El Banco de Budapest ha sido multado por la autoridad de control de Hungría por tratamiento ilegítimo de datos personales derivado del uso de sistemas de IA sin la suficiente transparencia. 

El Banco de Budapest ha sido multado recientemente por la autoridad de control de Hungría por realizar análisis automatizados de la satisfacción de los consumidores mediante el uso de IA en las llamadas de atención al cliente. Este tratamiento no se explicaba de manera clara a los interesados y derivó en una investigación sobre las acciones del responsable y sus prácticas de tratamiento de datos, en concreto en relación al análisis automatizado. La información obtenida en la investigación supuso la imposición de una multa de aproximadamente 650.000 €.

El nivel de satisfacción de los clientes se evaluaba a través de llamadas grabadas mediante tecnología de IA, sin informar a los interesados del tratamiento. 

El responsable de los datos grababa todas las llamadas de atención al cliente con el objetivo de analizarlas de manera diaria. A través de tecnología IA, se identificaban ciertas palabras clave para determinar el estado emocional del cliente en cada grabación. El resultado del análisis se almacenaba, se vinculaba a la llamada telefónica y se guardaba en el sistema durante 45 días.  El objetivo de este sistema de IA es recopilar una lista de clientes ordenada por su probabilidad de insatisfacción conforme a la grabación del audio obtenido durante la llamada. Según estos datos, se espera que determinados empleados llamen a los clientes en un esfuerzo de evaluar las razones de su insatisfacción. Los sujetos no eran informados de este tratamiento, lo que hacía imposible que ejercitasen su derecho de oposición. 

Los análisis indicaban que el tratamiento suponía un alto riesgo para los sujetos. 

Aunque el responsable del tratamiento realizó una evaluación de impacto y una evaluación de interés legítimo que confirmaron que el tratamiento implicaba un alto riesgo para los derechos de los interesados, no se llevó a cabo ninguna acción para mitigar los riesgos. Ninguno de estos análisis incluía una plan para reducir el riesgo y las medidas que se habían identificado sobre el papel eran insuficientes o inexistentes. Debido a que es difícil utilizar IA de manera completamente transparente y segura y a que se pueden derivar resultados sesgados, en estos casos se precisan medidas de seguridad adicionales. 

La autoridad de control de Hungría requirió al responsable adaptar sus sistemas y tratamientos para cumplir con la normativa, así como el pago de una multa administrativa. 

La autoridad de control de Hungría consideró que se trataba de un incumplimiento grave de varios artículos del RGPD, y también consideró el período de tiempo por el cual dichas infracciones persistieron. En consecuencia, requirió al responsable que cesase el tratamiento del estado emocional de sus clientes y que solo continuase con el mismo si podía hacerlo en cumplimiento con el RGPD. Además de tener que adaptar sus sistemas y prácticas, se le impuso una multa administrative de aproximadamente 650.000 €.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.