Los chatbots y la privacidad que viene
Tribuna de Salvador Silvestre, socio de ECIJA, para Economist & Jurist
Ya casi no utilizamos el teléfono para llamar. El cambio conversacional en la forma de comunicarnos es ya una realidad. Desde hace unos años, nos comunicamos más del 60% de nuestro tiempo por chats y mensajería instantánea de las Redes Sociales. Las empresas, por su parte, siguen la misma línea y desde ‘chatbots’ hasta mensajería instantánea, se ponen al servicio de los clientes para prestar un servicio 24×7.
Pero… ¿Qué es un Chatbot?
Un ‘chatbot’ es un sistema informático capaz de mantener una conversación con un ser humano utilizando lenguaje natural. Entre sus características destacan la inmediatez en la respuesta, el respeto a la imagen de marca o la capacidad de responder a varios clientes a la vez.[1]
En distintos sectores, como el energético, el del transporte terrestre y aéreo o en la moda hemos visto como han proliferado y hemos interactuado con ellos. No me cabe la menor duda que esto es solo el principio. Hasta la fecha son asistentes conversacionales con alguien detrás o con respuestas preconfiguradas, muchos de ellos no incorporan Inteligencia Artificial, ni contratan servicios, pero seguro que lo harán en el futuro.
La propuesta de Ley de Inteligencia Artificial (IA) europea clasifica como de alto riesgo una serie de sistemas concretos de IA. Habrá que estar alerta si algunos ‘chatbots’, entrarán en esta categoría. Por ejemplo, si ayudan a evaluar la solvencia de las personas podrían hacerlo.
El Grupo de Alto Nivel en Inteligencia Artificial (AI – HLEG) que ha creado la Comisión Europea para desarrollar la Estrategia Europea en Inteligencia Artificial lo aplica a “sistemas que manifiestan un comportamiento inteligente, al ser capaces de analizar el entorno y realizar acciones, con cierto grado de autonomía, con el fin de alcanzar objetivos específicos”.
La utilización de ‘chatbots’ plantea distintos desafíos legales (Propiedad intelectual, Consumidores y usuarios, etc.) pero uno de los que más recorrido tendrá, sin duda por la combinación con la IA, será el de la Privacidad.
Su impacto en la Privacidad
La aplicación de los principios de privacidad por defecto y desde el diseño se deberán contemplar en la producción del ‘chatbot’ desde el momento inicial. Los ‘chatbots’ dependiendo del sector en el que operen están destinados tratar multitud de datos personales, no obstante, tal y como ha considerado la Agencia Española de Protección de Datos: “Si un componente IA realiza el tratamiento de datos personales, elabora perfiles sobre una persona física o si toma decisiones sobre la misma, tendrá que someterse al RGPD. En caso contrario, no será necesario. En muchos casos no es sencillo determinar si durante una etapa del ciclo de vida de un sistema basado en IA se tratan o no datos personales”.
Se entiende por dato de carácter personal toda información sobre una persona física identificada o identificable. Y a partir de aquí, pues cada ‘chatbot’ tendrá un impacto en la privacidad del usuario. No será lo mismo uno que simplemente presta servicios de postventa en una tienda online que el ‘chatbot’ de un Hospital que puede recabar información sobre la salud y utilizar Inteligencia Artificial para prestar determinados servicios.
Implementar un ‘chatbot’ conllevará cumplir con el RGPD, y para ello, hay un conjunto mínimo de condiciones que deben cumplirse para garantizar la conformidad del tratamiento realizado por el responsable. En esencia, serían las siguientes:
- Verificar la existencia de una base para legitimación del tratamiento de datos personales.
- La obligación de informar y ser transparente respecto al tratamiento de los datos.
- La obligación de facilitar a los usuarios el ejercicio de sus derechos.
- La aplicación del principio de responsabilidad proactiva implicaría realizar un análisis de riesgos y, en su caso, una ‘Evaluación de Impacto en la Privacidad’ (la EIPD es una obligación establecida en el RGPD cuando los niveles de riesgo asociados al tratamiento son elevados) o la obligación de mantener un registro de actividades de tratamiento.
- Adoptar medidas de seguridad organizativas y técnicas que minimicen riesgos.
- El cumplimiento de las condiciones para poder realizar transferencias internacionales de datos.
En definitiva, cada vez de forma más acelerada las empresas irán incorporando ‘chatbots’ en su actividad que además incorporarán Inteligencia Artificial por lo que el impacto en la Privacidad será alto y requerirá un evaluación del cumplimiento normativo en materia de protección de datos para no incurrir en riesgos legales que impliquen una sanción económica considerable, o lo que quizá sea peor, socaven la reputación de su IA conversacional.