lunes, 29 de julio de 2019

Ni Amazon, ni Apple, ni Google especifican en sus términos que haya humanos escuchando lo que decimos a nuestros asistentes: el gran dilema de la transparencia

Ni Amazon, ni Apple, ni Google especifican en sus términos que haya humanos escuchando lo que decimos a nuestros asistentes: el gran dilema de la transparencia

En los últimos meses hemos conocido que tanto trabajadores de Amazon como de Google escuchan algunas de nuestras conversaciones con Alexa en los Echo y con el Asistente de Google en los Home. Es algo que las dos compañías han confirmado al ser preguntadas por estos casos, explicando ambas que esta práctica se realiza para "mejorar el servicio" con muestras pequeñas. Google, por ejemplo, admite escuchar el 0,2% de las peticiones que recibe su asistente.

A raíz de una información de El País, que afirma haber hablado con trabajadores de una empresa subcontratada por Apple para mejorar el rendimiento de Siri mediante escuchas, conocimos que los de Cupertino también tienen a equipos dedicados a estas labores, con, aparentemente, las mismas intenciones de mejora del servicio que sus competidores.

Llegados a este punto, hay varias cuestiones en el aire: ¿se avisa en algún documento fácilmente accesible por los usuarios de que nuestras conversaciones con los asistentes pueden ser escuchadas por seres humanos? De no ser así, ¿están invadiendo nuestra privacidad?

Qué dicen las condiciones de uso de los asistentes

Los términos y condiciones de los servicios son grandes desconocidos para los usuarios, aunque aunque haya que aceptarlos para comenzar a utilizarlos. Hemos buscado menciones a las prácticas de que personas escuchen los audios generados por los usuarios de los asistentes en las webs de políticas y condiciones de Amazon, Google y Apple al respecto, y esto es lo que hemos encontrado.

De antemano hay que aclarar que para que algo sea legal no necesariamente tiene que ser muy explícito o concreto, aunque ello repercuta en la transparencia con la que se comunica a los usuarios:

Alexa y los Echo

Amazon Echo

Comenzando por Amazon, esto es lo que hemos visto en las Condiciones de uso de Alexa:

Interacciones con Alexa: "Para proporcionar el servicio de Alexa, personalizarlo y mejorar nuestros servicios, Amazon procesa y retiene tus Interacciones con Alexa, tales como tus entradas de voz, listas de reproducción y listas de tareas y de la compra, en la nube. Puedes consultar más información acerca de estos servicios de voz, incluyendo cómo eliminar grabaciones de voz asociadas a tu cuenta"

Si consultamos "más información", llegamos a lo siguiente:

"¿Cómo se usan mis grabaciones de voz?

Alexa utiliza tus grabaciones de voz y otra información, incluyendo de servicios de terceros, para responder a tus preguntas, hacer lo que le pides, y mejorar tu experiencia y nuestros servicios. Asociamos tus solicitudes con tu cuenta de Amazon para permitirte revisar tus grabaciones de voz, acceder a otros servicios de Amazon (por ejemplo, para que le puedas pedir a Alexa que te lea tus libros Kindle), y para proporcionarte una experiencia más personal.

¿Cómo mejoran a Alexa mis grabaciones de voz?

Alexa es un servicio que mejora constantemente y está diseñado para ser más inteligente cada día. Cuanto más utilizas Alexa, más se adaptará el servicio a tu forma de hablar, vocabulario y preferencias personales. Por ejemplo, usamos tus solicitudes a Alexa para entrenar nuestros sistemas de reconocimiento y comprensión del lenguaje natural. Cuantos más datos usamos para entrenar estos sistemas, Alexa funcionará mejor, y entrenar a Alexa con grabaciones de voz de un rango diverso de usuarios ayuda a conseguir que Alexa funcione bien para todos. También nos puedes ayudar a mejorar nuestros servicios dando tu opinión en Historial en la app Alexa".

Según Amazon, Alexa no está grabando todo el tiempo, sino desde el momento en que identifican la palabra de activación para darle una orden.

Como vemos, Amazon es transparente en el sentido de contarnos que utilizan, retienen y procesan nuestras interacciones con Alexa para "proporcionar el servicio de Alexa, personalizarlo y mejorar nuestros servicios". Sin embargo, no encontramos mención al hecho de que haya trabajadores escuchando algunas de esas interacciones. Tal y como está redactado, lo que puede entenderse es que hay un software que utiliza grabaciones de nuestras solicitudes para mejorar mediante entrenamiento en cuestiones de naturalidad conversacional del lenguaje, pero no que puede haber humanos haciendo ese trabajo.

