Recientemente empresas tecnológicas han anunciado que bastan 30 segundos de conversación de alguien para clonar su voz y transmitir cualquier mensaje con la voz clonada.
¿Qué pasaría si alguien dice que hemos enviado un mensaje de voz aceptando un contrato de prestación de servicios vía teléfono? ¿Qué pasaría si pedimos el audio y resulta que suena como si fuéramos nosotros mismos?
Sin duda, todas estas situaciones son perfectamente factibles con la tecnología actual. Existen empresas en el mercado que ya publicitan dicha capacidad (p.e. Aflorithmics Labs o Vicomtech), la tecnología actualmente permite que con sólo treinta segundos de conversación nos puedan clonar la voz. El sistema no es sencillo, se aplica Inteligencia Artificial mediante un mastering automatizado en la nube, en un breve instante de tiempo ya tenemos la aplicación parametrizada para clonar la voz de sujeto inicial.
En resumen, una voz clonada, es una voz exactamente igual a nuestra, con nuestro tono, timbre, acento, ritmo, y quien tenga el control de dicha voz clonada tendrá la capacidad de emitir mensajes y comunicaciones exactamente igual que nosotros, pero sin nuestra participación. Recientemente un anuncio en televisión de una conocida marca de cervezas reproducía no sólo la voz sino también la imagen de una famosa artista folclórica fallecida hace décadas.
Es evidente que el uso de nuestra voz clonada puede tener múltiples aplicaciones, unas legítimas, otras de dudosa legalidad y en determinadas ocasiones manifiestamente ilegítimas.
Conviene destacar que estos avances tecnológicos sobre la clonación de la voz coinciden en el tiempo, (y no es por casualidad), con la evolución de la voz como interface digital, la voz ha tomado carta de naturaleza en cuanto a sistema de seguridad e interface de comunicación con los dispositivos electrónicos, aplicaciones como Siri u Ok Google, ya permiten gestionar nuestro hogar domótico o cualquier otra actividad digital simplemente con comandos de voz.
Pero esta facilidad de gestión mediante la voz también puede comportar riesgos importantes en el caso de clonación ilegítima o ilegal ya que cualquiera podrá enviar mensajes o hacerse pasar por nosotros sin limitaciones, ante estos riesgos ¿Cuáles serían las vías de protección legal?
En principio, y vaya por delante, que en materia de privacidad la voz es un dato personal incuestionable,( RGPD art. 4.1) ya que nos identifica de forma singular y diferenciador.
La forma de protección más contundente ante los ilícitos más graves, es el ámbito del Derecho penal. Es evidente que la suplantación de personalidad mediante la clonación de voz puede ser un ilícito de los contemplados en el artículo 401 del Código Penal. También la clonación de la voz puede ser. Un elemento idóneo para realizar engaño bastante en el delito de estafa. La famosa estafa del CEO, puede adquirir unas derivadas muy peligrosas en el caso de la voz sea efectivamente la de nuestro Jefe y nos pida realizar una transferencia a una cuenta bancaria desconocida (si ya es un tipo de estafa habitual mediante correo, ahora añadiendo la voz clonada, ya toma un cariz francamente peligroso). También podría ser un delito la utilización de la voz clonada de un locutor para acciones comerciales o de explotación publicitaria sin autorización (art. 270 y ss. CP), por ejemplo haciendo un anuncio comercial con la voz exacta de un locutor famoso, pero sin su participación o autorización.
En el aspecto civil, podríamos suponer la realización de actividades de especial proyección mediática, imaginemos un personaje público que realiza unas declaraciones incendiarias contra otra persona del mundo del espectáculo…nos podemos imaginar el impacto que pueden tener en las redes sociales, y como consecuencia en la imagen pública de la persona que ha realizado dichas declaraciones. Pero…esa persona no ha sido culpable de nada, muy al contrario ha sido víctima de una suplantación que ha menguado su imagen y su honor. A parte de las acciones penales que pudieran interponerse, también cabrían las acciones civiles contempladas en la Ley 1/82, de protección civil del derecho al honor la imagen y la intimidad. Dicha norma permite la interposición de las correspondientes reclamaciones legales incluyendo en la misma los daños y perjuicios causados, incluido el daño emergente y el lucro cesante que puede darse por la rescisión de contratos publicitarios y similares.
