma), seleccionado el servicio más adecuado, ésta deberá informar adecuadamente al interesado cuya voz va a ser recogida y tratada. En aplicación del principio de transparencia y de la protección de datos por defecto, y antes de efectuar el tratamiento, el interesado debe ser consciente, entre otros, de la utilización del servicio, de si se van a producir tratamientos adicionales y su naturaleza, de si terceros van a escuchar su conversación (por ejemplo, en reentrenamiento), conocer sus derechos y los riesgos que conlleva este servicio y, en concreto, el ejercicio de los derechos de rectificación y supresión.

Para concluir, con relación al tratamiento de transcripción, el RGPD no aplicaría para el caso de voces sintéticas, o que se hayan adoptado medidas para que la voz sea modificada en origen para eliminar la identificabilidad incluyendo la desvinculación con otra información de identificación, y que son habituales en algunos servicios de Internet, y reiterar que sí aplicaría a los metadatos del servicio y al contenido de la comunicación en la medida en que estén relacionados con una persona física. 

Este artículo de blog está relacionado con otros materiales publicados desde la División de Innovación y Tecnología de la AEPD, como son:

• Artículo de blog Datos e información en Inteligencia Artificial [dic 2024]
• Artículo de blog Inteligencia artificial: Trasparencia [sep 2023]
• Requisitos para Auditorías de Tratamientos que incluyan IA [ene 2021]
• Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial [feb 2020]
• Artículo de blog Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva [feb 2020]