En un comunicado remitido por Amazon, nos mencionan que "los empleados no tienen acceso directo a la información que puede identificar a la persona o cuenta del cliente como parte de este flujo de trabajo (la escucha de archivos de audio", pero lo que encontramos en la web, que es el documento accesible por todos los usuarios, tampoco da a entender que el proceso de disociar dichos audios de la cuenta de los usuarios sea tan fuerte, como expresa la siguiente frase de esta otra web "Alexa, dispositivos Echo y tu privacidad": "Asociamos tus solicitudes con tu cuenta Amazon para que puedas acceder a otros servicios de Amazon".

En el caso de Amazon, lo mejor es que encontrar en Google los datos sobre "Condiciones de uso de Alexa" y las otras webs que hemos repasado es muy sencillo y accesible. Lo malo es que, como también ocurre con el Asistente de Google y con Siri, tengamos que enterarnos por los medios de que nuestra voz la escuchan algo más que máquinas, porque no se detalla en profundidad qué significa que sus sistemas entrenen con estos audios.

Asistente de Google y Google Home

Google Home

Tras la polémica surgida a causa del conocimiento por parte de los medios y del público de que algunas empleados de Google escuchan nuestras conversaciones, la compañía reconoció que expertos lingüistas analizan y transcriben un número pequeño de peticiones, en concreto, un 0,2 %, sin que estén asociadas con las cuentas de los usuarios, por lo que se hace mención explícita a la preservación de la intimidad. Además, estos trabajadores tienen orden de solamente transcribir los mensajes dirigidos a al Asistente de Google, no lo que pueda sonar en segundo plano.

Según nos cuentan desde Google, no hay páginas específicas de condiciones de uso y privacidad por producto, por lo que lo primero que haremos será repasar la "Política de Privacidad", y las "Condiciones del Servicio" generales.

En cuanto a la primera, en el apartado de "Información que recoge Google", la compañía explica lo habitual: "Recogemos información para proporcionar los mejores servicios a todos nuestros usuarios [...]", y por supuesto "el tipo de información que recoge Google y cómo se utiliza esa información depende del uso que hagas de nuestros servicios y de cómo administres los controles de privacidad".

Las tres compañías advierten de que nos graban y almacenan nuestros datos, pero ninguna explica que nos puede escuchar uno de sus trabajadores

Lo más interesante probablemente está en el apartado de "Información que recogemos cuando utilizas nuestros servicios". En su subapartado de "Tu actividad", Google afirma que puede recoger "Información sobre voz y audio cuando utilizas funciones de audio", pero no enlaza a una explicación más profunda.

En cuanto al Asistente de Google en concreto, en su web de ayuda, encontramos las "Opciones que se te puede pedir que actives". Entre ellas, está "Actividad de Voz y Audio", que, según Google, "graba tu voz y audio en los servicios de Google para mejorar el reconocimiento de voz". Si hacemos click sobre dicho enlace, llegamos a los "Controles de la actividad de la cuenta", donde podemos elegir si activar o pausar "Actividad de Voz y Audio".

Si lo tenemos desactivado, como es nuestro caso, y elegimos activarlo, Google nos muestra el siguiente mensaje:

"Si activas el ajuste Actividad de Voz y Audio, se grabará la voz y otro contenido de audio de los servicios de Google y otros sitios web, aplicaciones y dispositivos que usan los servicios de voz de Google o que se conectan a ellos. Solo se realizan grabaciones cuando utilizas comandos de activación de audio, como cuando tocas el icono del micrófono o dices "Ok Google", y se incluyen unos segundos previos al comando para captar la solicitud en el momento adecuado."

"Con esta información, Google puede ofrecerte experiencias más personalizadas en todos sus servicios, como un mejor sistema de reconocimiento de voz y de audio, tanto dentro como fuera de Google."

Home Mini

Vemos que aquí la compañía reconoce abiertamente que realiza grabaciones y que se graba la voz para mejorar la experiencia, aunque no especifica que un "0,2% de las peticiones" pueden ser escuchadas por personas, como han explicado a raíz de la polémica.

Pero, ¿qué pasa si elegimos no activar estas opciones de audio? La experiencia, según Google, será limitada y menos personalizada en el Asistente. No podrás, por ejemplo, llamar a tus contactos, ni pedirle cosas como "ir a casa" o "ir al trabajo", ni usar la voz para enviar música a un altavoz o televisor, ni poner un recordatorio, ni añadir un evento a tu calendario.

