Entrevista

César Zárate, Socio en Écija Law & Technology: "La integración de herramientas que permitan el tratamiento de la huella de voz solo es recomendable si la tecnología que genera las mismas cuenta con elementos de seguridad que eviten reconstruir la voz a partir de la huella en sí misma".

Noticia

Esta entrevista tiene ocasión con motivo del reciente informe jurídico sobre biometría de voz emitido por Écija para la empresa tecnológica Nuance experta en el desarrollo de este tipo de soluciones.

César Zárate 1

1.- ¿Cómo ha afectado el nuevo RGPD y la nueva LOPDGDD al ámbito de la biometría de voz?

Antes de nada tenemos que tener en cuenta el momento actual en el que se encuentra las tecnologías asociadas a la biometría de voz y las aplicaciones prácticas que cada vez con más frecuencia vemos en nuestro día a día. Como es evidente el empleo de sistemas basados en biometría de voz puede proporcionar múltiples beneficios al usuario en cuanto respecta a la autenticación y verificación de su identidad, sin embargo no podemos obviar que su uso tiene un impacto sobre la privacidad, lo cual ha sido tenido en cuenta por el legislador que consideró esencial la regulación expresa de algunos aspectos.

En el anterior sentido el RGPD introdujo una importante novedad al dotar a los datos biométricos de una protección superior, equiparable a la exigida para el tratamiento de información relativa a la salud o a la ideología de una persona. Por ello, y a diferencia de lo que ocurría con la anterior normativa, datos tales como la huella de voz, la huella dactilar o el reconocimiento facial son considerados categorías especiales de datos, cuyo tratamiento requiere la adopción de garantías adicionales a las exigidas para las restantes categorías de datos, como puede ser la obtención de un consentimiento explícito del interesado o la existencia de un interés público esencial que esté fundamentado en una norma con rango de ley.

 

2.- Si la huella de voz es un dato personal clasificada en la categoría especial ¿hasta qué punto los programas, aplicaciones, software de edición de voz (ejemplo una famosa app que permite cambiar tu voz para grabar raps) cumplen con la legalidad en materia de protección de datos?

Es importante distinguir entre el tratamiento de la voz – por ejemplo, contenida en la grabación de una llamada – y la biometría de voz, cuya obtención requiere haber empleado una tecnología específica que haya analizado las características físicas, fisiológicas o conductuales, que permitan la identificación única de una persona. Solo en el segundo caso tendrán la consideración de categoría especial de datos.

Por ello, el tratamiento de la voz obtenida a partir de las apps como las mencionadas, incapaces de tratar un dato biométrico, no requerirá atender a obligaciones específicas. Su legalidad dependerá del cumplimiento de factores como la aportación al usuario de información relativa a los fines a los que la voz será destinada y la obtención de los consentimientos que en su caso fueran oportunos para, por ejemplo, compartir la voz con terceros.

 

3.- ¿Sería legal la creación de un registro público, por ejemplo, a efectos de Seguridad Nacional, de biometría de voz de todos los ciudadanos?

Habría que hacer un análisis exhaustivo de la finalidad del tratamiento y realizar una evaluación del impacto para poder contestar a la pregunta, no obstante lo cual no creo que sea algo que tengamos muy lejano.

A modo de ejemplo en España en lo que respecta al uso de datos biométricos contamos con el S.A.I.D. cuya finalidad es el cotejo e incorporación de reseñas decadactilares de detenidos al sistema de identificación dactilar así como el cotejo de huellas anónimas reveladas en el lugar de los hechos para la identificación de detenidos en investigaciones policiales. Por otra parte INTERPOL ya gestiona una base de datos sobre huellas dactilares que contiene alrededor de 200.000 registros de huellas que pueden ser consultados por las Fuerzas y Cuerpos de Seguridad de los países miembros además de poder cotejarlas con sus registros nacionales.

 

4.- Estamos acostumbrados a ver las parodias en YouTube en las que se suplantan las voces de los actores por otras. En este sentido, el lenguaje labial o movimiento de los labios que cada persona realiza al hablar, al ser personal y único ¿podría considerarse también un dato personal y por tanto protegible?

La normativa de protección de datos únicamente protege el tratamiento (como la obtención, conservación o cesión) de datos que sean atribuibles a una persona física, entendiendo por ello a aquella información que permita, directa o indirectamente, la identificación de una persona.   Por ello, en la medida en que no se custodie la información (por ejemplo, la voz en sí misma, la imagen o una descripción del hablante) que sea destinada a una finalidad concreta, no se entenderá que existe tratamiento de datos que deba ser protegido por la normativa de protección de datos.

