Alejandro Morales Cáceres, Abogado del área Corporativa de Torres y Torres Lara – Abogados, elaboró un artículo publicado en la Revista Agnitio el jueves 22 de noviembre (*), donde comentó sobre las medidas de protección de datos personales aplicado a los chatbot.
Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de información o que lleve a cabo una acción. En otras palabras, es capaz de emular a los seres humanos, respondiendo a distintas personas en plataformas de chat como Facebook. Esta es una tecnología que permite a las compañías interactuar con sus clientes a través de estos “bots”.
Uno de los Chatbots que fue de los primeros en ser implementado en la Banca, fue Arturito del BCP. Tras casi dos años, son 109 mil los usuarios que se han registrado para charlar con el bot, con un tiempo promedio de conversación de seis minutos por cliente, conforme a El Comercio. La implementación de esta tecnología se ha venido incorporando al sector financiero con mucha fuerza creando nuevos canales de contacto con los usuarios, acortando el tiempo de respuesta.
Sin embargo, esta tecnología almacena información de carácter personal. Por tanto, si una compañía la utiliza como parte de sus estrategias de ventas y marketing, deberá adecuar sus procesos a fin de que éstos sean compatibles con la normativa de protección de datos personales. Para ello, deberán tener en cuenta lo siguiente:
1.Respetar el principio de información.- Un usuario, quien es titular de datos personales, tiene el derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga (en especial en cuanto a los datos sensibles); la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello, conforme al primer párrafo del artículo 18° de la Ley de Protección de Datos Personales.
Asimismo, el segundo párrafo del artículo en mención establece que, si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones relacionadas al derecho de información pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
Por consiguiente, un Chatbot deberá informar a los usuarios sobre cómo es que su información será tratada. Para ello es necesario que el Chatbot antes de iniciar una conversación debería decir lo siguiente:
“Estimado Usuario, antes de iniciar esta conversación a fin de salvaguardar su información le solicitamos lea detenidamente nuestra política de privacidad que se encuentra en https://www.sitiowebdelacompañia.com ¿Acepta la Política de Privacidad? (Debe existir un botón en donde el usuario pueda hacer un click sobre la opción “Acepto”) Cuénteme, ¿qué puedo hacer hoy por usted?”.
2. Respetar el principio de proporcionalidad. – Este principio, consagrado en el artículo 7° de la Ley de Protección de Datos Personales, consagra que todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que éstos hubiesen sido recopilados. Por tanto, la empresa que decida implementar esta nueva tecnología deberá revisar sus registros y ver qué tipo de información ha sido almacenada en el “Backend” del software y eliminar aquella información que no se encuentra detallada en las políticas de privacidad, puesto que de lo contrario estarían infringiendo lo dispuesto por la normativa, excediendo a la finalidad detallada.
3. Se recomienda encriptar las conversaciones. – Como no sabemos qué es lo que el usuario va a decir o qué datos va a proporcionar, se recomienda que la información que recopile el Chatbot se encuentre encriptada a fin de cumplir con las medidas de seguridad. Es posible que un usuario en dicha conversación proporcione información considerada como sensible. En consecuencia, dicha encriptación será importante a fin de garantizar la seguridad de los datos personales y así evitar cualquier tratamiento contrario a la normativa, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
4. El Chatbot debe atender los derechos de acceso, rectificación, cancelación y oposición(derechos ARCO). – No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales es considerado como una falta grave, sancionable con multas que fluctúan entre las 5 a 50 UITs. En tal sentido, es importante que el Chatbot se encuentre programado de tal manera que cuando un usuario ejerza alguno de estos derechos, éste pueda cumplir con lo solicitado de forma ordenada. En Europa, por ejemplo, el Chatbot deberá enviar un correo con aquella información que tiene registrada y su tratamiento. Asimismo, informan sobre aquella información que han eliminado. En caso esto no se pueda automatizar, lo que podría hacer el Chatbot cuando algún usuario quiera ejercer sus derechos ARCO sería proporcionar la siguiente respuesta:
“Estimado (Nombre del Usuario), en caso quiera ejercer su derecho de acceso, rectificación, corrección u oposición (Derechos ARCO), por favor descargue el Manual de Atención de Derechos Arco y el Formulario de Solicitud o en todo caso contáctese mediante el correo …. o llame al ……Nuestro personal los atenderá.
A modo de conclusión, antes de implementar una nueva tecnología como lo es la incorporación de Chatbots se debe tener en cuenta el “privacy by design”, principio que es recogido en el Reglamento General de Protección de Datos de la Unión Europea el cual se puede aplicar a nuestro ordenamiento, que determina que antes de poner en marcha un producto o servicio se debe tener en cuenta el impacto de este, respecto a la privacidad de las personas. Esto supone una reflexión con carácter preventivo en relación a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario.
El derecho de acceso significa que toda persona tiene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.
El derecho de rectificación (actualización o inclusión) es el derecho del titular de datos personales a que se modifiquen los datos que resulten ser parcial o totalmente inexactos, incompletos, erróneos o falsos.
El titular de los datos personales podrá solicitar la supresión o cancelación de sus datos personales de un banco de datos personales cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hayan sido recopilados; hubiere vencido el plazo establecido para su tratamiento; se ha revocado su consentimiento para el tratamiento y en los demás casos en los que no están siendo tratados conforme a la ley y al reglamento.
Este derecho implica que toda persona tiene la posibilidad de oponerse, por un motivo legítimo y fundado, referido a una situación personal concreta, a figurar en un banco de datos o al tratamiento de sus datos personales, siempre que por una ley no se disponga lo contrario.
(*) Puede visualizar la publicación en el siguiente enlace: http://bit.ly/2rdB5Nr