Απομαγνητοφώνηση φωνής με χρήση ΑΙ: Επιπτώσεις στην προστασία δεδομένων

Είναι γεγονός ότι η τεχνητή νοημοσύνη έχει φέρει επανάσταση σε πολλούς τομείς, χάρη στην ικανότητά της να εκτελεί διαφορετικές διεργασίες και στο ότι η τεχνολογία αυτή είναι ολοένα και πιο προσβάσιμη σε κάθε άτομο ή επιχείρηση. Μεταξύ των διαφόρων εφαρμογών της ΤΝ στον επιχειρηματικό τομέα, το παρόν άρθρο επικεντρώνεται στην ανάλυση της περίπτωσης των υπηρεσιών απομαγνητοφώνησης φωνής με τη χρήση ΤΝ και στις επιπτώσεις τους στην προστασία δεδομένων.

Κατά γενικό κανόνα, η φωνή ενός προσώπου πρέπει να θεωρείται δεδομένο προσωπικού χαρακτήρα, στο μέτρο που μπορεί να ταυτοποιήσει ή να καταστήσει ταυτοποιήσιμο ένα φυσικό πρόσωπο, άμεσα ή έμμεσα, λαμβανομένων υπόψη του πλαισίου, των ευλόγως χρησιμοποιήσιμων μέσων και της κατάστασης της τεχνολογίας. Η φωνή διαθέτει ιδιαίτερα χαρακτηριστικά που, υπό ορισμένες συνθήκες, μπορούν να επιτρέψουν την ταυτοποίηση ενός προσώπου, ιδίως από άτομα που γνωρίζουν τον ομιλητή ή όταν υπάρχουν διαθέσιμα δείγματα αναφοράς. Η ικανότητα ταυτοποίησής της δεν είναι ομοιόμορφη ούτε αυτόματη σε όλες τις περιπτώσεις, καθώς μπορεί να ανωνυμοποιηθεί μέσω διαφόρων τεχνικών.

Η φωνή συνδέεται με πληροφορίες που αφορούν το εγγενές περιεχόμενο της επικοινωνίας, καθώς και με μεταδεδομένα ειδικά για τις ψηφιακές υπηρεσίες, όπως για παράδειγμα ο τηλεφωνικός αριθμός από τον οποίο πραγματοποιείται η κλήση, η σύνδεση μέσω της οποίας μεταδίδεται η φωνή (διεύθυνση IP), πληροφορίες σχετικά με τη χρήση της εφαρμογής (cookies) ή άλλα είδη πληροφοριών. Οι πρόσθετες αυτές πληροφορίες συνιστούν επίσης δεδομένα προσωπικού χαρακτήρα και πρέπει να λαμβάνονται υπόψη κατά τη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ.

Εστιάζοντας αποκλειστικά στην επεξεργασία της φωνής, στα συστήματα απομαγνητοφώνησης που βασίζονται σε ΤΝ είναι δυνατόν, αλλά όχι υποχρεωτικό, να συναντώνται δύο πράξεις επεξεργασίας με διαφορετικούς σκοπούς, όταν:

• αφενός, η απομαγνητοφώνηση της φωνής πραγματοποιείται μέσω συστήματος βασισμένου σε ΤΝ, για παράδειγμα, για τη σύνταξη πρακτικών συνεδριάσεων·

• αφετέρου, ένα σύστημα ΤΝ μπορεί να προσαρμόζεται περαιτέρω (fine-tuning) με τη χρήση δειγμάτων φωνής, είτε από τον ίδιο τον υπεύθυνο επεξεργασίας είτε, συνηθέστερα, από τον πάροχο της υπηρεσίας απομαγνητοφώνησης.

Ο υπεύθυνος επεξεργασίας που αποφασίζει να ενσωματώσει μια υπηρεσία απομαγνητοφώνησης οφείλει να ενεργεί με τη δέουσα επιμέλεια κατά τον καθορισμό και τη διασφάλιση της προστασίας των δικαιωμάτων των υποκειμένων των δεδομένων, όταν επιλέγει συστήματα ή εκτελούντες την επεξεργασία με τους οποίους συνάπτονται νέες σχέσεις επεξεργασίας.

