Chatbots & GDPR


Todo el mundo habla sobre la GDPR últimamente. GDPR son las siglas de General Data Protection Regulation, la regulación general de protección de datos que la Unión Europea aprobó el 14 de Abril de 2016 y cuyo periodo de adaptación acaba el 25 de Mayo de 2018.

He consultado fuentes como la web de GDPR que la unión europea ha puesto a disposición del público o artículos de otros desarrolladores de chatbots en publicaciones como venture beat o chatbots magazine para escribir este artículo dedicado a la adaptación de los chatbots a la nueva regulación. Os recuerdo que antes de aplicar estos consejos u otros que veáis en Internet deberíais consultar con un abogado.

El objetivo de la GDPR es dar a los ciudadanos de la UE más control sobre sus datos personales y cómo los usan las empresas, y facilitar mecanismos para borrar o transferir los mismos a otras entidades.

A pesar de que ahora mismo todos vemos la GDPR casi con miedo no solo amplificará la gestión de datos personales dándonos una única ley y un sólo organismo regulador (comparado con los 28 que teníamos hasta ahora), un marco regulador más adaptado a nuestro tiempo y quizás incluso nuevas vías de negocio.

Aunque no viváis en la Unión Europea este tema es interesante también para vosotros si tenéis chatbots que hablan con usuarios en la EU, ya que las normas también os afectan.

Lo primero de todo es que entendáis de una forma sencilla las diferentes figuras de controladores y procesadores de datos. La mayoría de los creadores de chatbots somos controladores de datos, y trabajamos con procesadores de datos como, en mi caso, chatfuel, facebook, google… De acuerdo con la nueva GDPR es importante que listes todos estos procesadores y revises que sus condiciones de uso están alineadas con la GDPR.

La GDPR actualiza la definición de datos personales y datos sensibles. Se consideran datos personales los nombres, direcciones, emails, datos de ubicación, direcciones IP… y todo los datos relacionados con individuos identificados o identificables.

Estos datos personales son los que hacen que los chatbots puedan tener conversaciones 1-1 con nuestros usuarios y darles experiencias más personales. Nos permiten llamarles por su nombre, saber a qué hora enviarles notificaciones…

La GDPR no nos impide usarlos, pero establece una serie de normas que pretenden mejorar la transparencia de nuestro uso de los datos para los usuarios, que regula el almacenamiento, transmisión, procesamiento, modificación y eliminación de los datos dándoles más poder a los usuarios, y que exige la creación de una figura responsable de datos en todas las grandes empresas.

Transparencia

Para ser más transparente asegúrate de tener unos términos y condiciones claros y adaptados a la nueva GDPR. Añade un enlace en tu web y tu chatbot y envíaselo a tus usuarios actuales. Mejor aún, notifícales a través de tu chatbot! Debes pedir una aceptación explícita de esta política a todos tus nuevos usuarios. Es una buena idea tenerlos en el menú permanente de nuestros chatbots. La GDPR dice además que debe ser tan fácil dar los datos como revocar el acceso a ellos, y que siempre deberemos explicar el propósito del procesamiento de datos.

Seguridad

Guarda los datos personales por separado y encríptalos. Los datos personales son un problema en muchos casos, así que no los almacenes a no ser que sea imprescindible. ¿De verdad necesitas saber el nombre de tus usuarios una vez han terminado su conversación?

Derecho al olvido

Debes garantizar a tus usuarios que borrarás sus datos personales si ellos lo piden. Indica una dirección de correo electrónico en tus términos y condiciones o crea un intent en tu chatbot.

Derecho de acceso

Los usuarios son los dueños de los datos y tenemos que permitirles descargar una copia de todos los datos personales que tenemos. Como en el caso anterior puedes habilitar una dirección de correo electrónico o incluir esta funcionalidad en el flujo de conversación de tu chatbot o el menú permanente.

Encargado de protección de datos

La GDPR contempla la creación de un puesto de Encargado de Protección de Datos en en agentes públicos, empresas que procesan datos a gran escala y aquellas que realizan monitoreo sistemático de datos personales.  Este encargado debe auditar las actividades de procesamiento de datos y está obligado a reportar a las autoridades cualquier intento de acceso a los datos por partes no autorizadas.

¿Por dónde empiezo?

Hay una serie de preguntas que deberías estar haciéndote si tus chatbots aún no están adaptados a la GDPR.

1 ¿Soy un controlador de datos o un procesador de datos?
2 ¿Qué datos recojo?
3 ¿Dónde los almaceno?
4 ¿Es la plataforma que uso GDPR compliant?
5 ¿Pido consentimiento expreso para la recogida, almacenamiento y uso de datos personales?
6 ¿Les doy una manera de contactare para borrar sus datos o transferirlos a otro servicio?
7 ¿Estoy haciendo todo lo posible para mantener loss datos personales seguros, posiblemente encriptados, y en un formato que permita la exportación sencilla?

Hemos actualizado nuestros chatbots para adaptarlos a la nueva GDPR y os dejamos aquí un pantallazo de cómo lo hemos hecho para que os sirva de inspiración.

2018-05-22_1113