Enquanto no Brasil a Autoridade Nacional de Proteção de Dados (ANPD) esforça-se para cumprir o seu cronograma de regulamentações da LeiGeral de Proteção de Dados (LGPD) para o biênio 2021 e 2022, a Europa dá passoslargos na regulamentação e na orientação de diversos aspectos da ResoluçãoEuropeia de Proteção de Dados (GDPR),conforme será possível evidenciar nesse artigo.

O European Data Protection Board (EDPB) – Conselho Europeu de Proteção de Dados, órgão independente comsede em Bruxelas, Bélgica, que contribui para a aplicação consistente dasregras de proteção de dados em toda a União Europeia e promove a cooperaçãoentre as autoridades de proteção de dados dos países daquela comunidade,  – editou um guia para a interpretação da GDPR, noque diz respeito à interatividade das assistentes de voz virtuais, também chamadas de VVAs, tais como Cortana, Alexa, Siri, Bixby etc.

Com o avanço da tecnologia, as VVAs têmse popularizado tremendamente, atraindo inclusive a atenção de Hollywood, quejá lançou ao menos dois filmes sobre o assunto: “Her”, estrelado por JoaquinPhoenix, e “Jexi”, estrelado por Adam DeVine. Ambos são imperdíveis.

Voltando ao guia, existe uma preocupaçãocada vez maior das autoridades de que as VVAs tenham cada vez mais acesso ainformações de natureza íntima de seus usuários – e que, se mal geridas,poderiam causar danos e violar direitos à proteção de dados e à privacidade.

Segundo definição técnica, uma VVApermite realizar diferentes tarefas, tais como captura e reprodução de som, transcriçãoautomática de fala para texto, processamento de linguagem automática, acapacidade de diálogo, o acesso a ontologias (conjuntos de dados e conceitosestruturados e relacionados a um determinado domínio) e fontes externas deconhecimento, a geração de linguagem, síntese de voz (texto para fala)etc. VVAs podem ser atualmente implantadas em diversos equipamentos comocelulares, carros, computadores, TVs, relógios etc.

Elas são formadas por três componentesprincipais:

1. O componente físico – o elemento de hardware no  qual a assistente está incorporada (smartphone,
 alto-falante, smart TV etc.) e que transporta microfones, alto-falantes e  rede e computação
 (mais ou menos desenvolvidas dependendo do caso).

2. O componente de software – a parte que implementa  a interação homem-máquina estritamente falando, e que integra os módulos de  reconhecimento automático de fala, linguagem natural, processamento, diálogo  e síntese de fala. Isso pode ser operado diretamente dentro do  componente físico, embora, em muitos casos, seja realizado remotamente.

3. Os recursos – dados externos, como bancos de dados  de conteúdo, ontologias ou aplicativos de negócios que fornecem conhecimento  (por exemplo, “diga que horas são no Reino Unido”, “leia meus e-mails” etc.)  ou permitem que a ação solicitada seja realizada de forma concreta (por  exemplo, “aumente a temperatura em 2°C”).

Uma VVA pode envolver diferentes atoresno curso de sua execução, conforme a descrição abaixo:

1. O provedor da VVA (ou designer) –  responsável por seu projeto, funcionalidades, ativação, arquitetura, acesso a  dados, gerenciamento de registros, especificações de hardware etc.

2. O desenvolvedor de aplicativos –  cria aplicativos para desenvolver as funcionalidades da VVA, respeitando as  limitações impostas pelo provedor.

3. O integrador –  fabricante dos equipamentos que serão conectados por uma VVA.

4. O proprietário –  responsável pelos espaços físicos que recebem pessoas (locais de hospedagem, ambientes  profissionais, aluguel de veículos etc.) e que deseja fornecer uma VVA para seu  público (possivelmente com aplicativos dedicados).

