¿Cómo se regula el tratamiento de los datos en los chatbots?
28 Junio 2022
El chatbot es un sistema informático capaz de mantener una conversación con un usuario dando respuesta inmediata a las cuestiones que se le planteen. Se utiliza especialmente en el servicio de atención al cliente, ya que puede atender a varios usuarios a la vez y es una herramienta ágil, de ayuda a la empresa, que presta el servicio de información y solución al usuario.
¿Cómo se garantiza la privacidad de los datos en el chatbot?
Para garantizar la privacidad de nuestros datos en el chatbot hay que remitirse a la normativa de aplicación en esta materia, el Reglamento General de Protección de Datos (RGPD).
En base a esta norma, el chatbot es un programa que capta, procesa y almacena datos personales. De esta forma y para que el programa funcione acorde a la ley, se debe informar a los usuarios de la política de privacidad y sus derechos, pidiendo su consentimiento y ejecutando dichos derechos.
Por su parte, la empresa responsable debe informar, en formato auditable, de que se ha realizado la política de seguridad o informar sobre quién ha accedido, cuándo y cómo a la información almacenada de forma auditable.
La nueva regulación de protección de datos debe aplicarse en todo el territorio de la Unión Europea y también fuera de él, si los establecimientos o multinacionales dirigen sus actividades a usuarios europeos. En este contexto, existen cuatro tipos de riesgos en lo que a tratamiento de datos se refiere:
- Riesgo prohibido: se incluyen sistemas prohibidos de Inteligencia Artificial por implicar un riesgo inadmisible para la seguridad, la vida y los derechos fundamentales.
- Riesgo alto: con obligaciones reforzadas y evaluación de conformidad y control de riesgo.
- Riesgo medio/bajo: no suponen un gran riesgo, como es el caso de los asistentes virtuales o chatbots.
- Riesgo bajo: aquellos que no están sometidos a control, únicamente a códigos de conducta.
Consentimiento del usuario y deber de información
Con carácter general, el tratamiento de datos de un usuario es posible si ese mismo usuario ha dado un consentimiento previo. El RGPD establece que el consentimiento tendrá que prestarse de forma libre, específica, informada e inequívoca, quedando fuera aquellos consentimientos obtenidos por el usuario de forma tácita o presunta.
Y amplía los aspectos sobre los que informar a los interesados, destacando el deber de informar sobre la identidad de la empresa que recaba los datos, la finalidad del tratamiento de los mismos o el periodo por el que se conservarán los datos.
También deberá de hacerse explícitamente para que el usuario preste consentimiento marcando una casilla que no deje lugar a dudas. Si no se respetan los derechos de los usuarios, habrá que dirigirse al responsable del tratamiento o denunciar ante la AEPD para que proceda a la resolución extrajudicial.
Principios en el tratamiento de datos
En cuanto a los principios en los que se tiene que basar el tratamiento de datos destacan los siguientes:
- Principio de responsabilidad proactiva de la entidad o accountability: este principio conlleva que sean las entidades las encargadas de tomar decisiones sobre cómo salvaguardar los intereses de los usuarios de quienes recaben sus datos. Esto lo consiguen mediante la implantación de medidas de seguridad y de protocolos tendentes a evitar o mitigar los efectos derivados de posibles brechas de seguridad.
- Principio de privacidad por defecto: infiere en la necesidad de establecer de forma predeterminada la limitación en el tratamiento de datos de carácter personal en la máxima medida de lo posible. Los nuevos proyectos que se planeen deberán concebirse teniendo en consideración las implicaciones relativas a la protección de datos personales como una parte fundamental.
Asimismo, hay que tener en cuenta la existencia de diferentes tipos de tratamiento de datos como el profiling, el tratamiento de datos a gran escala o el cruce de bases de datos. El profiling elabora perfiles de usuarios a través de sus gustos o intereses; el tratamiento de datos a gran escala se lleva a cabo sobre un gran volumen de datos; y, por último, con el cruce con bases de datos de terceros se tiende a enriquecer los datos personales ya recabados.