Otro apartado interesante para conocer qué hace Google con los datos que recoge en Google Home es esta web de Ayuda de Google Nest. Aunque Nest no es el servicio que estamos tratando, en dicha web se menciona información general sobre privacidad y seguridad de los datos en Google y sobre tratamiento de voz en cuanto a "Altavoces y Pantallas".

En el subapartado de "Privacidad", además de explicar de nuevo cómo funciona el sistema de grabaciones, Google responde a la pregunta "¿Quién puede escuchar mi historial de conversaciones, de búsquedas o de ubicaciones?", pero la respuesta no tiene nada que ver con los expertos lingüistas que analizan, sino que alude a usuarios de nuestra casa que pueden pedir información sobre el historial de conversaciones a los altavoces.

Otro detalle que Google mencionó en sus explicaciones sobre las grabaciones hace poco era el hecho del anonimato de las grabaciones y su disociación de los datos del usuario, pero al menos en estas webs no hemos encontrado una mención concreta.

Aunque los archivos de grabaciones que reciben las compañías no lleven identificadores personales, el audio es tan sensible que puede contener todo tipo de datos críticos

Como curiosidad, en el subapartado "Servicios", que hace mención a servicios que se pueden utilizar con Google Home, a la pregunta "¿El proveedor de servicios externo recibe una grabación de mis conversaciones?", se responde que "Normalmente, no", añadiendo que "Google transcribe lo que dices y envía el texto, pero no el audio, al proveedor de servicios externo.". El "normalmente", en lugar de algo más tajante, no parece demasiado tranquilizador, sobre todo si no se explica en qué casos la respuesta a la pregunta es afirmativa.

Encontrar toda esta información es un proceso separado en más partes y más complejo que el similar con Amazon, y no se encuentra tanta información concreta y relacionada con la privacidad del Asistente de Google como se encuentra con Alexa. Paradójico, pues hablamos de Google, que de indexación de contenidos y búsquedas tiene cierta experiencia. La parte buena es que el aviso que nos hace el sistema al intentar activar "Actividad de Voz y Audio" es bastante completa y avisa de que se nos va a grabar, aunque, por desgracia, no se esclarezca que en el proceso de revisión de audios intervienen personas y no sólo sistemas automatizados de software.

Siri y el HomePod

Homepod Apple

Apple tiene una apuesta pública muy decidida por la privacidad, aspecto sobre el que sus ejecutivos suelen dejar titulares. Por ello, es de esperar que todo lo que tiene que ver con el tratamiento de datos alrededor de Siri y el HomePod a nivel de voz esté perfectamente explicado, y de forma accesible. Veamos si es así.

En su web de Política de Privacidad, en el subapartado de "Recopilación y uso de los datos de carácter no personal", Apple menciona que "Podemos recopilar y almacenar detalles sobre cómo usas los servicios, incluidas las consultas de búsqueda. Esta información se puede utilizar para mejorar la relevancia de los resultados que proporcionan nuestros servicios. Salvo en casos limitados en que debamos asegurar la calidad de nuestros servicios en Internet, estos datos no se asociarán con tu dirección IP".

Como vemos, nada específico en el terreno que venimos buscando, aunque como principio Apple afirma claramente "Disociar al usuario de sus datos", lo que desarrolla así: "Cuando se usan datos para crear mejores experiencias, se hace de modo que no comprometa la privacidad. [...] Apple ofrece experiencias personalizadas sin vincular la información personal a un perfil que la propia compañía u otros puedan asociar con el usuario".

En el subapartado de Siri de la web "Así protegemos tu privacidad, se explica lo siguiente "Cuando enviamos información a un servidor, protegemos tu privacidad usando identificadores anónimos y aleatorios, de forma que tus búsquedas y tu ubicación no se puedan relacionar contigo". En el iPhone, entre la la información que ofrece iOS sobre Siri, encontramos: "Cuando uses Siri y Dictado, lo que digas y dictes se grabará y se enviará a Apple para poder procesar tus peticiones". En el caso de Siri, como en el del Asistente de Google o Alexa, solo se envían a Apple las conversaciones que hayan invocado al asistente, no todo lo que hacemos cerca de un HomePod o de nuestro smartphone.

En el mismo apartado, también encontramos este interesante párrafo:

"Si desactivas tanto Siri como Dictado, Apple eliminará tus datos de usuario y tus datos de voz recientes, pero puede que conserve durante un tiempo los datos de voz antiguos sin asociarlos contigo para mejorar de forma general Siri, Dictado y la función de dictado incluida en otros servicios y productos de Apple. Los datos de voz pueden incluir archivos de audio y transcripciones de lo que has dicho, datos de diagnóstico relacionados, como especificaciones de hardware y del sistema operativo, y estadísticas de rendimiento, así como la ubicación aproximada de tu dispositivo en el momento en el que se realizó la petición."