Finalmente, tendríamos la protección administrativa, en concreto al tratarse la voz de un dato personal, su captación, procesamiento y utilización posterior estará sujeta a lo establecido en el Reglamento Europeo de Protección de Datos y por la Ley orgánica de Protección de Datos y Garantías de Derechos Digitales, junto a su legislación complementario y/o concordante.
En este punto hay que destacar, como ya hemos comentado, que si bien en las acciones penales pueden tener consecuencias de duras penas de cárcel o en el caso civil podemos tener situaciones de indemnizaciones económicas importantes, todo ello queda ensombrecido con la capacidad sancionadora que otorga el RGPD a las autoridades de control competentes, en España, al AEPD..
Las sanciones en materia de protección de datos pueden en los casos más graves llegar a 20 millones de euros o el 4% de la facturación mundial del infractor. En estas circunstancias nos podemos encontrar que una infracción muy grave en materia de protección de datos como pudiera ser la falta de consentimiento en el tratamiento de clonación, donde se haya sacado un beneficio económico pueda comportar sanciones millonarias.
En todo caso, parece evidente que la voz como elemento de comunicación va a comportar numerosas dudas sobre autoría y no manipulación. Si estamos hablando de clonación, esteremos delante de una copia exacta de nuestra voz, por tanto sólo se podrá distinguir las posibles manipulaciones por peritos informáticos muy cualificados , aquí recomendamos visitar la web de la Asociación Profesional de Peritos Informático (ASPEI), www.aspei.es
Os iremos informando de esta y otras novedades.
LA ENTRADA EN VIGOR DEL REAL DECRETO 159/2021, DE 16 DE MARZO, POR EL QUE SE REGULAN LOS SERVICIOS DE AUXILIO EN LAS VÍAS PÚBLICAS, EL PRÓXIMO 1 DE JULIO, CONSOLIDA LA TENDENCIA DE LA MOVILIDAD CONECTADA QUE FOMENTA LA DGT DESDE SU PROPUESTA DE PLATAFORMA DE MOVILIDAD INTELIGENTE , DGT 3.0
Recientemente ha vuelto a salir en prensa (La Vanguardia, 26/05/2021) que la Dirección General de Tráfico tiene muy avanzada una aplicación informática que interconectará a los conductores entre sí, con la vía y les notificará en tiempo real las diferentes incidencias y novedades que puedan tener en la ruta.
El objetivo no puede ser más interesante: accidentes cero, heridos cero y fallecidos cero para el famoso año 2050.
Para el desarrollo de esta aplicación se han destinado recursos económicos importantes, que ascienden a más de tres millones de euros y se han implicado prestigiosas empresas e instituciones en su desarrollo. También se han tenido presentes los diferentes operadores que tengan datos o conocimientos para aportar en la mejora de la movilidad, como son los fabricantes de vehículos, centros de coordinación de emergencias o de control de tráfico rodado.
A nadie se le escapa que la potencia y el alcance de esta aplicación va en paralelo a la evolución de las nuevas tecnologías como son el 4G y el 5G, y sobre todo el llamado Internet de las Cosas (IoT), donde millones de dispositivos se conectan en tiempo real, interactuando de forma automatizada. Las previsiones son que una vez este implantado el 5G la plataforma DGT 3.0 entre en pleno funcionamiento.
Sin duda el saber la situación de la vía, si hay un accidente, un tramo de obras o esta cortada por una inclemencia meteorológica es una valiosa información, que a buen seguro será apreciada por los conductores y aportará mejoras en la seguridad y la reducción de la contaminación, optimizando trayectos y reduciendo caravanas e incidentes.
Con la entrada en vigor del RD 159/2021, de 16 de mayo, por el cual se reforma el Reglamento General de Vehículos, se da un paso más en esa dirección, dicha norma, modifica el Reglamento General de Vehículos y regula la conexión a la nube de la DGT, no sólo de los vehículos con incidencia en la vía ( señales luminosas e interconexión bajo protocolo V.16), sino de los servicios de asistencia en ruta, creando un registro de homologación de los operadores de dichos servicios, de obligada inscripción en el Registro Estatal de Auxilio en Vías Públicas (REAV), así como a la señalización en tiempo real de las actividades de asistencia , geoposicionando los servicios en tiempo real de la ubicación de los trabajos con el protocolo de comunicaciones asignado (V.2, V.23 y V.24).