Estos tratamientos necesitan ser analizados por medio de las denominadas evaluaciones de impacto ya que suponen una especial perturbación a la privacidad de los usuarios. Las evaluaciones de impacto se configuran como un análisis de los riesgos sobre la privacidad de los usuarios en relación con el tratamiento analizado.
Cómo afecta el Reglamento General de Protección de Datos a la Inteligencia Artificial
Hay dos apartados del reglamento que afectan específicamente a la Inteligencia Artificial (IA):
1. Las decisiones automatizadas: la automatización de procesos no solo recoge datos, sino que también da un resultado por el que el propio programa ejecuta un proceso creativo. El artículo 22 establece que el interesado tiene derecho a no ser objeto de una decisión automatizada. La sola intervención humana (revisión) hace que ya no sea de aplicación este artículo.
2. Las evaluaciones de impacto: el artículo 35 del RGPD determina que cuando un tratamiento suponga un riesgo para los derechos y libertades de las personas físicas, tiene que hacer una evaluación de impacto en las operaciones de tratamiento en la detección de datos personales.
En la práctica, si el chatbot solicita el nombre, e-mail o teléfono habría que recabar los consentimientos pertinentes para efectuar el tratamiento de los datos recogidos, teniendo que informar al interesado de la identidad y los datos de contacto de la empresa. Asimismo, se exige informar del plazo de conservación de los datos, los derechos de los interesados, la posibilidad de interponer una reclamación ante la autoridad competente (AEPD) y si existen decisiones automatizadas (incluida la elaboración de perfiles).
Una de las formas más habituales de recabar el consentimiento de los usuarios es a través de la marcación de casillas de aceptación, que informan del tratamiento pertinente de manera clara y sencilla. En los chatbots se podrá realizar en el propio chat y realizando la pregunta de manera explícita a quien lo utiliza.
Consideraciones al contratar proveedores de chatbots
Imaginemos que queremos contratar a una empresa para que provea a nuestra compañía de servicios de chatbot y que, a su vez, ofrezca otros servicios como el de almacenamiento de datos. ¿Resulta indiferente dónde se encuentren alojados los servidores? Generalmente, se realiza en servidores alojados en la Unión Europea, puesto que su ubicación es una cuestión determinante a la hora de contratar un proveedor al implicar la existencia o no de transferencias internacionales de datos.
Se entiende por transferencia internacional de datos toda aquella que tenga como destinatarias entidades que se encuentren fuera del espacio económico europeo. No obstante, en el caso de que el destinatario se encuentre en un país u organización internacional que no cuente con un nivel adecuado de protección, la manera en la que habría que regularizar estas transferencias sería conforme al artículo 46 RGPD. En el caso de que el prestador se encuentre alojado en Estados Unidos, habría que confirmar que se encuentra adherido a la Privacy Shield. En caso contrario, habría que cumplir con las consideraciones anteriores.
Ahora bien, ¿qué obligaciones y compromisos tendríamos que exigirle a esta empresa por la prestación de sus servicios? Como prestador de servicios, la empresa se convierte en encargada del tratamiento, siendo necesario establecer un contrato que contenga las consideraciones establecidas en el Reglamento europeo, como determinar que el tratamiento de datos debe seguir unas instrucciones concretas o garantizar la confidencialidad de dichos datos.
Uso del checkbox o enlace a la política de privacidad
Utilizar estas técnicas para obtener el consentimiento de los usuarios a través de Internet no permite acreditar que se ha recabado dicho consentimiento. Existen varias páginas web que utilizan plugins de empresas extranjeras para dejar comentarios.
Una posible solución para obtener correctamente los datos sería enviar un correo electrónico al individuo en cuestión pidiéndole que manifieste su consentimiento expreso para tratar sus datos personales. En el caso de las cookies, Google Analytics u otras herramientas análogas es necesario el consentimiento expreso para poder utilizarlas, ya que obtienen un perfil de los hábitos de navegación del usuario o la preferencia de sus contenidos.
Nuria Usera | Abogada de Legálitas