Homepod

En el documento de seguridad de iOS 12.3, con fecha de mayo de 2019, se explica algo que se conoce desde 2013, que es el tiempo que Siri almacena los datos:

"Las grabaciones de la voz de los usuarios se guardan durante un período de seis meses, de manera que el sistema de reconocimiento puede utilizarlas más tarde para entender mejor la voz del usuario. Después de los seis meses, se guarda durante dos años otra copia sin identificador, para uso de Apple en procesos de mejora continua y desarrollo de Siri. Una pequeña cantidad de grabaciones, transcripciones y datos asociados sin identificadores podrían ser utilizados por Apple para mejoras constantes y aseguramiento de la calidad de Siri más allá de dos años."

Se agradece esta información más detallada, y como podemos ver, la compañía pone mucho énfasis en hablar de que esta información va sin identificadores personales, pero tampoco menciona que la revisión de esas grabaciones la pueden hacer personas. Añadir ese dato supondría apenas unas líneas más de texto, al igual que en el caso de Google o Amazon, y sería una muestra de transparencia para que los usuarios puedan conocer todo esto fácilmente.

La documentación de Apple es más específica, pero no hemos encontrado en ella datos de su proceso de evaluación de audios

Como a nuestros compañeros de Applesfera, Apple nos ha respondido a la información que hemos solicitado, explicando que este sistema por el que ciertas personas escuchan se llama grading o evaluación, y es llevado a cabo por unos graders o evaluadores. Con este sistema, que implica clasificar la calidad de las respuestas de Siri e indicar las acciones correctas, se ponen etiquetas a los datos para que estos puedan ser reconocibles por soluciones de aprendizaje automático.

En este sentido, hay un salto, y Apple aquí sí expresa mejor para qué realizan estas prácticas con grabaciones de los usuarios. Lo problemático vuelve a ser que esta información sobre el grading no puede ser encontrada por los usuarios en documentos como los que hemos repasado de privacidad.

Ante las sospechas que a veces recaen sobre estos asistentes y sus altavoces, se agradecería incluso un aviso al iniciar la app o dispositivo en cuestión, indicando que, aunque sin relacionarse a ti, hay una ínfima posibilidad de que empleados de Apple puedan escuchar tu audio en el futuro, por motivos de calidad del servicio.

¿Qué dice la ley de estas prácticas?

Rgpd

Como hemos reflejado durante el artículo, a lo largo de todos los documentos que las compañías ponen a disposición de los usuarios en Internet hemos encontrado menciones a que nuestras conversaciones pueden ser grabadas. Sin embargo, tanto en lo que respecta a Amazon, como a Google, como a Apple, ninguna es totalmente transparente con lo que hacen con nuestras grabaciones (recordemos: ninguna reconoce que puede haber trabajadores escuchando nuestras interacciones con los asistentes).

Para entender cómo encajan las políticas que hemos repasado con el cuerpo legislativo de protección de datos, hemos querido hablar con tres abogados especializados en la materia: Borja Adsuara, (@Adsuara), profesor, abogado y consultor experto en derecho y estrategia digital, Samuel Parra, (@Samuel_Parra), abogado especialista en protección de datos, ciberseguridad y derecho tecnológico y socio en la firma de abogados 451.legal, y Abel Loeches, (@AbelLomar), abogado especializado en protección de datos de AKELA (@Akela_Asesores).

Al ser preguntados por la legalidad de estas prácticas, teniendo en cuenta tal y como vienen recogidas en los distintos documentos legales de las compañías, los tres han coincidido bastante en su interpretación de los casos.

Los abogados que han hablado para Xataka nos cuentan que las prácticas de las compañías son muy mejorables en el marco del RGPD

Borja Adsuara sostiene que, "según el Reglamento General de Protección de Datos, deben informar de todos los tratamientos se van a dar a los datos captados, incluida la seudonimización y la escucha por humanos, aparte del análisis por máquinas con técnicas de Big Data".

Además, cree que la parte de la disociación se trata de "una verdad a medias, porque disocian para analizar los datos, pero, si hacen dicho análisis porque quieren prestarte un mejor servicio, en algún momento deben volver a asociar los resultados a tu cuenta. Es como disociar datos de salud para una investigación de una enfermedad y luego no poder aplicar los resultados a los enfermos que cedieron sus datos. Sería un poco absurdo". Y lanza una interesante reflexión nominalista: "¿Por qué los llaman 'altavoces', cuando son 'micrófonos'?".