De todas estas novedades en materia de movilidad y seguridad vía echamos a faltar un elemento importante, el estudio de la evaluación del impacto en materia de privacidad.
En efecto, la realidad es que detrás de cada vehículo, u operador de movilidad hay personas físicas, identificadas o identificables (titulares, conductores, peatones afectados, personal técnico de asistencia en ruta, etc.), haciendo poco o nada creíble que esos datos masivos utilizados se traten exclusivamente de forma anónima sin posibilidad de reversión por ninguno de los operadores afectados.
La interconexión de todos los elementos de movilidad urbana en interurbana mediante el 5G e IoT, junto a la IA, hace que el cerco sobre la esfera de la intimidad sea cada vez más estrecho, y más si lo asociamos al uso masivo de nuestros inseparables smartphone.
El cruce de datos entre todos los dispositivos interconectados en tiempo real puede abrir la puerta no sólo a las conductas de asistencia en carretera o ayuda ante incidentes, sino a la supervisión de fiel y estricto cumplimiento de las normas de circulación, ya que será nuestro propio vehículo el que vaya indicando a la Autoridad de Control las situaciones que pudieran constituir infracción administrativa e incluso penal.
Y de todo ello, no parece que nadie vaya a informar adecuadamente según el RGPD y la LOPDGDD a los usuarios e incluso a los terceros afectados, como pudieran ser pasajeros o viandantes.
Por tanto, entendemos que dichas nuevas plataformas de gestión de la movilidad, ya sea urbana o interurbana, compartidas o no , necesitan un análisis profundo desde el punto de vista de la afectación o los riesgos que pueda tener en materia de privacidad desde el punto de vista del RGPD Y.
No basta con enunciar que serán datos anónimos, el principio de Responsabilidad Activa del artículo 5.2 del RGPD nos exige poder acreditar en todo momento los hechos, por tanto, se hace imprescindible que en todo proyecto donde pueda haber uso masivo de datos que pudieran ser vinculados a personas se haga la correspondiente evaluación del riesgo y los oportunos Planes de Evaluación de Impacto, y todo ello, por supuesto, antes de la puesta en explotación, como nos indica el principio de privacidad desde el diseño del artículo 25 del RGPD.
No perdemos la esperanza de que en breve se publicaran los informes correspondientes por parte del Delegado de Protección de Datos de la Dirección General de Tráfico respecto a la plataforma DGT 3.0.
Imagen de Hans Braxmeier en Pixabay
En la recientemente publicada memoria del 2020 de la agencia española de protección de datos, se constata la tendencia del TS de confirmar de forma abrumadora las resoluciones sancionadoras de la AEPD.
En un sistema jurídico con garantías, como es el español, las resoluciones administrativas sancionadoras pueden ser revisadas por los jueces según establecen las leyes procesales oportunas.
En el caso de las resoluciones sancionadoras interpuestas por la Agencia Española de Protección de Datos, el órgano juzgador competente en primera instancia es la Audiencia Nacional y en segunda instancia seria el Tribunal Supremo.
Históricamente , al ser la AEPD un operador jurídico con garantías y amplia experiencia procesal, las resoluciones sancionadoras que eran recurridas por los afectados eran en primera instancia mayoritariamente desestimadas total o parcialmente y en algunos casos inadmitidas, siendo las pocas estimadas a favor del recurrente normalmente por cuestiones procesales más que de fondo del asunto (p.e. prescripciones, caducidad, errores materiales, etc) o por cambios legislativos favorables.
Es evidente que una vez pasada la primera instancia procesal , (la Audiencia Nacional), cuando el asunto llega a la segunda instancia, (el Tribunal Supremo), ya ha sido juzgado por un órgano judicial colegiado y cualificado, siendo poco probable que no se hayan tenido en cuenta argumentos o situaciones con relevancia jurídica que puedan modificar el sentido de un fallo. En todo caso, como el error humano existe, la segunda instancia verifica si se ajusta el fallo recurrido a la Ley, como muestra de lo anterior cave destacar que en este año 2020, ha habido una sentencia estimada por el TS , aunque también conviene destacar que han sido desestimadas otras 17...
