De acuerdo con Wikipedia[1], los chatbots o bots conversacionales son aplicaciones de software que simulan mantener una conversación con una persona para brindarle respuestas a preguntas frecuentemente realizadas; si su empresa utiliza estas herramientas como parte de sus estrategias de atención al cliente, fidelización, marketing, etc., es casi seguro que se vea obligada a procesar datos personales y como resultado de lo anterior a cumplir con la Ley Estatutaria 1581 de Protección de Datos Personales, “la LEPDP”; a continuación encontrará algunos aspectos a tener en cuenta para asegurarse de que su chatbot y por ende su empresa como responsable del tratamiento de datos cumplan con la LEPDP.
Foto de Tecnología creado por rawpixel.com - www.freepik.es
Pilas con las cookies
EL uso de cookies (archivos que se instalan en los equipos o dispositivos de las personas para recopilar información) deja rastros que combinados con identificadores únicos como las huellas digitales de nuestros dispositivos (direcciones ip, modelo de navegador, sistema operativo, procesador, etc.), píxeles de seguimiento y otros datos, pueden generar perfiles de una persona e identificarla; es decir, las cookies encajan en la definición de dato personal de la LEPDP[2].
Para la autoridad francesa de datos personales, "la CNIL"[3], existen dos posibilidades técnicas para operar un chatbot:
El responsable quiere instalar una cookie en nuestro navegador y debido a que las cookies pueden considerarse un dato personal, entonces deberá solicitar autorización para el tratamiento de los datos.
La cookie solo se instala cuando el usuario activa el chatbot (por ejemplo usted da clic al bot y empieza a escribir), para la CNIL, “la instalación de la cookie es necesaria para la prestación de un servicio de comunicación online a petición expresa del usuario y por tanto no requiere la obtención del consentimiento del usuario“; la anterior excepción se encuentra en la Directiva 2002/58/CE.
Lo aplicable en Europa no necesariamente lo sea en Colombia; nuestro régimen general de protección de datos se basa en el consentimiento, por esta razón, si una empresa colombiana opera un chatbot que cumpla con las posibilidades técnicas antes mencionadas, lo recomendable sería que solicitara autorización para el tratamiento, tal como veremos a continuación.
El consentimiento es el “rey”
En la práctica he podido evidenciar como muchas empresas responsables del tratamiento, incorporan en sus chatbots avisos de privacidad para obtener autorización para el uso de datos; al respecto la autoridad de protección de datos colombiana recientemente precisó que este tipo de comunicaciones no suple la autorización que debe otorgar el/la titular de información; igualmente para la autoridad esta comunicación no demuestra el conocimiento de las finalidades y medios por los cuales se procesarán los datos personales. Ver resolución 59001 de 2020.
Para bien o para mal, el régimen general de protección de datos personales colombiano se basa en el consentimiento de los titulares de información; consentimiento que debe ser previo (antes que los datos se incorporen en la base de datos o archivo), expreso (el silencio o la inacción no pueden interpretarse como aceptación) e informado (la persona debe ser consciente de los efectos de su autorización).
Conforme con lo mencionado en los párrafos anteriores, es recomendable que al iniciar la conversación solicite autorización a los usuarios del chat para tratar sus datos personales; recuerde que como responsable del tratamiento deberá informar de forma sencilla y comprensible a los titulares de información su identificación, dirección física o electrónica, teléfono, el cómo y por qué usará los datos, el carácter facultativo de la respuesta a preguntas sobre datos sensibles, derechos que asisten a los titulares, canales de atención y la ubicación de la política de tratamiento; igualmente deberá conservar la autorización para efectos cronológicos y probatorios.
El proveedor del servicio
Si para el desarrollo del chatbot la empresa responsable del tratamiento contrata a un tercero, es recomendable confirmar si este tiene o no la calidad de encargado. Si el proveedor, a parte de desarrollar el software (preste atención igualmente a todo lo relacionado con la propiedad intelectual involucrada), trata de alguna forma (tenga presente que el almacenamiento también es un tratamiento) la información generada en el chat, este tendrá la calidad de encargado, razón por la cual sería recomendable regular lo relativo al procesamiento de datos a través de un contrato de encargo de tratamiento; contrato que como mínimo debería contemplar lo siguiente:
La obligación del encargado de procesar la información objeto de encargo bajo la política de tratamiento de datos del responsable.
Las instrucciones por escrito del responsable respecto el encargo realizado; esto es necesario para identificar de forma clara los tratamientos y finalidades que aplicará el encargado.
El deber de confidencialidad respecto del tratamiento de los datos personales, el cual es indefinido; fijar términos para la reserva de la información es contrario a la LEPDP.
Las medidas de seguridad que deberá aplicar el encargado del tratamiento.
Ubicación de los servidores con el fin de verificar si se encuentran en un país que cuente con nivel adecuado de protección de datos declarado por la Superintendencia de Industria y Comercio como autoridad de protección de datos colombiana.
Las condiciones de subcontratación ya que generalmente el procesamiento de los datos se realiza a través de un subencargado (seguramente alguna bigtech).
El encargado debe respetar los derechos de los titulares de información personal.
La colaboración por parte del encargado respecto las obligaciones del responsable; el principio de seguridad de los datos de la LEPDP obliga tanto a responsables como encargos a implementar las medidas (técnicas, humanas y administrativas) que sean necesarias para brindar seguridad a los registros y así, evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento
El reporte inmediato de los incidentes de seguridad que afecten la integridad, disponibilidad o confidencialidad de los datos objeto de encargo.
El destino final de los datos.
Por último pero no menos importante, evite utilizar chatbots para tomar decisiones que afecten a los titulares de información personal.
Fuente: Linkedin
No hay comentarios:
Publicar un comentario