Google Home Privacidad

Samuel Parra también recurre a la nueva biblia de la protección de datos para enmarcar este asunto:

El RGPD establece un principio que es el de transparencia, que exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo; se debe indicar con claridad la finalidad del tratamiento de la información así como qué información en concreto se está tratando.

En el caso de las escuchas de los audios, primero una referencia genérica a "para mejorar el servicio" es muy vaga y ambigua, ¿cómo mejoran el servicio? ¿qué servicio? ¿el servicio de quién? Bajo este principio de transparencia estas empresas estarían obligadas a indicar expresamente qué se va a hacer con esos audios, si los va a escuchar una persona o una máquina, para qué concretas finalidades, etc. Y ojo, porque en función de las finalidades de ese tratamiento, es posible que se requiera incluso el consentimiento del usuario. Además, no debemos olvidar que aunque unos términos y condiciones digan que se va a hacer algo no significa que ese algo sea legal o tengamos que aceptarlo sí o sí para poder utilizar el servicio en cuestión.

Ante la omisión que hemos detectado de algunos detalles como que las personas escuchen estas grabaciones, Abel Loeches también nos insta a acudir al apartado de transparencia del RGPD, que se encuentra en su artículo 12, de "Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado":

  1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

Así pues, parece que el tratamiento transparente no se cumple en ninguno de los términos y condiciones de las tres compañías. Sobre todo, cuando nos hemos tenido que enterar de las escuchas de personas en comunicaciones de prensa, y no mediante sus documentos legales.

Por otra parte, la parte del fácil acceso, aunque los términos y condiciones no son imposibles de localizar, tampoco parece que se cumpla, porque no hay un solo sitio donde se contengan todas las condiciones concretas e importantes de los servicios, de forma que se responda a nuestras preguntas. No ponemos en duda que las compañías están haciendo esfuerzos en este sentido, pero, desde luego, la experiencia actual es mejorable.

Abel Loeches también nos cuenta que para cumplir con el artículo 12 y 13, de "Información que deberá facilitarse cuando los datos personales se obtengan del interesado", la Agencia Española de Protección de Datos (AEPD) recomienda adoptar un modelo de información por capas o niveles, que no es una obligación pero sí se considera una buena práctica para mejorar en la comunicación al usuario de qué se hace con sus datos. Así, la recomendación es "presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos", y "remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo".

Los abogados echan de menos una aplicación a rajatabla del RGPD que clarifique las prácticas realizadas alrededor de nuestros datos. Una posibilidad es presentar documentos resumidos y más comprensibles por el usuario medio, y otros con mayor profundidad y detalle legal

En base a la novedades que estableció el RGPD y a las recomendaciones de la AEPD, se echa de menos un modelo de presentación de datos dividido en dos partes: una primera presentación más sencilla del tratamiento de los archivos de voz que permita conocer las prácticas generales de un vistazo, y luego otra más detallada donde se especifiquen claramente datos como la permanencia de las grabaciones en los servidores, qué pueden hacer con estos datos, por qué los escuchan personas además de máquinas, etc. Esto no solo ayudará a que los usuarios conozcan mejor qué pasa con sus datos, sino a evitar miedos y aparición de teorías sin fundamento.

Es necesario plantear una reflexión interna que acerque a las compañías no a tratar los datos de sus usuarios forma más delicada o privada, pues ese es otro debate, sino de base, a comunicar mejor la forma en la que operan, cómo lo hacen (de forma mucho más detallada) y sus motivos.

Además, la voz es algo tan crucial de cara a ser identificados o revelar una información determinada que Abel Loeches afirma que "al estar en una grabación, la información es muy difícil de anonimizar, y se puede trazar (para esto, el RGPD contempla el término seudonimar). Es casi imposible hablar de anonimización en estos casos, porque aunque los archivos no se asocien con un terminal o un cliente, en los audios puede aparecer cualquier dato, como tu nombre, datos de salud, etc."

También te recomendamos

Amazon admite que conserva algunos datos de Alexa de forma indefinida, incluso si el usuario elimina la grabación de voz

"Entendemos que la privacidad es fundamental y no ignoramos estas llamadas de atención", Pedro García (Country Manager de Amazon Alexa en España)

Lenovo Smart Display llega a España: precio y disponibilidad de esta "pantalla inteligente" de hasta 10 pulgadas

-
La noticia Ni Amazon, ni Apple, ni Google especifican en sus términos que haya humanos escuchando lo que decimos a nuestros asistentes: el gran dilema de la transparencia fue publicada originalmente en Xataka por Antonio Sabán .



Gracias a Antonio Sabán

No hay comentarios.:

Publicar un comentario