En todo caso, es un hecho innegable, que las estadísticas históricas de los fallos judiciales actúan como elemento disuasorio a la hora de plantearse un recurso judicial contra la AEPD, haciéndolo sólo recomendable en los casos que verdaderamente exista un sustento jurídico claro y preciso.
En todo caso, en la solución de conflictos en materia de RGPD, si que nos gustaría destacar desde estas líneas la importancia que esta cobrando el sistema de “Traslado” de actuaciones que esta adoptando la AEPD, consistente en dar conocimiento al denunciado de la existencia de una denuncia contra su persona física o jurídica, indicándole la posibilidad de prestar alegaciones y aclarar los hechos antes de iniciarse las actuaciones inspectoras.
Entendemos que este procedimiento previo , el “Traslado” es una gran oportunidad para solventar posibles malos entendidos e incidencias y evitar ulteriores procedimientos sancionadores de resultado incierto y muy probablemente onerosos Desde ATGROUP os iremos informado de las novedades sobre este y otros temas que os puedan ser de interés en materia de RGPD.
Google está preparando el FLoC, una actualización de su famoso navegador Google Chrome en el cual no aceptarán ninguna cookie de terceros
Recientemente ha salido publicado en los medios de comunicación que Google está preparando un cambio importante en su famoso navegador CHROME que consistirá en dos elementos clave:
Primero Sólo admitirá las cookies propias de Google y no las de terceros.
Segundo Las cookies de Google utilizarán la tecnología FLoC que servirán para filtrar a los usuarios por cohortes o grupos de intereses comunes.
Sin duda, puede parecer un avance en la privacidad con respecto al actual sistema donde múltiples empresas desarrollan sus cookies (ficheros adjuntos aL navegador con funciones diversas) y generan sus propios perfiles de usuario en un sistema absolutamente descentralizado, justo al contrario del que nos propone Google, donde el futuro modelo estará totalmente controlado por el gigante de Internet sin opción a la participación de terceros en la segmentación de usuarios.
Es evidente que el actual sistema de cookies puede comportar situaciones no deseadas por el usuario y para evitar dichas situaciones la AEPD ,(entendemos nosotros que con muy buen criterio) ha exigido a todos los titulares de webs que el usuario pueda elegir qué cookies acepta o no antes de navegar en una web. De esta manera, es el usuario quien elige qué nivel de privacidad desea en la navegación dentro de una web.
Con el nuevo modelo que propone Google no tendrá sentido dicha configuración de cookies, ya que sólo serán aceptadas aquellas que el operador dominante haya desarrollado para sí mismo, y seguramente el usuario al entrar en una web sólo tendrá que atender a una pregunta binaria, es decir si acepto entrar en el sistema FLoC o no.
El Federated Learning of Cohorts (FLoC) de Google, consiste en identificar al usuario según sus gustos y actividad de navegación dentro de un grupo determinado o cohorte, asignando una ID diferenciada según intereses y perfiles. De esta manera no se tiene un individuo sino un grupo con intereses comunes con la segmentación publicitaria que pueda ser de interés en cada momento para anunciantes y agencias.
En este punto, vemos alguna luz y también alguna sombra, como elemento positivo e interesante en la mejora de la privacidad cabría destacar la no identificación del usuario final, es decir, el sistema FLoC no permite identificar uno por uno a los usuarios como ocurre ahora, sólo se permitiría saber a qué ID de cohorte pertenece, sin entrar en el anonimato absoluto, pero difuminado dentro de un grupo de interés similar. Sin duda, esta capa de ocultación, si está bien realizada puede ser una mejora respecto a la privacidad.
Como sombras, la verdad es que nos preocupa que sólo Google pueda hacer cookies de Chrome, operador dominante con más del 90% del mercado occidental, sin duda es un monopolio que va más allá de fronteras y estados, si bien es cierto que la atomización del mercado hacía más dificultoso su control y supervisión, no es menos cierto que la capacidad de coerción de las Autoridades de Control europeas es muy superior en estos operadores terceros que a la que pueden ejercer frente a los monstruos de Internet como es Google.
