Alejandro Morales Cáceres

Abogado Asociado en el Estudio Torres y Torres Lara

22 de Noviembre del 2018

Medidas de Protección de Datos Personales aplicado a los Chatbot

Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de información o que lleve a cabo una acción. En otras palabras, es capaz de emular a los seres humanos, respondiendo a distintas personas en plataformas de chat como Facebook. Esta es una tecnología que permite a las compañías interactuar con sus clientes a través de estos “bots”.

Uno de los Chatbots que fue de los primeros en ser implementado en la Banca, fue Arturito del BCP. Tras casi dos años, son 109 mil los usuarios que se han registrado para charlar con el bot, con un tiempo promedio de conversación de seis minutos por cliente, conforme a El Comercio. La implementación de esta tecnología se ha venido incorporando al sector financiero con mucha fuerza creando nuevos canales de contacto con los usuarios, acortando el tiempo de respuesta.

Sin embargo, esta tecnología almacena información de carácter personal. Por tanto, si una compañía la utiliza como parte de sus estrategias de ventas y marketing, deberá adecuar sus procesos a fin de que éstos sean compatibles con la normativa de protección de datos personales. Para ello, deberán tener en cuenta lo siguiente:

1.Respetar el principio de información.- Un usuario, quien es titular de datos personales, tiene el derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga (en especial en cuanto a los datos sensibles); la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello, conforme al primer párrafo del artículo 18° de la Ley de Protección de Datos Personales.

Asimismo, el segundo párrafo del artículo en mención establece que, si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones relacionadas al derecho de información pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.

Por consiguiente, un Chatbot deberá informar a los usuarios sobre cómo es que su información será tratada. Para ello es necesario que el Chatbot antes de iniciar una conversación debería decir lo siguiente:

Estimado Usuario, antes de iniciar esta conversación a fin de salvaguardar su información le solicitamos lea detenidamente nuestra política de privacidad que se encuentra en https://www.sitiowebdelacompañia.com  ¿Acepta la Política de Privacidad? (Debe existir un botón en donde el usuario pueda hacer un click sobre la opción “Acepto”) Cuénteme, ¿qué puedo hacer hoy por usted?”.

2. Respetar el principio de proporcionalidad. – Este principio, consagrado en el artículo 7° de la Ley de Protección de Datos Personales, consagra que todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que éstos hubiesen sido recopilados. Por tanto, la empresa que decida implementar esta nueva tecnología deberá revisar sus registros y ver qué tipo de información ha sido almacenada en el “Backend” del software y eliminar aquella información que no se encuentra detallada en las políticas de privacidad, puesto que de lo contrario estarían infringiendo lo dispuesto por la normativa, excediendo a la finalidad detallada.

3. Se recomienda encriptar las conversaciones. – Como no sabemos qué es lo que el usuario va a decir o qué datos va a proporcionar, se recomienda que la información que recopile el Chatbot se encuentre encriptada a fin de cumplir con las medidas de seguridad. Es posible que un usuario en dicha conversación proporcione información considerada como sensible. En consecuencia, dicha encriptación será importante a fin de garantizar la seguridad de los datos personales y así evitar cualquier tratamiento contrario a la normativa, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

4. El Chatbot debe atender los derechos de acceso[1], rectificación[2], cancelación[3] y oposición[4] (derechos ARCO). – No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales es considerado como una falta grave, sancionable con multas que fluctúan entre las 5 a 50 UITs. En tal sentido, es importante que el Chatbot se encuentre programado de tal manera que cuando un usuario ejerza alguno de estos derechos, éste pueda cumplir con lo solicitado de forma ordenada. En Europa, por ejemplo, el Chatbot deberá enviar un correo con aquella información que tiene registrada y su tratamiento. Asimismo, informan sobre aquella información que han eliminado. En caso esto no se pueda automatizar, lo que podría hacer el Chatbot cuando algún usuario quiera ejercer sus derechos ARCO sería proporcionar la siguiente respuesta:

“Estimado (Nombre del Usuario), en caso quiera ejercer su derecho de acceso, rectificación, corrección u oposición (Derechos ARCO), por favor descargue el Manual de Atención de Derechos Arco y el Formulario de Solicitud o en todo caso contáctese mediante el correo …. o llame al ……Nuestro personal los atenderá.