Ο υπεύθυνος επεξεργασίας πρέπει να επιδεικνύει τη δέουσα προσοχή κατά την επιλογή εκείνων που παρέχουν σαφείς πληροφορίες σχετικά με τυχόν πρόσθετες πράξεις επεξεργασίας και τους αντίστοιχους υπευθύνους επεξεργασίας, τις εγγυήσεις εμπιστευτικότητας (ως προς τη φωνή, τα μεταδεδομένα και το περιεχόμενο του μηνύματος), καθώς και τα μέτρα ασφάλειας, συμπεριλαμβανομένου, όπου εφαρμόζεται, του τρόπου με τον οποίο πραγματοποιείται η επανεκπαίδευση και της νομιμότητάς της, των περιόδων διατήρησης, της ελαχιστοποίησης των δεδομένων - ιδίως της ελαχιστοποίησης των μεταδεδομένων -, των εκτελούντων την επεξεργασία και του τόπου αποθήκευσης των δεδομένων, καθώς και όλων των λοιπών εγγυήσεων και μέτρων που είναι αναγκαία για τη συμμόρφωση με τον ΓΚΠΔ γενικά και, ειδικότερα, με τις απαιτήσεις του άρθρου 28 του Γενικού Κανονισμού.

Όσον αφορά πιθανές πρόσθετες πράξεις επεξεργασίας, ο οργανισμός που χρησιμοποιεί το σύστημα πρέπει να διαπιστώσει εάν πραγματοποιείται οποιοσδήποτε τύπος επεξεργασίας που συνάγει συναισθήματα, σκέψεις, πεποιθήσεις, κατάσταση υγείας, βιομετρική ταυτοποίηση κ.λπ. Υπηρεσίες απομαγνητοφώνησης που περιλαμβάνουν ανίχνευση συναισθημάτων ή εξαγωγή οποιασδήποτε ειδικής κατηγορίας δεδομένων θα υπάγονται σε αυστηρό καθεστώς προστασίας δεδομένων και ενδέχεται ακόμη και να συνεπάγονται τη χρήση συστημάτων ΤΝ που απαγορεύονται βάσει του Κανονισμού για την Τεχνητή Νοημοσύνη.

Από την άλλη πλευρά, το πρόσωπο που είναι υπεύθυνο για την απομαγνητοφώνηση συνήθως δεν είναι εκείνο που πραγματοποιεί την υποστήριξη ή την περαιτέρω ανάπτυξη του συστήματος ΤΝ με τη χρήση δεδομένων προσωπικού χαρακτήρα. Συνεπώς, εάν τα δεδομένα του συστήματος απομαγνητοφώνησης χρησιμοποιούνται για την επανεκπαίδευση του συστήματος ΤΝ, η οντότητα που διενεργεί την εν λόγω επεξεργασία για δικούς της σκοπούς αναλαμβάνει τον ρόλο του υπευθύνου επεξεργασίας κατά τον ΓΚΠΔ. Επιπλέον, η νομική της βάση θα είναι διαφορετική από εκείνη της επεξεργασίας της απομαγνητοφώνησης. Στις περιπτώσεις αυτές, πρέπει να σημειωθεί ότι είναι συνήθης πρακτική η εποπτευόμενη εκπαίδευση του συστήματος απομαγνητοφώνησης, γεγονός που σημαίνει ότι η φωνή θα ακούγεται από τρίτους και το περιεχόμενο θα απομαγνητοφωνείται χειροκίνητα για την εκτέλεση των εργασιών που σχετίζονται με την προσαρμογή του μοντέλου.

Κατ’ εφαρμογή της αρχής του περιορισμού του σκοπού, ο υπεύθυνος επεξεργασίας που καθορίζει τη χρήση ενός συστήματος απομαγνητοφώνησης πρέπει να προσδιορίζει τους σκοπούς κάθε πράξης επεξεργασίας, οι οποίοι πρέπει να είναι συγκεκριμένοι, σαφείς και νόμιμοι. Ο υπεύθυνος επεξεργασίας οφείλει επίσης να εξετάζει την αναγκαιότητα της ενσωμάτωσης της πράξης απομαγνητοφώνησης στην επεξεργασία και να συμμορφώνεται με τις λοιπές υποχρεώσεις που απορρέουν από τον ΓΚΠΔ.