La segunda sombra, es la alternativa que nos da Google con su sistema FLoC a la identificación personal del usuario, el operador nos propone clasificar por grupos (cohortes en lenguaje Google) a los consumidores, de tal manera que cada usuario según su comportamiento estaría segmentado y clasificado según el patrón diseñado por Google.
Es evidente que estos patrones de conducta son de máximo interés para Google, y no precisamente por su ánimo altruista, sino para comercializar con ellos a anunciantes y publicistas con la máxima eficacia y sin competencia, ya que sólo Google tendrá acceso a dichos perfiles.
En resumen, que no es descabellado pensar que con la excusa de mejorar la privacidad de su navegador, Google de un solo movimiento elimina la posibilidad de que terceros extraigan información comercial de la navegación al no aceptar cookies de terceros y además impone el sistema monopolístico exclusivo de la segmentación de potenciales clientes mediante sus propias y únicas cookies admitidas del sistema FLoC…la verdad es que nos parece una práctica monopolística que puede perjudicar tanto a los usuarios como al resto de pequeños desarrolladores del mundo de la publicidad que verán como tienen que cambiar todos sus patrones e inversión económica, como siempre a favor del monopolio.
Es evidente que todas las autoridades de control europeas están muy al tanto de los derroteros que puede adoptar la cuestión, preocupa el seguimiento en el tiempo de usuarios, las evoluciones de consumo, la verdadera anonimización de las cohortes del sistema FLoC, el tratamiento de datos de especial protección, entre otros elementos.
En todo caso, a los usuarios nos da la sensación de la lucha de David contra Goliat, intentar controlar mediante procedimientos administrativos a los gigantes de Internet, no es una tarea fácil para ninguna autoridad de control europea ni puede tener un resultado óptimo si no hay otras medidas complementarias que fomenten la competencia y estimulen el cumplimiento normativo.
Para concluir, nos gustaría volver a plantear un deseo, ahora con más sentido que nunca, la Unión Europea, tiene que dar un paso al frente en su política de Digital, está claro que existe una política común de fronteras, financiera, de mercancías e incluso de Relaciones Exteriores, pero echamos a faltar el fomento de políticas de independencia digital similares a las que emprendió China en su día con BAIDO, ALIBABA, TACENT y XAOMI, e incluso Rusia con YANDEX, sin duda alternativas necesarias y ejemplos a seguir si pretendemos tener cierta independencia digital europea.
Veremos en unos meses por dónde evoluciona el FLoC, estaremos a la espera y os tendremos informados.
Un saludo.
EL MECANISMO PREVIO DE ADMISIÓN A TRÁMITE DE RECLAMACIONES ANTE LA AEPD QUE CONSISTE EN DAR TRASLADO AL DENUNCIADO.
La verdad es que el mecanismo previo que establece el artículo 65.4 de la LOPDGDD es una herramienta poco conocida por todos.
Se trata de un proceso por el cual la Autoridad de Control competente en materia de protección de datos, cuando recibe una denuncia de un afectado por una posible vulneración de la LOPDGDD, procede a dar traslado a la parte denunciada para que manifieste lo que crea oportuno en su descargo en base a los hechos expuestos en la denuncia.
Con la respuesta del denunciado la autoridad de control decidirá con mejor criterio si se abre otro procedimiento administrativo o por el contrario se procede al archivo de la denuncia.
Es importante destacar que históricamente el número de expedientes sancionadores abiertos en base a una denuncia es muy superior a los abiertos de oficio, y que en caso de infracción del RGPD la Autoridad de Control no puede eludir su responsabilidad y tendrá que actuar , independientemente de que el interés del denunciante sea honesto o no a la hora de presentar la denuncia.
En muchos casos el recibimiento de dicha comunicación de traslado de la denuncia por parte de la AEPD es la primera noticia que tiene el denunciado de que hay un problema en materia de protección de datos y que ha sido denunciado por alguien ante la Autoridad de Control competente.
En todo caso, desde ATGROUP nuestra recomendación pasa por aprovechar esa primera oportunidad de explicar , documentar y por que no decirlo ayudar a la Autoridad de Control en su tarea de esclarecimiento de los hechos, aportando las pruebas y evidencias necesarias para eliminar o minimizar la presunta vulneración denunciada.