A modo de conclusión, antes de implementar una nueva tecnología como lo es la incorporación de Chatbots se debe tener en cuenta el “privacy by design”, principio que es recogido en el Reglamento General de Protección de Datos de la Unión Europea el cual se puede aplicar a nuestro ordenamiento, que determina que antes de poner en marcha un producto o servicio se debe tener en cuenta el impacto de este, respecto a la privacidad de las personas. Esto supone una reflexión con carácter preventivo en relación a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario.

[1] El derecho de acceso significa que toda persona tiene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.

[2] El derecho de rectificación (actualización o inclusión) es el derecho del titular de datos personales a que se modifiquen los datos que resulten ser parcial o totalmente inexactos, incompletos, erróneos o falsos.

[3] El titular de los datos personales podrá solicitar la supresión o cancelación de sus datos personales de un banco de datos personales cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hayan sido recopilados; hubiere vencido el plazo establecido para su tratamiento; se ha revocado su consentimiento para el tratamiento y en los demás casos en los que no están siendo tratados conforme a la ley y al reglamento.

[4] Este derecho implica que toda persona tiene la posibilidad de oponerse, por un motivo legítimo y fundado, referido a una situación personal concreta, a figurar en un banco de datos o al tratamiento de sus datos personales, siempre que por una ley no se disponga lo contrario.

Comentarios

MÁS DE ESTE AUTOR

Medidas de Protección de Datos Personales aplicado a los Chatbot

Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de...

El “Marketing Mix” en el mercado legal

Para Philip Kotler “el marketing es un proceso social y administrativo mediante el cual grupos e individuos obtienen lo que necesitan y desean a...

Redes Sociales y Paternidad

Hace no mucho tiempo atrás era común que los padres de familia mostraran las imágenes de sus hijos a través de fotografías o videos a sus...

El nuevo Reglamento General de Protección de Datos de la Unión Europea

El nuevo Reglamento General de Protección de Datos (RGPD) busca garantizar estándares de protección de datos personales elevados y adaptados a...

Caso Facebook: ¿Cómo tratan nuestros datos personales?

El pasado 10 de abril, el Congreso de los Estados Unidos interrogó a Mark Zuckerberg por la filtración masiva de datos personales a la empresa...

¿Los difuntos tienen derecho a la protección de datos personales?

El 19 de febrero del presente año, el reconocido periodista deportivo Daniel Peredo Mechola falleció a causa de un paro cardíaco. Este evento...

¿Se deben regular las criptomonedas en el Perú?

Desde la creación del Bitcoin en el año 2009, las criptomonedas no han dejado de crecer y han surgido multitud de monedas...

La regulación de la Inteligencia Artificial

Hace 75 años el escritor Iscaac Asimov formuló en su relato “El círculo vicioso” las “Tres Leyes de la Robótica”, las cuales tienen la...

¿Qué es el “Blockchain” y por qué es importante que un abogado esté al tanto?

En el año 2009, Satoshi Nakamoto creó el Bitcoin, una criptodivisa que tiene como “back end” al “Blockchain” o “cadena de bloques”,...

Beneficios tributarios para consumidores socialmente responsables

Las decisiones de consumo individuales tienen efectos públicos. Cuando un consumidor decide comprar únicamente determinados productos...

El Big Data y sus implicancias legales en la Protección de Datos Personales

No cabe duda de que nos encontramos en pleno auge de la era de la información, ya que desde el inicio de la civilización hasta el 2013, se...

¿Cuál es el impacto jurídico que tiene el uso de redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales?

El auge de la tecnología y la globalización ha llevado a preguntarnos cuál es el impacto jurídico que tiene el uso de las redes sociales en lo...

Aportes Societarios en la Era Digital: ¿Se puede aportar “Bitcoins” a una Sociedad Anónima?

Imagínense que un grupo de accionistas en una Sociedad Anónima decidan incrementar su capital aportando “Bitcoins”. ¿Esto es legalmente...

El abuso de derecho en el Derecho Societario Peruano

Montesquieu alguna vez dijo: “La libertad es el derecho a hacer lo que las leyes permiten. Si un ciudadano tuviera derecho a hacer lo que éstas...

Los problemas de agencia y las soluciones legales

En el ámbito económico, se habla de una relación principal-agente cuando un individuo (el Principal) encarga a un segundo (el Agente) la...

Justicia: Las dos caras de Jano

Nelson Ramírez Jiménez

Abogado por la Universidad Federico Villareal

Profesor de Derecho Civil y Derecho Procesal Civil en la Universidad de...