Sign in Subscribe
27 min read Otter

Caso Otter, ¿puedo legalmente transcribir reuniones con IA?

Analizamos la demanda a Otter por transcribir reuniones con IA; y repasamos la actualidad del 9 al 15 de junio 🎙️
Caso Otter, ¿puedo legalmente transcribir reuniones con IA?
Photo by Chris Montgomery / Unsplash

Otter, la herramienta que facilita obtener transcripciones en tiempo real de reuniones presenciales y online, ha sido demandada en California este mes de agosto mediante una acción colectiva que la acusa de recopilar "engañosa y subrepticiamente" conversaciones privadas que la empresa de tecnología utiliza para entrenar luego su servicio de transcripción sin el consentimiento de las personas que lo utilizan.

Enlace a la reclamación.

El producto afectado es “Otter Notetaker”, una herramienta que se une como participante a reuniones de Google Meet, Zoom y Microsoft Teams y transcribe en tiempo real enviando audio y datos a los servidores de Otter. Luego el usuario recibe un resumen con las cuestiones destacadas de lo hablado. Otros servicios, como el propio Meet, Zoom y Teams, tienen funciones similares.

La demanda sostiene que Otter es un tercero (no un mero instrumento del usuario que inicia la reunión) que intercepta y usa contenidos de comunicaciones de participantes que no son clientes de Otter, sin su consentimiento previo.

Según la demanda, cuando Otter entra en la reunión solicita permiso solo al anfitrión (si el mismo no es cliente de Otter), pero no permite a otros participantes desactivar la grabación. Además, según el demandante la opción “Send pre-meeting emails” sobre si los participantes aceptan o no ese tratamiento, está desactivada por defecto, de modo que no se notifica previamente a asistentes salvo que el usuario lo active.

La demanda también cuestiona que Otter declara en su Política de Privacidad que entrena luego sus modelos con grabaciones y transcripciones “anonimizadas” y que puede realizar revisión manual de ambas con permiso del usuario, pero nuevamente no recaba ninguna autorización del resto de participantes para ese tratamiento posterior. Se cuestiona además la eficacia de la “desidentificación” y que la retención de los datos es indefinida “mientras sea necesario”.

En verdad este tipo de herramienta no son tan inocentes como parecen, y eso sin entrar en la parte legal. Véase el año pasado el caso de un ingeniero que participó en una reunión vía Zoom que usaba Otter. La misma era una reunión con inversores. Al acabar, la herramienta compartió con él una transcripción del chat. La cuestión es que incluía "detalles íntimos y confidenciales" sobre un negocio discutido por los inversores después de que él hubiera salido de la reunión. Esas partes de la conversación terminaron matando el trato.

Veremos cómo acaba el asunto.

Si nos llevamos el supuesto a terreno RGPD/LOPD, es perfectamente válido para cuestionar la legalidad de estos tratamientos y cómo orquestarlos correctamente. Por ejemplo:

  • Otter está claro que tendría la condición de responsable del tratamiento para el entrenamiento y mejora de modelos. Pero el cliente del servicio/anfitrión de la reunión sería responsable respecto a la transcripción y resumen de la reunión (siendo Otter su encargado). ¿Podría plantearse también una potencial corresponsabilidad en la línea de Fashion ID si el anfitrión determina conjuntamente los fines y medios que propician la captación de datos de terceros? Después de todo, es quien invita al al bot para que los recoja pero el entrenamiento posterior queda al margen de los terceros participantes (además de la transcripción).
  • ¿Cuál es la base legal de los participantes en la reunión? Respecto al cliente/anfitrión podría argumentarse que la relación contractual, ¿pero y del resto? Si no se les pide consentimiento (posible técnicamente pero desactivado por defecto), ¿sería viable un interés legitimo con la debida ponderación y opciones de oposición?
  • El entrenamiento de la IA con las posteriores grabaciones y transcripciones está claro que es un tratamiento diferente y el consentimiento seguramente sería la vía más adecuada. Pero difícil que se dé cuando los terceros participantes (no clientes) seguramente ni han sido informados durante la reunión de que sus conversaciones entrenarán al modelo. Por no hablar del tratamiento de un dato biométrico como la voz.
  • No parece que se dé cumplimiento al deber de información demasiado bien. De hecho, la demanda subraya que las notificaciones previas están desactivadas por defecto (esa privacidad desde el diseño) y que el bot solo solicita aprobación al anfitrión para grabar y transcribir la reunión. Los terceros quedan a expensas de la buena voluntad del anfitrión. Además, hay un tratamiento de datos no provenientes del interesado (los terceros invitados a la reunión con Otter de por medio) y una potencial transferencia internacional.
  • El plazo de conservación de datos, para un tratamiento u otro, es un genérico “Mientras sea necesario” y con retención indefinida de por medio. Viendo que incluso empresas “pro legalidad” como Anthropic están aumentando sus plazos de conservación de 30 días a 5 años para usar los datos para entrenar a sus modelos, está claro que será cada día un tema más relevante y que la genérica perpetuidad no valdrá.

En resumen, será curioso ver cómo evoluciona el caso y si en Europa surgen próximamente reclamaciones similares, ya sea por Otter u otras herramientas parecidas, ya que ahora mismo el uso de IA para transcribir y resumir una reunión parece chirriar un poco legalmente.

Dicho esto, ahí va la actualidad del 9 al 15 de junio en IA y Derecho (publicaré todas las semanas pendientes, las tengo recopiladas).

85 noticias sobre regulación, tribunales, propiedad intelectual e industrial, protección de datos, Legaltech y otros 🤖


Published by:

You might also like...

22
abr.
Cómo rechazar que una IA use tus datos

Cómo rechazar que una IA use tus datos

Explicamos cómo y dónde oponerse a que una IA use tus datos para su entrenamiento, en Meta y más servicios; y la actualidad del 7 al 13 de abril 🏋🏻
25 min read