Protección de datos personales en chatbots

La preocupación por la protección de los datos personales de los usuarios de chatbots es un tema recurrente en charlas, talleres y sesiones de trabajo con clientes.

Como muchos creadores de chatbots y de otras aplicaciones, desarrollo productos para plataformas, como Facebook Messenger y usando, en muchos casos, herramientas como Dialogflow o Chatfuel. Además uso plugins para mandar datos de las conversaciones a Google Sheets, Dialogflow… y tengo apps de Facebook instaladas con permisos que no controlo. Mis usuarios llegan al chatbot a través de navegadores hechos por otras empresas, tienen teléfonos que las teleoperadoras utilizan para estudiar sus hábitos, y usan dispositivos que graban clips de audio aleatorios en su día a día.

Todo esto te puede sonar a ciencia ficción, pero es la realidad de nuestros días.

Me preocupa como usuaria pero también como creadora que estas apps tengan acceso a datos de mis usuarios. Datos personales, como su nombre, su sexo, su edad, su ubicación… que Facebook almacena y Chatfuel recibe y yo visualizo. Datos además como condiciones médicas que los usuarios consultaron al bot y que van unidas a datos que permiten identificarlos. Sé en qué empresas trabajan las personas que dijeron obscenidades y si tienen o no pareja. El elemento humano es siempre el más débil en la cadena de protección de datos y no nos engañemos: alguien en Facebook y Chatfuel tiene probablemente acceso a esta misma información.

Mi preocupación no es sólo ética, tiene un interés menos altruista que darle a mis usuarios soberanía sobre su información: con la llegada de la GDPR no sólo soy responsable de mi gestión de los datos personales, sino también en gran parte de la de mis proveedores e intermediarios.

Hay además algunas medidas que podemos tomar para protegernos a nivel conversación si vamos a recoger datos sensibles o pensamos ganar dinero con ellos.

  • Redacta unos términos y condiciones y pide a tus usuarios que los acepten al iniciar la conversación con tu bot.
  • Añade una opción en tu bot para que los usuarios te pidan el borrado de sus datos personales, o asegúrate de tener una dirección clara de contacto que revises con regularidad.
  • Si tienes un backend en el que almacenas datos asegúrate de que es seguro y de que sus comunicaciones con los canales y herramientas que usas son seguras.
  • Si trabajas en equipo, es una buena practica que asignes a un miembro del equipo la responsabilidad de velar por el cuidado de los datos de los usuarios. Esta figura es popular en grandes empresas y se llama DPO por sus siglas del inglés Data Protection Officer.
  • Documenta los datos personales que recoges y su tratamiento. Clasifica los datos según su sensibilidad y según los grupos y servicios que tengan acceso a ellos.
  • Asegúrate de que todos los datos que incluyes en análisis están anonimizados antes de compartirlos. Hay diferentes maneras de hacer esto, si te parece interesante menciónalo en los comentarios y escribiré sobre esto.

Esta lista no es completa, pero puede ayudarte a empezar. Si vas a trabajar en un proyecto serio te recomiendo que contactes con un profesional. Hay cada vez más abogados especializados en estas cosas y agencias de seguridad de datos que trabajan por proyecto y te ayudarán a tenerlo todo en orden.

En lo que respecta a la tecnología, si nos apoyamos en frameworks y herramientas en el desarrollo de nuestro bot (y en la mayoría de los casos usaremos alguna una herramienta o canal que tenga acceso a los logs de nuestro bot) sólo nos queda asegurarnos de que son proveedores seguros y leer los términos y condiciones con mucho detenimiento para asegurarnos de que trasladamos a nuestros usuarios finales cualquier dato relevante.

proteccin-de-datos-personales-en-chatbots-chatbots-en-espaol