La protección de la normativa sí que podrá aplicar en lo referido a la voz o imagen del propio hablante, en cuyo supuesto deberá examinarse si efectivamente se dan los requisitos exigidos para el tratamiento de dicha información.

 

5.- La huella de voz puede cometer errores pues depende de condiciones externas que no se pueden controlar (como el ruido de fondo, o incluso que la persona esté resfriada), ¿cómo puede llegar a ser una prueba válida en un proceso judicial si hay factores externos impredecibles que pueden desvirtuar la autenticación de la voz?

En estos casos será esencial, al igual que en otros supuestos en los que interviene la tecnología, contar con un informe pericial que nos permita y sobre todo permita al juez que finalmente debe dictar la sentencia valorar la validez y eficacia de la prueba. Según me han trasladado profesionales expertos en este tipo de tecnología, las soluciones actuales permiten identificar de manera totalmente segura a las personas a través de su voz, a pesar por ejemplo de un resfriado. Aunque pueda parecer sorprendente, en caso de un resfriado de las alrededor de 100 características únicas que puede tener nuestra huella de voz alrededor de un 94% se vería inalterada.

 

6.- Generalmente toda la información que se recaba a través de la biometría se almacena en sistemas internos, ¿No puede un hacker robar esa información de forma sencilla? ¿Qué nivel de seguridad se requiere para que la ciberdelincuencia no puede hacerse con la información privada de las personas?

La producción de brechas de seguridad que implique el robo de información dependerá, entre otros factores, de la adopción de medidas adecuadas. En la actualidad, el RGPD no facilita un listado tasado de mecanismos a implementar para garantizar el nivel de seguridad adecuado, sino que estas deberán ser determinadas por las entidades que traten los datos, o por los proveedores de la tecnología, atendiendo a los riesgos sobre la privacidad que la biometría puede alcanzar.

En todo caso, las medidas deben ser tendentes a prevenir tanto accesos no autorizados al software gestor de las huellas de voz, como, en caso de que se produjera, prevenir que el algoritmo que genera la huella de voz pueda ser revertido, generando la voz del usuario. Como es obvio los proveedores de este tipo de soluciones tienen muy en cuenta este tipo de cuestiones e invierten mucho dinero en ciberseguridad ya que es esencial para el éxito de su modelo de negocio.

 

7.- Una contraseña puede modificarse cada cierto tiempo para evitar que sea robada, pero la voz, una vez que la suplantan ¿Cómo puede recuperarse si supone un rasgo único de una persona y que no se puede cambiar?

Al igual que en el caso anterior, la resolución de esta cuestión dependerá de la tecnología implementada. En todo caso, conforme sucede con otras biometrías, la huella de voz se forma tras la aplicación de algoritmos matemáticos que permiten custodiar un código único por usuario, de modo que el reconocimiento de la voz no implica que deba conservarse la grabación de la voz en sí misma (y, de hecho, la práctica habitual es esta) sino mantener en exclusiva el código generado. Teniendo esto en consideración, la integración de herramientas que permitan el tratamiento de la huella de voz solo es recomendable si la tecnología que genera y custodia las mismas cuenta con elementos de seguridad robustos, que eviten, entre otras cuestiones, reconstruir la voz a partir de la huella en sí misma.

 

8.- Por último, y en este orden de cosas, sorprende la prohibición de la transcripción de las grabaciones de las vistas judiciales y actuaciones orales y vistas grabadas y documentadas en soporte digital, prohibición contenida en el apartado tres del artículo 230 de la LOPJ. ¿Cuáles son las razones que justifican dicha prohibición que no permite poner por escrito lo hablado y manifestado oralmente en un juicio?

Hay que entender el contexto en el que se introdujo dicha modificación en la redacción del artículo 230 de la LOPJ. Las modificaciones que introdujo en su día la LO 7/2105 buscaban una mayor eficiencia y agilidad del sistema judicial y en este sentido la obligación de hacer uso de medios tecnológicos en una administración de justicia poco adaptada a la tecnología podía tener sentido. En cualquier caso esta prohibición hay que interpretarla con cautelas, como ya expuso la Fiscalía General del Estado en su Instrucción 3/2017. A modo de ejemplo sí podrán transcribirse determinadas diligencias de investigación recogidas en soporte audiovisual en un procedimiento penal a los efectos de no vulnerar derechos fundamentales como puede ser el derecho de defensa.