Promotores franceses abriram uma investigação de cibercrime contra a Apple por suposta coleta e análise de áudios da Siri sem consentimento, no primeiro inquérito criminal na Europa envolvendo dados de assistentes de voz de uma Big Tech dos EUA.
A Procuradoria de Paris encaminhou o caso ao Escritório de Combate ao Cibercrime após denúncia da organização de direitos humanos Ligue des Droits de l’Homme (LDH) e o depoimento do ex-subcontratado Thomas Le Bonniec, que trabalhou na revisão de áudios da Siri em 2019 na Irlanda. A apuração busca determinar se a Apple descumpriu normas francesas e o Regulamento Geral de Proteção de Dados (RGPD) ao coletar, reter e submeter gravações de usuários a “classificação” por terceiros sem consentimento informado.
Segundo a LDH, o procedimento de “grading” de trechos de áudio para melhorar o reconhecimento da assistente teria ocorrido sem transparência adequada e com medidas de anonimização insuficientes, potencialmente permitindo a identificação de indivíduos. Le Bonniec afirma que contratados ouviam fragmentos de conversas sensíveis, incluindo discussões médicas, relações pessoais e transações financeiras, capturadas por ativações não intencionais da Siri. A CNIL (autoridade francesa de dados) e a DPC irlandesa já haviam sido acionadas anteriormente, sem resultado conclusivo.
A Apple nega irregularidades e aponta reformas introduzidas a partir de 2019, quando o programa de revisão por contratados foi suspenso em meio a críticas públicas. Desde então, a empresa afirma ter tornado o envio de dados de voz opcional (opt-in), restringido o processamento a equipes internas sob controles reforçados e limitado a retenção dos áudios exclusivamente para aprimoramento do produto. Em posicionamentos recentes, a empresa reiterou que conversas com a Siri não são vendidas a anunciantes nem compartilhadas com profissionais de marketing e que a coleta, quando autorizada, ocorre de forma transparente e por prazo definido.
Os promotores devem avaliar a arquitetura técnica do tratamento de dados da Siri: armazenamento, controle de acesso, possibilidade de cruzamento com identificadores como ID de dispositivo ou dados de localização, além da suficiência dos controles contratuais sobre terceirizados. Caso fique configurada a ausência de consentimento válido ou violação de confidencialidade, a Apple pode enfrentar sanções penais sob o código francês, além de medidas administrativas da CNIL. A dimensão criminal do caso amplia o potencial de precedentes para práticas de assistentes de voz em toda a União Europeia.
A investigação ocorre em contexto de maior escrutínio regulatório sobre Big Techs na Europa. A França tem liderado iniciativas de fiscalização e aplicação do RGPD em casos contra plataformas de grande porte, ao mesmo tempo em que adota medidas fiscais específicas para serviços digitais. O caso também reaviva o debate sobre os limites de tecnologias “sempre atentas”: assistentes como Alexa (Amazon) e Google Assistant se baseiam em grandes volumes de fala humana e, historicamente, já registraram trechos não intencionais de conversas, o que alimenta preocupações sobre a fronteira entre conveniência e vigilância.
No plano jurídico, o cerne será o “consentimento informado” e a proporcionalidade do tratamento. O RGPD exige finalidade específica, minimização de dados e transparência robusta sobre o processamento. Ativações acidentais podem tornar a base legal mais frágil, sobretudo quando dados potencialmente sensíveis (saúde, vida sexual, crenças) são captados inadvertidamente. A investigação deverá aferir se as salvaguardas técnicas (como descarte imediato de ativações falsas, separação de dados identificáveis, criptografia e logs de auditoria) e as salvaguardas organizacionais (treinamento, confidencialidade, due diligence em terceiros) estavam em níveis compatíveis com o risco.
A experiência de 2019 moldou mudanças no setor, com maior preferência por processamento no dispositivo, redução de sharing com terceiros e políticas de opt-in. Ainda assim, a materialidade probatória sobre o período 2014–2019 — quando gravações podiam ser mantidas por até dois anos e revisadas por subcontratados — será determinante para o desfecho. Mesmo na ausência de condenação, um processo criminal tende a reabrir questionamentos públicos sobre a verdadeira extensão do acesso corporativo a dados íntimos em produtos de voz e IA, incentivando reforços regulatórios, padrões técnicos mais estritos e auditorias independentes.
Se confirmadas violações, além de multas e medidas corretivas, podem surgir obrigações de governança de dados mais rígidas para assistentes de voz, incluindo: limites de retenção mais curtos e verificáveis; anonimização com garantias formais (por exemplo, avaliações de risco de reidentificação); auditorias periódicas por terceiros; e mecanismos de consentimento granular, inclusive para dados sensíveis captados por engano. Isso teria efeitos sistêmicos em todo o ecossistema de IA de voz, pressionando fornecedores a priorizar “privacidade por design” e “segurança por padrão” em pipelines de treinamento.
Em termos de mercado, impactos potenciais incluem ajustes no roadmap de features que dependem de telemetria de voz, redirecionamento para modelos on-device e transparência reforçada em centros de privacidade. Para consumidores, é recomendável revisar configurações de privacidade da assistente (opt-in/out de “melhorar a Siri”), checar histórico e exclusão de áudio quando disponível, e monitorar novas comunicações de política de dados decorrentes de eventuais determinações da CNIL ou dos tribunais franceses.
Próximos passos e implicações
A investigação do Escritório de Combate ao Cibercrime deverá avançar com requisições técnicas e oitivas de envolvidos, inclusive subcontratados. Dependendo das constatações, o Ministério Público pode oferecer denúncia formal, propor acordos com obrigações de compliance, ou arquivar se não houver base suficiente. Em paralelo, autoridades de proteção de dados podem abrir (ou reabrir) processos administrativos para impor medidas corretivas sob o RGPD.
No cenário global, o caso francês tende a influenciar práticas de governança de áudio em assistentes de voz, inspirando requisitos mais claros de consentimento, limitação de finalidade e auditoria de terceirizados. Independentemente do resultado judicial, a tendência aponta para maior ênfase em processamento local, minimização de dados e oferta de controles ao usuário — passos vistos como essenciais para alinhar inovação em IA à tutela de direitos fundamentais na economia digital.