El cumplimiento normativo para chatbots es algo totalmente obligatorio que mucha gente pasa por alto o no le da la importancia que se merece, algo que puede ser fatal para la empresa y sus responsables.
Si quieres mejorar la atención al cliente con chatbots tienes que tener muy en cuenta la normativa vigente para no tener problemas ni tener que pagar sanciones, las cuales pueden llegar a ser de una cantidad millonaria.
Así que en este artículo, vamos a analizar los principios básicos del cumplimiento normativo, y las leyes que afectan al uso de los chatbots de IA conversacional, para que puedas usar esta tecnología con todas las garantías legales.
Los principios básicos para el cumplimiento normativo al usar chatbots
Los chatbots para empresas funcionan bien cuando respetan la ley y los derechos de las personas, y para lograrlo conviene aplicar una serie de principios prácticos que cubren la privacidad, la transparencia, la seguridad y la responsabilidad.
El Reglamento General de Protección de Datos exige informar sobre la identidad del responsable, las finalidades del tratamiento y la base jurídica que lo ampara, lo cual en muchos casos será el consentimiento, pero también puede ser la ejecución de un contrato, o el interés legítimo tras una ponderación previa.
Una recomendación general es pedir información únicamente imprescindible para resolver la consulta y borrar datos cuando ya no sean necesarios. Esta práctica ayuda a cumplir la limitación de finalidad y reduce la superficie de riesgo si hay una filtración.
Por otra parte, la normativa europea sobre IA obliga a que los usuarios sepan que interactúan con una inteligencia artificial y no con una persona, y ese aviso debe ser claro antes de recoger datos sensibles, además de que esa transparencia permite que el diálogo sea más honesto y evita malentendidos.
Lo ideal es preparar mecanismos sencillos para que los usuarios soliciten el acceso, la rectificación, la supresión, o la portabilidad de sus datos, además de dejar claro cómo presentar reclamaciones y ofrecer un responsable de contacto.
Ten en cuenta que antes de utilizar los chatbots para recoger información de los clientes, hay que realizar una evaluación de impacto cuando exista un riesgo alto de violación de los derechos y libertades recogidos en la normativa vigente.
Por eso, es tan importante la seguridad técnica y la gestión de datos de terceros, así que aplica cifrado de extremo a extremo, controla los accesos con registros de auditoría y exige cláusulas contractuales a los proveedores que procesen datos que están bajo tu responsabilidad.
¿Qué leyes hay que tener en cuenta para el cumplimiento normativo en España y la Unión Europea al usar chatbots?
Si quieres crear el chatbot que tu empresa necesita y tu negocio tiene su residencia en España y en la Unión Europea hay que tener presentes varias normas que regulan el tratamiento de los datos, la transparencia del sistema y las posibles limitaciones sobre las decisiones automatizadas.
El punto de partida legal es el ya mencionado Reglamento General de Protección de Datos, que seguro que ya conoces, o que al menos ,te suena de algo, y que exige explicar qué datos se recogen, qué base legal sustenta el tratamiento y cómo pueden ejercer las personas sus derechos.
Para cuando un proceso automatizado produce efectos jurídicos, o consecuencias similares para una persona, este reglamento establece restricciones y derechos, por ejemplo, el derecho a no quedar sujeto a una decisión únicamente automática, y obliga a ofrecer salvaguardias como la intervención humana, o la posibilidad de recurrir.
A nivel español conviene tener en cuenta la Ley Orgánica de protección de datos, que complementa al reglamento europeo y adapta algunas medidas a la práctica nacional, siendo una ley que incorpora obligaciones sobre información al interesado, responsabilidades del responsable y del encargado, y el régimen sancionador que puede aplicarse en caso de incumplimiento.
De hecho, las obligaciones de transparencia sobre chatbots reciben una atención concreta por parte de la Agencia Española de Protección de Datos.
La AEPD ha publicado una serie de guías y de recursos para orientar sobre cómo informar a los usuarios cuando interactúan con asistentes conversacionales, qué medidas aplicar para minimizar riesgos y cómo adaptar los tratamientos con componentes de inteligencia artificial a la normativa vigente.
Además, el Reglamento Europeo sobre Inteligencia Artificial añade requisitos nuevos según el tipo de sistema, así que para chatbots que generan contenidos, conviene comprobar si el reglamento les aplica y qué plazos y requisitos deben cumplirse.
¿Puede un chatbot ser ilegal si no cumple con la normativa vigente? ¿Qué sanciones pueden imponerse?
La verdad es que sí. Un chatbot puede incumplir la normativa y, por tanto, considerarse ilegal si el servicio trata datos personales sin una base legal válida, no informa de forma clara sobre el tratamiento, o procesa datos sensibles sin las garantías exigidas por la ley.
Las consecuencias pueden ser económicas y administrativas, y de hecho, el reglamento europeo de protección de datos contempla multas elevadas que alcanzan hasta 20 millones de euros, o el 4 % del volumen de negocio global anual, aplicando la cifra que sea mayor.
Además de la multa, la autoridad de control valora la naturaleza y gravedad del incumplimiento, la duración, el número de afectados y si hubo negligencia o intención, lo que también influye en la cuantía final.
En España la normativa nacional tiene muy en cuenta el reglamento europeo y establece rangos sancionadores para distintos niveles de infracción, donde las infracciones consideradas graves, o muy graves, pueden conllevar multas que van desde decenas de miles de euros, hasta cifras que alcanzan las máximas previstas por el derecho de la Unión.
Para prácticas prohibidas, o incumplimientos de obligaciones concretas, según el Reglamento Europeo sobre Inteligencia Artificial, hay multas que pueden llegar hasta 35 millones de euros, o el 7 % de la facturación global anual, según la gravedad.
Además, la normativa añade herramientas de control y exige documentación técnica y de evaluación de riesgos en muchos casos, con lo que la falta de cumplimiento puede acarrear sanciones además de las ya previstas por la protección de datos.
Lo bueno es que todos estos problemas se pueden evitar, simplemente haciendo bien las cosas desde el principio y con la asesoría adecuada. Así que si quieres que te ayudemos a crear un chatbot que respete los derechos de tus clientes, contacta con nosotros.