El CNIL, la autoridad de control de Francia, ha publicado una serie de recomendaciones en relación a las implicaciones del uso de los chatbots y el RGPD.
Los chatbots son desde hace un tiempo una herramienta muy común en las páginas web, y que permiten a los usuarios recibir de manera interactiva, rápida y fácil una respuesta a las preguntas más frecuentes, además de otra información relevante. Este proceso implica normalmente el tratamiento de datos personales y, por tanto, es necesario que los responsables y encargados sean conscientes de los riesgos que puede conllevar para los derechos y libertades de los sujetos. La ayuda del Delegado de Protección de Datos, si existe, puede ser crucial en este aspecto, y también se recomienda la elaboración de Evaluaciones de Impacto, que en algunos casos serán obligatorias.
Los chatbots precisan de la instalación de cookies y deben permanecer bajo regulación.
Los chatbots guardan el historial de conversaciones entre las diferentes páginas web en las que se encuentran y a fin de hacerlo de manera efectiva normalmente emplean cookies que instalan en los dispositivos de los usuarios. La normativa de protección de datos debe tenerse en cuenta a estos efectos, y es por ello por lo que el CNIL ha publicado una serie de recomendaciones sobre el uso de chatbots y de cookies en conformidad con la ley nacional de protección de datos, en concreto el artículo 82 que trata sobre las cookies.
Dos maneras de instalar las cookies.
Dado que la existencia o el uso de un chatbot requiere la instalación de cookies en el ordenador del usuario, es preciso contar con los permisos necesarios. Hay dos opciones disponibles por las que puede optar el operador del chatbot. La primera de ellas sería la obtención de consentimiento previo del usuario para instalar la cookie correspondiente. Este consentimiento tendría que ser libre, específico, informado e inequívoco. La segunda opción consistiría en la instalación de la cookie únicamente cuando el usuario activa el chatbot, lo cual implicaría que el sujeto tendría que pulsar un botón que de manera específica abra dicha herramienta. En este caso no se necesitaría recoger el consentimiento del usuario, pues la cookie sería necesaria para ofrecer el servicio de chatbot. Sin embargo, si el rastreador que utiliza el chatbot se emplea para otra finalidad, el consentimiento del usuario será necesario. Los datos recogidos por este localizador deben almacenarse únicamente por el tiempo que sea necesario para satisfacer la finalidad del tratamiento.
Las recomendaciones de la autoridad de control francesa sobre la recogida de categorías especiales de datos por parte de un chatbot.
El CNIL aconseja que se debe prestar atención particular a la recogida de datos de categoría especial, lo cual puede incluir información relacionada con la salud, afiliación religiosa, opiniones políticas, etc. En algunos casos la recogida de estos datos es predecible y por tanto el tratamiento se convierte relevante. Por ejemplo, un chatbot para un servicio de asistencia médica puede recoger y tratar datos de salud. En dichos casos será necesario asegurar que se procede con el tratamiento en conformidad con el artículo 9.2 del RGPD. El tratamiento de categorías especiales de datos es uno de los nueve criterios que pueden hacer necesaria la realización de una Evaluación de Impacto de Protección de Datos. Si se dan más de uno de tales criterios, la Evaluación de Impacto de Protección de Datos será obligatoria. Cristina Contero Almagro, Socia de Aphaia, añade que: “Este podría ser el caso cuando haya datos de menores o cuando los datos recogidos por el chatbot se combinen, comparen o vinculen con datos de otras fuentes”.
En algunos casos la recogida de datos sensibles no podrá preverse con antelación, pues muchas veces los chatbots ofrecen la opción de escritura libre, y el responsable o el encargado podría no anticipar el tratamiento de datos de categoría sensible proporcionados por el usuario. En estos casos el consentimiento previo no será necesario. Sin embargo, se deben implantar mecanismos que minimicen los riesgos para los derechos y libertades de los sujetos, lo cual puede hacerse mediante una comunicación anterior al tratamiento o en el momento en que el chatbot es lanzado, solicitando al os usuarios que no comuniquen datos de categoría especial. Además, se puede instalar un sistema de eliminación de datos, dado que la conservación de aquellos que son sensibles no es necesaria.
Las conversaciones con un chatbot no deben emplearse para tomar decisiones que afecten a los individuos.
Independientemente de la naturaleza de la conversación con un chatbot, una decisión importante que afecte al individuo precisa de intervención humana. Una conversación con un chatbot sin ningún tipo de intervención humana no puede por sí misma conducir a decisiones importantes para la persona afectada. Esto incluye el rechazo de la solicitud de un crédito online, la aplicación de tarifas más altas o la imposibilidad de postularse a un puesto. Las conversaciones con los chatbots, sin embargo, pueden formar parte de un proceso más largo que incluya intervención humana significativa.
El artículo 22 del RGPD prohíbe la toma automatizada de decisiones cuando haya ramificaciones legales que afecten a un individuo de manera significativa. Existen algunas excepciones que incluyen casos en los que la persona ha otorgado su consentimiento expreso, así como cuando dicha toma de decisiones es necesaria para un contrato entre el usuario y el responsable. En cualquier caso, el sujetos deberá contar con intervención humana, lo cual un chatbot no puede ofrecer.
