El jueves pasado estuve en Autentia facilitando un taller de chatbots. Hablamos de qué son, cómo se usan, su UX y diseñamos varios chatbots.

Al final del taller hubo una pequeña discusión sobre el estado actual de la tecnología y su potencial y riesgos. Como casi siempre acabamos hablando de protección de datos.

Yo desarrollo bots para Facebook Messenger usando, generalmente, Chatfuel. Además uso plugins para mandar datos de las conversaciones a Google Sheets, Dialogflow… y tengo apps de Facebook instaladas con permisos que no controlo.

Me preocupa que estas apps tengan acceso a datos de mis usuarios. Datos personales, como su nombre, su sexo, su edad, su ubicación… que Facebook almacena y Chatfuel recibe y yo visualizo. Datos además como condiciones médicas que los usuarios consultaron al bot y que van unidas a datos que permiten identificarlos. Sé en qué empresas trabajan las personas que dijeron obscenidades y si tienen o no pareja. El elemento humano es siempre el más débil en la cadena de protección de datos y no nos engañemos: alguien en Facebook y Chatfuel tiene probablemente acceso a esta misma información.

En lo que respecta a la tecnología, si nos apoyamos en frameworks y herramientas en el desarrollo de nuestro bot (y en la mayoría de los casos usaremos alguna una herramienta o canal que tenga acceso a los logs de nuestro bot) sólo nos queda asegurarnos de que son proveedores seguros y leer los términos y condiciones con mucho detenimiento para asegurarnos de que trasladamos a nuestros usuarios finales cualquier dato relevante.

Hay además algunas medidas que podemos tomar para protegernos a nivel conversación si vamos a recoger datos sensibles o pensamos ganar dinero con ellos.

  • Redacta unos términos y condiciones y pide a tus usuarios que los acepten al iniciar la conversación con tu bot.
  • Añade una opción en tu bot para que los usuarios te pidan el borrado de sus datos personales, o asegúrate de tener una dirección clara de contacto que revises con regularidad.
  • Si tienes un backend en el que almacenas datos asegúrate de que es seguro y de que sus comunicaciones con los canales y herramientas que usas son seguras.
  • Si trabajas en equipo, es una buena practica que asignes a un miembro del equipo la responsabilidad de velar por el cuidado de los datos de los usuarios. Esta figura es popular en grandes empresas y se llama DPO por sus siglas del inglés Data Protection Officer.
  • Documenta los datos personales que recoges y su tratamiento. Clasifica los datos según su sensibilidad y según los grupos y servicios que tengan acceso a ellos.
  • Asegúrate de que todos los datos que incluyes en análisis están anonimizados antes de compartirlos. Hay diferentes maneras de hacer esto, si te parece interesante menciónalo en los comentarios y escribiré sobre esto.

Esta lista no es completa, pero puede ayudarte a empezar. Si vas a trabajar en un proyecto serio te recomiendo que contactes con un profesional. Hay cada vez más abogados especializados en estas cosas y agencias de seguridad de datos que trabajan por proyecto y te ayudarán a tenerlo todo en orden.

Pin It on Pinterest

Share This