^{Alejandro Negro, consejero, y Pablo Tena, asociado
grupo.alimentacion@cuatrecasas.com}

En los últimos meses el uso de chatbots basados en Inteligencia Artificial (IA) se ha expandido en multitud de sectores y cada vez son más las empresas que recurren a este tipo de tecnología para interactuar con clientes, potenciales clientes o proveedores. El sector agroalimentario español no es ajeno a este tipo de prácticas y actualmente grandes empresas del sector han implementado chatbots para, por ejemplo, proporcionar atención al cliente las 24 horas al día, dar respuesta inmediata a clientes o potenciales clientes simultáneamente, así como gestionar pedidos de forma autónoma.

La rapidez en la gestión, la automatización de tareas y el correspondiente ahorro de costes, entre otras ventajas, convierten a los chatbots basados en IA en una forma de comunicación y gestión interna muy eficiente para todas las empresas. No obstante, las ventajas que ofrecen no deben enmascarar los riesgos que presentan. En este sentido, la Autoridad Neerlandesa de Protección de Datos (Autoriteit Persoonsgegevens) ha alertado recientemente de que la de protección de datos personales y, en concreto, en relación con la confidencialidad de los datos o filtración de secretos empresariales.

Debe señalarse que la mayoría de chatbots permiten que las empresas almacenen todos los datos recibidos y éstos acaban formando parte los servidores y bases de datos de las empresas cuyos chatbots están siendo utilizados. Esto, en palabras de la Autoridad Neerlandesa de Protección de Datos, conlleva que en muchas ocasiones la persona que introdujo los datos no sea conocedora del uso que se darán a los datos.

En este contexto, el pasado mes de agosto de 2024 la Autoridad Neerlandesa de Protección de Datos publicó un interesante reporte sobre las numerosas notificaciones de brecha de seguridad originadas por empleados que compartieron datos personales de usuarios con chatbots, otorgando así a las empresas proveedoras de estos servicios acceso no autorizado a datos personales tales como nombres y apellidos, documentos nacionales de identidad, domicilios, datos de contacto, datos bancarios o datos médicos.

Por lo expuesto, tanto si una empresa opta por implementar chatbots o bien permite que sus empleados usen chatbots de terceras empresas, resulta esencial implementar una serie de medidas:

· Establecer normas corporativas que regulen el uso que los empleados pueden hacer de chatbots de terceros. En el supuesto de que se permita la utilización de estas herramientas, las empresas deben definir de manera precisa qué tipos de datos pueden ser introducidos en los chatbots y cuáles deben excluirse por su carácter confidencial.

· En caso de detectar un mal uso por parte de los empleados de la información y documentación corporativa (p. ej. un empleado extrae información confidencial para insertarla en un chatbot), la empresa debe tener implementado un procedimiento interno de actuación y evitar que se produzca una brecha de seguridad.

· A nivel interno, la empresa desarrolladora de chatbots debe permitir que los sistemas sean capaces de limitar la información de entrada (filtrando la información esencial para la prestación del servicio) o, en su defecto, permita la supresión posterior de información no necesaria.

· Valorar cuál es la base de legitimación para el tratamiento de datos: si se cuenta con el consentimiento del usuario, si el tratamiento es necesario para la ejecución de un contrato o precontrato, si el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del interesado, para el cumplimiento de una misión realizada en interés público, o para la satisfacción de intereses legítimos.

· Las empresas que integren chatbots para la prestación de sus servicios deben prestar especial atención a los principios del tratamiento, a fin de asegurar que los datos tratados sean necesarios, confidenciales, se conserven por un plazo prudencial para la finalidad para la que fueron recabados, y se haya informado a los interesados de este tratamiento.

En relación con este último punto, la Agencia Española de Protección de Datos publicó el año pasado una serie de recomendaciones que toda empresa debería seguir de forma previa a la implementación de un chatbot, de las cuales resaltamos las siguientes:

· Información y transparencia: las empresas deben disponer de una política de privacidad que informe sobre el tratamiento de datos llevados a cabo, así como de la posible cesión a terceros.

· Ejercicio de derechos de protección de datos: implementar un procedimiento que permita a los interesados ejercer sus derechos, incluso a través de los chatbots. De igual forma, si se permite el uso de chatbots de terceros a nivel corporativo, cuando un tercero ejerza el derecho de acceso, se deberá informar sobre los chatbots de terceros utilizados como sistemas de tratamiento.

En conclusión, aunque los chatbots con IA ofrecen importantes beneficios, su uso conlleva riesgos desde un punto de protección de datos y seguridad de la información. Por ello, es esencial que las empresas implementen medidas legales y técnicas adecuadas para garantizar el uso responsable de estos sistemas.