Los agentes conversacionales (chatbots) basados en inteligencia artificial (IA) se han convertido en herramientas cada vez más presentes en nuestra vida cotidiana y son utilizados por un gran número de empresas para gestionar las relaciones con sus clientes, especialmente en los servicios postventa.
Sin embargo, su uso conlleva importantes implicaciones en materia de privacidad y protección de datos, especialmente cuando se recopila, procesa y almacena información personal. Los chatbots están destinados a ofrecer una amplia variedad de servicios tanto a usuarios, como a las compañías que los utilizan para, entre otras acciones, ofrecer, tramitar y responder de forma ágil y sencilla a cualquier tipo de petición, reclamación o solicitud promovida por el usuario. Para ello, necesitarán obtener información de los usuarios con los que interactúen, en aras de dar una solución óptima a las cuestiones que se les planteen. Los datos recabados por parte del chatbot pueden ser de muy diversa índole y tipología, conllevando en la gran mayoría de ocasiones que dichos datos tengan la consideración de datos de carácter personal.
¿Pero que entendemos por Chatbot?
El concepto de chatbot no es nuevo. El primero, llamado Eliza, fue desarrollado en los años 60 en el MIT. Simulaba una conversación sencilla mediante frases predefinidas que respondían a palabras clave. Hoy, los chatbots han evolucionado hasta convertirse en herramientas sofisticadas, capaces de aprender y adaptarse mediante IA, ofreciendo respuestas más naturales e incluso anticipándose a las necesidades del usuario.
IA al servicio de los derechos: Sistemas de respuesta automatizada a solicitudes de ejercicio de derechos
En aquellas empresas cuyo principal negocio se basa en el tratamiento de datos de los interesados, las solicitudes de ejercicio de derechos pueden llegar a ser centenares o miles al día. En estos casos los sistemas de inteligencia artificial pueden aportar un valor adicional, asumiendo tareas que agilicen la gestión de las solicitudes y el cumplimiento de esta obligación a los responsables del tratamiento, que no tendrían que dedicar una cantidad de recursos desproporcionada para cumplir con los plazos y requisitos definidos en el RGPD.
Para el trámite de este tipo de solicitudes, se deberán tratar datos identificativos y de contacto, pero también pueden ser necesarios datos que permitan verificar la identidad del interesado con el fin de minimizar el riesgo de que un tercero suplante su identidad y ejercite un derecho sin la autorización del titular de los datos.
Sin embargo, si el sistema de inteligencia artificial no funciona de forma adecuada, muchas solicitudes pueden quedar desatendidas, pudiendo incurrir la organización en un incumplimiento muy grave, motivo por el que podría llegar a ser sancionada por la autoridad de control competente.
Pues bien, concretamente la Agencia Española de Protección de Datos (AEPD) ilustra los riesgos de desplegar estos sistemas automatizados para gestionar el ejercicio de derechos.
El caso analizado por la AEPD
Una empresa enviaba comunicaciones comerciales mediante mensajería instantánea, empleando un sistema automatizado basado en IA. Los mensajes incluían un enlace a encuestas promocionales y ofrecían la opción de enviar la palabra “BAJA” para dejar de recibir mensajes.
Sin embargo, el destinatario respondió reiteradamente con textos en los que dejaba clara su oposición al tratamiento de sus datos, aludiendo a su inscripción en la Lista Robinson y a la falta de consentimiento previo. A pesar de ello, el chatbot continuó enviando mensajes publicitarios, ya que no estaba programado para interpretar esas respuestas como un ejercicio de derechos.
La respuesta automatizada del sistema fue una fórmula genérica del tipo: “Lamento mucho si sientes que estamos incumpliendo la LOPD. ¿Puedes proporcionar más detalles sobre tu preocupación?”, lo que evidencia que el sistema no solo no reconocía el derecho ejercido, sino que desviaba la atención del problema sin canalizar la petición adecuadamente.
Los mensajes comerciales enviados incluían un procedimiento claro y gratuito para oponerse al tratamiento de datos personales con fines promocionales, basado en la remisión de la palabra BAJA como respuesta.
Si bien, la persona contestaba a esos mensajes sin incluir la palabra “BAJA” en ellos, y el sistema de inteligencia artificial no comprendía la respuesta, en tanto que no estaba diseñado para ello.
La AEPD destaca así los siguientes puntos clave:
- Existía un procedimiento formal y gratuito para darse de baja (palabra “BAJA”), pero la IA no entendía variantes expresivas de oposición.
- No se exige legalmente que el sistema de IA entienda todas las formulaciones humanas, pero sí se subraya la conveniencia de que existan mecanismos complementarios eficaces y comprensibles.
- El artículo 50 del Reglamento Europeo de Inteligencia Artificial, que será exigible a partir de agosto de 2026, obligará a informar claramente cuando se interactúa con una IA. La AEPD recomienda anticiparse ya a este requerimiento . Para más información sobre el nuevo Reglamento de Inteligencia Artificial pincha aquí:
- A la vista de la conversación transcrita en el caso concreto, resultaba evidente que se trataba de un sistema de chatbot, por lo que la persona podía haber escrito simplemente la palabra “BAJA” o, en cualquier caso, acudido a un agente humano para dejar de recibir comunicaciones.