5. O usuário –  aquele que pode usar a VVA em vários dispositivos: alto-falante, TV,  smartphone, relógio etc.

De acordo com o guia, ficou sedimentadaa aplicabilidade do item 3 do Artigo 5º da Diretriz E-Privacy para todos os atores acima descritos que desejem armazenar ou acessar informaçõesarmazenadas no equipamento terminal de um assinante ou usuário na UniãoEuropeia. O dispositivo determina que:

” 3. Os Estados-Membros velarão para quea utilização de redes de comunicações eletrônicas para a armazenagem deinformações ou para obter acesso à informação armazenada no equipamentoterminal de um assinante ou usuário só seja permitida na condição de seremfornecidas ao assinante ou ao usuário em causa informações claras e completas,nomeadamente sobre os objetivos do processamento, em conformidade com aDiretriz 95/46/CE, e de lhe ter sido dado, pelo controlador dos dados, odireito de recusar esse processamento. Tal não impedirá qualquer armazenamentotécnico ou acesso que tenham como finalidade exclusiva efetuar ou facilitar atransmissão de uma comunicação através de uma rede de comunicações eletrônicas,ou que sejam estritamente necessários para fornecer um serviço no âmbito dasociedade de informação que tenha sido explicitamente solicitado pelo assinanteou pelo usuário.”

Além disso, o guia deixou claro que otratamento dos dados deve estar amparado por uma das seis bases legaisprevistas no Art. 6 da GPDR: (i) consentimento do titular, (ii) execução decontrato do qual o titular seja parte, (iii) obrigação legal, (iv) proteção dosinteresses vitais do titular ou de outra pessoa, (v) interesse público ouautoridade investida no papel de controladora e (vi) legítimo interesse.

Logo, especialmente em razão do item 3do Art. 5º da Diretriz E-Privacy, o controlador terá que informar ao titulardos dados todas as finalidades do processamento; o que leva ao raciocíniológico de que, das seis bases legais acima descritas, o consentimento dotitular deve ser a base legal geralmente escolhida, já que o Art. 6 da GDPR nãopode ser invocado pelos controladores para reduzir a proteção adicionalprevista no item 3 do Art. 5º da Diretriz E-Privacy.

São previstas, todavia, duas exceções:(i) realizar ou facilitar a transmissão de uma comunicação em uma rede decomunicação eletrônica; e (ii) fornecer um serviço de uma sociedade deinformação explicitamente solicitado pelo assinante ou usuário.

A propósito, ativações acidentais porparte do usuário, como a VVA interpretar equivocadamente uma fala ou umcomando, não podem ser consideradas como um consentimento válido. Nesse caso,recomenda-se a exclusão dos dados pessoais coletados acidentalmente, se houver.

Importante também considerar ainterpretação do EDPB de que dados de voz são também considerados dadospessoais biométricos, que, para efeito da LGPD brasileira, seriam consideradosdados pessoais sensíveis.

Algumas recomendações são mencionadas noguia:

1. Quando os usuários são informados sobre o  tratamento de dados pessoais pela VVA, referindo-se a uma política de  privacidade para a conta de usuário, e a conta está vinculada a outros  serviços independentes (por exemplo, e-mail ou compras), o EDPB recomenda que  a política de privacidade tenha uma seção claramente separada sobre o  tratamento de dados pessoais pela VVA.

2. As informações fornecidas ao usuário devem  corresponder à coleta e ao tratamento exatos que são realizados. Enquanto  algumas metainformações estão contidas em uma amostra de voz (por exemplo,  nível de estresse do usuário), não fica claro se tal análise é  realizada. É fundamental que os controladores sejam transparentes sobre  os aspectos específicos dos dados brutos que tratam.

3. Deve estar sempre claro em qual estado a VVA está,  ou seja, os usuários devem poder
 determinar se uma VVA está atualmente escutando o ambiente e, especialmente,  se está transmitindo informações para seu provedor. Esta informação  também deve ser acessível para pessoas com deficiência, como daltonismo,  surdez etc.

4. Uma consideração particular deve ser aplicada se  os dispositivos permitirem adicionar funcionalidades de terceiros  (“aplicativos” para VVAs), já que o usuário pode não estar suficientemente  informado sobre como e por quem seus dados são tratados.

