El Impacto de la Protección de Datos en los Chatbots

Delegado de protección de datos > El Blog del DPD/DPO > DPD DPO > El Impacto de la Protección de Datos en los Chatbots

El Impacto de la Protección de Datos en los Chatbots

9 diciembre, 2020 | DPD DPO

Los chatbots o bot conversacional son sistemas informáticos cuya funcionalidad es poder mantener una interacción con el ser humano. A través de este programa, el usuario es capaz de mantener una conversación en línea con una persona a partir de determinadas respuestas automáticas. El citado software, tiene una serie de respuestas preparadas de antemano, y de esta manera, destaca por su inmediatez.  Actualmente son utilizados por las compañías para poder interactuar con sus clientes o potenciales clientes, y así responder de forma ágil a las preguntas que se formulen sobre el servicio.

Para poder realizar su función de interacción con el usuario, el programa deberá procesar y almacenar la información que le facilita el usuario, entre dicha información se pueden contener datos de carácter personal. Un dato de carácter personal es toda información identificada o identificable referente a una persona física. Es por ello que, podrá almacenar datos personales de diferente tipo: desde un nombre, apellidos, dirección… a determinados datos de salud, religión etc. (considerados datos de categoría especial).

Si se va utilizar este sistema, deberá tenerse en cuenta las siguientes implicaciones en materia de protección de datos:

  1. Deberá identificar los tratamientos de datos que se van a realizar en la plataforma, y registrarlo en su Registro de Actividades de Tratamiento correspondiente, con toda la información exigida por el artículo 30 del RGPD.

  2. Se deberán analizar los riesgos derivados de estos tratamientos sobre los derechos y libertades de los individuos y comprobar si dicho tratamiento lleva aparejada la realización de una Evaluación de Impacto (en adelante EIPD). Además, comprobar si el mismo, se encuentra recogido en la lista de tratamientos que requieren una EIPD de forma obligatoria.

  3. Aplicar las medidas tanto técnicas como organizativas adecuadas a los riesgos que hayamos previsto para los tratamientos de datos.

  4. Buscar una base de legitimación de las recogidas en el artículo 6 del RGPD para los tratamientos realizados en el chatbot.

  5. Informar a los usuarios que utilicen el servicio de forma sencilla, ágil y transparente según lo estipulado en los artículos 13 y 14 del RGPD.

  6. En el caso de que el servicio lo provea un tercero ajeno a la organización, deberá firmarse el correspondiente contrato de encargado del tratamiento, conforme a los requisitos del artículo 28 del RGPD.

Además, debemos recordar que todas estas cuestiones deberán plantearse de manera previa a la implantación del sistema. Para cumplir con el principio de privacidad desde el diseño, el Responsable del tratamiento deberá estudiar todas estas implicaciones de forma previa y evaluar los riesgos derivados. Para ello, si fuera necesario, aplicará una serie de controles para que el servicio ofrecido se pueda desarrollar sin problemas jurídicos sobre la protección de datos de los usuarios que lo vayan a utilizar.

Marcos Rubiales

Equipo Govertis