Cómo crear un chatbot compatible con la GDPR

Hemos visto en los últimos años muchas publicaciones sobre chatbots donde se han debatido diferentes perspectivas: la tecnológica, la de negocio y la de gestión. Todo este conocimiento acumulado permite a cualquier empresa o individuo desarrollar sus propios chatbots o contratar a alguien para que lo haga y seguidamente publicarlo en uno o varios de los canales habituales.

Para uso particular o para realizar una demo o una prueba piloto reducida, este modus operandi está bien, pero para uso productivo de un chatbot con muchos usuarios, mucho volumen o muchos contextos diferentes habrá que pensar en más temas.

Uno de estos temas es la privacidad y protección de los datos personales captados, gestionados y almacenados por el chatbot que regula la LOPD (Ley Orgánica de Protección de Datos) y que pronto estará respaldado por la GDPR (General Data Protection Regulation) o RGPD (Regulación General Protección de Datos), la norma europea que regula la protección y privacidad.

La nueva regulación de la GDPR

la GDPR es la nueva regulación de la protección y privacidad de datos personales a nivel europeo que tiene en cuenta los avances tecnológicos y su penetración en las sociedades.

Recientemente la GDPR ha levantado mucho interés entre los profesionales, tanto de IT, como de Marketing y de RRHH por dos motivos principales:

• el 25 de Mayo de 2018 entrará en vigor la normativa en todos los países miembros de la Comunidad Europea y queda muy poco tiempo para cumplirla.
• es una norma cuyo incumplimiento acarrea sanciones muy significativas, 10M€ para infracciones leves y 20 M€ o 4% de la facturación mundial para infracciones graves.

La Comunidad Europea da con la GDPR una señal muy clara de la importancia que tiene el uso y la gestión adecuada de los datos personales para nuestra sociedad y define un marco claro a seguir por todos:

• Consentimiento: Los datos personales pertenecen a una persona que debe dar su consentimiento a una organización para que esta pueda utilizar esta información.
• Derecho: Las personas cuyos datos se están utilizando, sea con o sin consentimiento, tienen el derecho de saber qué uso va a hacer una organización de sus datos. Incluso puede pedir que esta organización borre los datos o una parte de los datos.
• Responsabilidad: La organización que custodia los datos personales tiene la obligación de realizar una gestión responsable, transparente y auditable de la gestión realizada.
• Supervisión: El estado impone el cumplimiento de la ley, sanciona en casos de infracción y busca acuerdos con otras naciones.

El ritmo de la innovación versus las leyes de protección de datos

Los chatbots y la GDPR son resultados del mismo fenómeno que tiene su origen en la aceleración del ritmo de innovación que hemos presenciado en los últimos 40 años que ha creado Internet, smartphones, banda ancha, wifi, bluetooth, cosas conectadas, inteligencia artificial, sensorización, miniaturización, materiales inteligentes…

Se trata de la auténtica transformación digital que ha hecho del mundo un lugar muy distinto a lo que era antes. Dicho esto, no todo ha cambiado. Mientras que la tecnología evoluciona de forma exponencial, las leyes y las normas lo han hecho a un ritmo muy inferior. Esto ha provocado un desequilibrio entre lo que la tecnología permite hacer, lo que la ley había previsto y lo que se pretende regular con la GDPR.

Los chatbots utilizan algunos de estos elementos innovadores para crear un canal de comunicación directo, personalizado, disponible e integral a disposición de los usuarios de este canal, sean clientes o empleados.

La experiencia del usuario con el chatbot es similar a la experiencia con un operador humano. A la vez, el chatbot tiene unas capacidades específicas que el operador humano no tiene y algunas de ellas son desconocidos por el usuario final:

• El chatbot no olvida y tiene memoria ilimitada.
• El chatbot puede tener acceso a toda la información sobre el cliente tanto dentro como fuera de la empresa.
• El chatbot sabe leer y calcular más rápido que un humano.
• El chatbot puede relacionar en tiempo real todas las conversaciones que se han realizado con todos los usuarios.

Para la GDPR el chatbot no es otra cosa que un programa informático cuya función es captar, procesar y almacenar datos personales. Por tanto, la GDPR persigue asegurar que el programa informático “chatbot” funcione acorde a ley en lo que corresponde a los datos personales.

Un chatbot compatible con GDPR

Como buena práctica, empezamos con definir los objetivos que debe cubrir el chatbot compatible con la GDPR:

- Al usuario:

• Informar sobre la política de privacidad del chatbot muy similar a lo que debería hacer un operador en un Call-Center.
• Pedir al usuario el consentimiento de cesión de datos y aprobación de la política de privacidad.
• Informar al usuario de sus derechos y ejecutar los derechos que el usuario le pida.

• Informar en formato auditable que se realizado la información sobre la política de seguridad.
• Recuperar el consentimiento realizado por el usuario en formato auditable.
• Informar sobre quién ha accedido, cuándo y cómo a la información almacenada en formato auditable.
• Informar sobre intentos ilícitos de acceso a la información disponible.
• Informar sobre la ejecución de los derechos y su resultado por parte del usuario.

El reto del chatbot compatible con la GDPR es conseguir los objetivos marcados manteniendo la usabilidad y característica del canal y esquivando las limitaciones que puede tener la plataforma tecnológica utilizada:

• Modelar un diálogo claro y comprensible con el usuario.
• Buscar equilibrio entre elementos conversacionales y lectura de documentos.
• Discriminar entre datos personales normales y datos personales de protección específica.
• Almacenar consentimiento del usuario en formato auditable.
• Almacenar histórica conversacional acorde al consentimiento dado por el usuario (anonimizar información sin consentimiento).
• Traspasar a otros sistemas solamente la información con consentimiento.
• Almacenar histórico de ejecución de derechos.
• Documentar y redirigir peticiones GDPR referente a datos no manejados por el Chatbot.
• Ofrecer interfaz de programación (API) para poder consultar la información auditable desde otra aplicación.
• Exportar fichero requerido por la AEPD.

En resumen, un chatbot que consigue los objetivos indicados y que sigue las pautas definidas debe superar todas las pruebas conocidas por la AEPD y puede servir como ejemplo para preparar todos los demás sistemas con el fin de simplifica la gestión operativa del cumplimiento de la GDPR.