5. Os usuários devem ser informados da finalidade do  tratamento dos dados pessoais e essa finalidade deve estar de acordo com suas  expectativas em relação ao dispositivo que compram. No caso de um VVA,  essa finalidade, do ponto de vista de um usuário, claramente é o tratamento  de sua voz com o único propósito de interpretar sua consulta e fornecer  respostas significativas (sejam respostas a uma consulta ou sejam outras  reações, como o controle remoto de um interruptor de luz, por exemplo).

6. Quando o tratamento de dados pessoais for baseado  no consentimento, tal consentimento “deverá ser dado em relação a uma ou mais  finalidades específicas e o titular de dados deve ter a opção de aceitar ou  recusar cada uma delas”. Além disso, “um controlador que busca consentimento  para várias finalidades diferentes deve fornecer um opt-in separado  para cada finalidade, para permitir que os usuários deem consentimento  específico para cada finalidade”.

7. Do ponto de vista do usuário, o principal objetivo  do tratamento de seus dados é consultar e receber respostas e/ou acionar  ações como tocar música ou acender e apagar luzes. Após uma consulta ser  respondida ou um comando executado, os dados pessoais devem ser excluídos, a  menos que o designer ou desenvolvedor da VVA tenha uma base legal válida para  retê-los para uma finalidade específica.

8. Antes de considerar a anonimização como meio para  cumprir o princípio de limitação de armazenamento de dados, provedores e  desenvolvedores da VVA devem verificar se o processo de anonimização  renderiza a voz, tornando-a não identificável.

9. Os padrões de configuração devem refletir esses  requisitos por padrão para um valor absoluto mínimo de informações do usuário  armazenadas. Se essas opções forem apresentadas como parte de um assistente  de configuração, a configuração padrão deve refletir isso e todas as opções  devem ser apresentadas como possibilidades iguais sem discriminação visual.

10. Quando durante o processo de revisão o provedor  ou desenvolvedor da VVA detectar uma gravação originada em uma ativação  equivocada, a gravação e todos os dados associados devem ser imediatamente  excluídos e não utilizados para finalidade alguma.

11. Os designers da VVA e desenvolvedores de  aplicativos devem fornecer segurança de última geração nos procedimentos de  autenticação aos usuários.

12. Os revisores humanos devem sempre receber os  dados estritamente necessários com pseudônimos.  Os contratos que regem  a revisão devem proibir expressamente qualquer tratamento que possa levar à  identificação do titular dos dados.

13. Se chamada de emergência for fornecida como um  serviço através da VVA, um tempo de atividade estável deve ser garantido.

14. Os modelos de voz devem ser gerados, armazenados  e combinados exclusivamente no dispositivo local, não em servidores remotos.

15. Devido à sensibilidade das impressões de voz,  padrões como ISO/IEC 24745 e técnicas de proteção do modelo biométrico devem  ser aplicados de forma completa.

16. Os projetistas da VVA devem considerar  tecnologias que excluam o ruído de fundo para evitar a gravação e  processamento de vozes de fundo e informações situacionais.

17. Se as mensagens de voz forem usadas para informar  os usuários, os controladores de dados devem publicar essas mensagens em seu  site para que sejam acessíveis aos usuários e às autoridades de proteção de  dados.

  As crianças também podeminteragir com as VVAs ou criar seus próprios perfis conectados aos dosadultos.Algumas VVAs estão embutidas em dispositivos especificamentevoltados para crianças. Quando a base legal para o processamento for oconsentimento, de acordo com o artigo 8.º, n.º 1, da GDPR, o tratamento dedados de crianças só será lícito quando ela tiver pelo menos 16 anos deidade.Se for menor de 16 anos, tal tratamento somente será lícito se dadoou autorizado pelo titular da responsabilidade parental sobre a criança. Se,todavia, a base legal para o tratamento for a execução de um contrato, ascondições do tratamento de dados de crianças dependerão das leis contratuaisnacionais.