Recordemos que el principio de responsabilidad proactiva (art. 5. RGPD) obliga al responsable de tratamiento al fiel cumplimiento del RGPD y la LOPDGDD y también a poder demostrar dicho cumplimiento en todo momento.
Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).
Os seguiremos informando.
Un saludo.
La Agencia Española de Protección de Datos (AEPD) ha impuesto a la empresa Vodafone España varias sanciones que suman más de ocho millones de euros por incumplir varios artículos de la legislación española, y se convierte así en la multa más alta que ha impuesto este organismo.
La empresa Vodafone España, según la AEPD, ha incumplido no solo la Ley de Protección de Datos Personales y Garantías de los Derechos Digitales, también la Ley General de Telecomunicaciones y la Ley de Servicios de la Sociedad de la Información y de comercio electrónico.
En la resolución, a la que ha tenido acceso EFE, se señala que desde el segundo trimestre del año 2018 la AEPD ha recibido casi doscientas reclamaciones contra la empresa.
La mayoría de las reclamaciones contra Vodafone España denuncian la realización de acciones de mercadotecnia y de prospección comercial a través de llamadas telefónicas y mediante el envío de comunicaciones comerciales electrónicas, tanto de correos como de mensajes SMS, acciones que según la Agencia vulneran la legalidad.
Esas comunicaciones no han sido solicitadas o expresamente autorizadas por las personas que las han recibido, que no han podido ejercer el derecho a oponerse; o se han dirigido a personas que habían pedido su inclusión en la "lista Robinson" (un directorio al que se adscriben quienes no quieren recibir publicidad); y no se adecuaban tampoco a los procedimientos y garantías establecidas para realizar esas acciones de mercadotecnia.
La Agencia Española de Protección de Datos impone a la empresa una sanción de 4 millones de euros por incumplir el artículo 28 del Reglamento General de Protección de Datos; y 2 millones por incumplir el artículo 44 del mismo reglamento. Impone además una sanción de 150.000 euros por incumplir el artículo 21 de la Ley de Servicios de la Sociedad de la Información y de comercio electrónico; y otros dos millones por incumplir la Ley General de Telecomunicaciones.
Y concede a la empresa Vodafone España un plazo de seis meses para acreditar ante la Agencia Española de Protección de Datos que ha ajustado a la legalidad todas las operaciones que han sido motivo de investigación y de sanción.
La empresa asegura que no está de acuerdo con los incumplimientos que les imputa la Agencia, considera que la cuantía de la sanción propuesta es desproporcionada y subraya que la compañía trata "con las máximas garantías de confidencialidad y privacidad los datos de sus clientes" y ha comunicado su intención de recurrir la sanción ante la propia Agencia y ha dejado abierta la posibilidad de llevar el caso a la Audiencia Nacional.
La AEPD ha abierto una investigación por posible brecha de seguridad en la Empresa Municipal de Transporte de Valencia
La Agencia Española de Protección de Datos ha estimado el recurso presentado el día 1 de junio por parte del concejal del PP Carlos Mundina. En dicho recurso también se investigará el incumplimiento del reglamento de protección de datos de la EMT.
Desde el partido político aseguran valorar muy positivamente la apertura de esta investigación de la brecha de seguridad en la EMT para evitar estafas como la ocurrida hace un mes y que supuso el robo de 4 millones de euros. Los ‘populares’ advierten en su reclamación un muy bajo nivel de ciberseguridad en la EMT así como la falta de protocolos en la gestión. La consultora Ernst and Young menciona que “la EMT todavía no está adaptada a las obligaciones legales de Reglamento General de Protección de Datos”.
También se recoge un comunicado por parte de la delegada de Protección de Datos de la EMT acerca de una posible brecha de seguridad en la banca electrónica de Caixabank en relación a una posible suplantación de identidad a la hora de acceder a las cuentas bancarias de EMT en dicha entidad.
Miembros de otros partidos políticos mencionaban los grandes problemas de ciberseguridad cuando ocurrió el fraude de los 4 millones de euros y que fue certificado por varios estamentos de gran importancia. Además, aseguraban que se descartó muy prematuramente el hecho de que hubiese problemas de ciberseguridad en la EMT, ya que habia notificaciones por parte de la AEPD cuando se cerró la comisión.