- En este caso, existían canales humanos alternativos para ejercer derechos (correo electrónico, atención web), por lo que la Agencia no consideró vulnerado el RGPD.
Recientemente la autoridad francesa de protección de datos (CNIL) ha publicado diversas recomendaciones en cuanto al uso de los chatbots. A continuación, por su relación con lo expuesto, extraemos algunos puntos clave a tener en cuenta:
- Plazos de conservación: Los datos deberán conservarse durante el periodo necesario para alcanzar la finalidad del tratamiento , definida por el responsable del tratamiento. En otras palabras, será necesario distinguir entre los casos en los que los datos deben eliminarse tan pronto como finaliza la conversación (como en el caso de un chatbot que ayuda con una compra) y los casos en los que el responsable del tratamiento de datos puede conservar legítimamente estos datos durante un período más largo (por ejemplo, para una queja sobre un producto comprado).
- Toma de decisiones automatizada: Un chatbot no puede, por sí solo, tomar decisiones significativas para una persona (como denegar un préstamo). Debe existir intervención humana. En efecto, la toma de decisiones automatizada , cuando tenga consecuencias jurídicas o afecte significativamente, y de forma similar, a una persona, está prohibida por el artículo 22 del RGPD , salvo que se hayan establecido medidas para salvaguardar los derechos, libertades e intereses del interesado (al menos un medio que permita al interesado obtener intervención humana, expresar su punto de vista y impugnar la decisión) y salvo las siguientes excepciones:
- la persona ha dado su consentimiento explícito;
- la decisión es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento;
- la decisión está autorizada por el Derecho de la Unión Europea o el Derecho de un Estado miembro.
- Datos sensibles: se debe prestar especial atención a los datos sensibles (por ejemplo, información relativa a la salud, opiniones políticas, supuesta afiliación sindical o religiosa), cuyo tratamiento está en principio prohibido por el RGPD ( artículo 9 del RGPD ).
Estos datos pueden procesarse en dos situaciones.
1.-Si la recogida es previsible y el tratamiento es pertinente
Por ejemplo, con un chatbot presta un servicio de apoyo a un servicio de salud, se pueden recopilar dichos datos. En estos supuestos es necesario garantizar que el tratamiento de datos se encuentre dentro de una de las excepciones previstas en el artículo 9.2 del RGPD. Esto puede ser, por ejemplo, y según el caso, el consentimiento explícito del usuario o que el tratamiento sea necesario por una razón de interés público.
2. -Si la recogida de datos sensibles no es predecible
Dado que los chatbots suelen ofrecer un modo de escritura libre, es posible que se procesen datos sensibles proporcionados directamente por el usuario, sin que el responsable del tratamiento de datos lo haya previsto. En este caso, las organizaciones no están obligadas a obtener el consentimiento previo de los usuarios. Sin embargo, deben implementar mecanismos para minimizar los riesgos para los derechos y libertades de las personas:
- comunicando, antes de cualquier uso del chatbot, una advertencia invitando a abstenerse de comunicar datos sensibles;
- mediante el establecimiento de un sistema de expurgo automático de estos datos no necesarios;
Por su parte la AEPD también ha emitido una serie de recomendaciones generales en su utilización:
Recomendaciones para responsables del tratamiento:
Las organizaciones que incorporen chatbots deben tener en cuenta lo siguiente:
- Evaluar la capacidad del sistema para gestionar solicitudes de derechos. Si no es viable, ofrecer canales humanos visibles y accesibles.
- Informar de forma clara cuando se interactúa con una IA.
- Supervisar la calidad de las respuestas y activar alertas en casos complejos o cuando se acerquen los plazos legales.
- Realizar una Evaluación de Impacto de Protección de Datos (EIPD) si se tratan datos sensibles o se recopilan datos a gran escala.
Recomendaciones para los usuarios:
Antes de interactuar con un chatbot, conviene:
- Verificar si hay una política de privacidad clara, con identificación del responsable.
- Confirmar si es posible ejercer los derechos de forma sencilla.
- Evitar compartir datos sensibles salvo que el entorno esté controlado y garantice un tratamiento legítimo.
- Desconfiar de sistemas que soliciten información innecesaria o que transfieran datos fuera del Espacio Económico Europeo sin garantías adecuadas.
A modo de Conclusión: automatizar sin deshumanizar
Los chatbots pueden ser herramientas eficaces en la gestión del ejercicio de derechos, siempre que se implementen con criterios de responsabilidad y respeto al marco normativo.
Es imprescindible asegurar que estos sistemas comprenden adecuadamente las solicitudes de los usuarios y canalizan correctamente sus derechos. La no atención o atención defectuosa del ejercicio de derechos por parte del responsable del tratamiento se considera una infracción muy grave conforme al artículo 83.5.b) del Reglamento General de Protección de Datos (RGPD).