Οι νομικές βάσεις για την επεξεργασία μπορεί να είναι, ανάλογα με την περίπτωση, η εκτέλεση σύμβασης, το έννομο συμφέρον, η συγκατάθεση ή άλλες, για ειδικές περιπτώσεις, όπως για παράδειγμα στις υπηρεσίες έκτακτης ανάγκης. Σε περίπτωση που η βάση είναι η συγκατάθεση, αυτή πρέπει να παρέχεται μέσω σαφούς θετικής ενέργειας που να αντικατοπτρίζει ελεύθερα δοθείσα, συγκεκριμένη, ενημερωμένη και ρητή ένδειξη συμφωνίας για την αποδοχή κάθε πράξης επεξεργασίας και δεν πρέπει να αποτελεί ενέργεια που ενεργοποιείται εξ ορισμού κατά τη χρήση της υπηρεσίας. Ο χρήστης δεν πρέπει να υφίσταται οποιαδήποτε μορφή βλάβης επειδή δεν παρέχει συγκατάθεση ή επειδή την ανακαλεί οποτεδήποτε· η ανάκληση πρέπει να είναι δυνατή με τρόπο εξίσου απλό με εκείνον της παροχής της συγκατάθεσης πριν από την έναρξη της επεξεργασίας. Η συγκατάθεση θα μπορούσε να είναι κατάλληλη για ορισμένες επαγγελματικές σχέσεις, ωστόσο θα πρέπει να αξιολογείται εάν η συγκατάθεση αυτή μπορεί να θεωρηθεί ελαττωματική στο πλαίσιο σχέσεων εργοδότη-εργαζομένου ή στις συναλλαγές με Δημόσιες Διοικήσεις.

Σε πολλές άλλες περιπτώσεις, όταν χρησιμοποιείται το έννομο συμφέρον ως νομική βάση, υπενθυμίζεται ότι το συμφέρον αυτό πρέπει να αξιολογείται κατά τρόπο που να αποδεικνύει ότι έχει σταθμιστεί έναντι των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.

Αφού ο οργανισμός εκπληρώσει τις υποχρεώσεις δέουσας επιμέλειας, καθορίσει τη νομιμότητα της επεξεργασίας (στο μέτρο που μπορεί να χρησιμοποιεί το σύστημα μόνο υπό τους όρους της πλατφόρμας) και επιλέξει την καταλληλότερη υπηρεσία, οφείλει να ενημερώσει δεόντως το υποκείμενο των δεδομένων του οποίου η φωνή πρόκειται να καταγραφεί και να υποβληθεί σε επεξεργασία. Σύμφωνα με τις αρχές της διαφάνειας και της προστασίας δεδομένων από τον σχεδιασμό και εξ ορισμού, το υποκείμενο των δεδομένων πρέπει να γνωρίζει, μεταξύ άλλων, τη χρήση της υπηρεσίας, εάν θα πραγματοποιηθούν πρόσθετες πράξεις επεξεργασίας και τη φύση τους, εάν τρίτοι θα ακούσουν τη συνομιλία του (για παράδειγμα στο πλαίσιο επανεκπαίδευσης), καθώς και τα δικαιώματά του και τους κινδύνους που συνδέονται με την υπηρεσία αυτή, ιδίως όσον αφορά την άσκηση των δικαιωμάτων διόρθωσης και διαγραφής.

Συμπερασματικά, όσον αφορά την επεξεργασία της απομαγνητοφώνησης, ο ΓΚΠΔ δεν θα εφαρμόζεται στην περίπτωση συνθετικών φωνών ή όταν έχουν ληφθεί μέτρα για την τροποποίηση της φωνής στην πηγή, ώστε να εξαλειφθεί η δυνατότητα ταυτοποίησης, συμπεριλαμβανομένης της αποσύνδεσής της από άλλες αναγνωριστικές πληροφορίες, όπως συμβαίνει συχνά σε ορισμένες διαδικτυακές υπηρεσίες.

Πρέπει ωστόσο να επαναληφθεί ότι ο ΓΚΠΔ θα εφαρμόζεται στα μεταδεδομένα της υπηρεσίας και στο περιεχόμενο της επικοινωνίας, στον βαθμό που αυτά συνδέονται με φυσικό πρόσωπο.