Usted ha decidido apostar por la inteligencia artificial y está pensando en implantar un chatbot en la página web de su SL para mejorar la experiencia de los usuarios.
Vea algunos consejos clave para cumplir con la normativa.
Regulado
Los chatbots o asistentes virtuales se están convirtiendo en una herramienta esencial en empresas de todos los tamaños.
Así, mediante preguntas y respuestas generadas con Inteligencia Artificial (IA), estos chats atienden al cliente y lo guían a través de la web de la empresa.
Pues bien, desde este verano está en vigor un reglamento europeo que regula el uso de dicha IA.
Se trata de una norma directamente aplicable y que clasifica estos sistemas como de “riesgo limitado”.
Esto impone ciertas obligaciones, especialmente en términos de transparencia…
Inteligencia artificial de riesgo limitado
Clasificación de la Inteligencia Artificial
La forma de utilización de la IA se clasifica en función del riesgo que presenta para la salud o seguridad de los usuarios.
Existen cuatro categorías de riesgo: mínimo o nulo, limitado, alto e inaceptable.
Los chatbots que interactúan directamente con las personas son considerados sistemas de riesgo limitado, porque pueden generar confusión si no se informa adecuadamente a los clientes de que están interactuando con una máquina.
Implicaciones de la inteligencia artificial
Por ello, aunque implantar un chatbot (de riesgo limitado) requiere cumplir estándares menos estrictos que los que se precisan en sistemas de alto riesgo, sí implica ciertas obligaciones cuyo incumplimiento puede acarrear sanciones .
Por ejemplo, podrían imponerle multas si el sistema engaña a los usuarios o si no cumple con las obligaciones de protección de datos.
Por tanto, exija a su proveedor que le garantice el íntegro cumplimiento de la normativa aplicable.
Claves imprescindibles para tener un chatbot en su empresa
Transparencia de la IA
Una de las principales obligaciones para los chatbots es que los usuarios deben ser conscientes de que se están relacionando con una máquina , y no con una persona.
Para cumplir con este requisito bastará con que añada un mensaje claro al inicio de la conversación que indique que se está hablando con un asistente virtual (por ejemplo, “” o cualquier fórmula que informe al usuario de que no está hablando con un ser humano).
Protección de datos
Si su chatbot recopila datos personales (como nombres, correos electrónicos o detalles de contacto), asegúrese también de cumplir con el Reglamento General de Protección de Datos (RGPD).
Esto incluye obtener el consentimiento explícito de los usuarios para recopilar y procesar sus datos; también la obligación de informarles de que dichos datos no se utilizarán más allá de los fines previstos y de que tienen sobre ellos los derechos de acceso y cancelación.
Experiencia
Es importante que el diseño y la implementación del chatbot se realice pensando en la experiencia del cliente, pues ello evitará frustraciones a los usuarios y posibles quejas o reclamaciones.
Asegúrese de que esté bien entrenado:
- Que responda a las consultas que estadísticamente sean más frecuentes.
- Que, al mismo tiempo, redirija a un agente humano si no es capaz de responder a las dudas que se le plantean.
- Solicite a su proveedor que establezca un sistema para recibir comentarios de los usuarios y que revise regularmente las interacciones del chatbot para detectar áreas de mejora.
Qué conviene revisar antes de activar un chatbot
Antes de publicar un chatbot en la página web, la empresa debería analizar no sólo si la herramienta funciona bien, sino también para qué se va a utilizar exactamente. No es lo mismo implantar un asistente para resolver dudas generales sobre horarios, servicios o ubicación que emplearlo para captar datos de clientes potenciales, filtrar incidencias, gestionar documentación o intervenir en procesos de contratación.
En la práctica, uno de los errores más habituales consiste en instalar el chatbot como un simple complemento tecnológico sin definir previamente su alcance. Sin embargo, desde el punto de vista jurídico y organizativo, conviene fijar desde el principio cuestiones como qué tipo de consultas puede responder, cuáles debe escalar automáticamente, qué datos puede solicitar, cuánto tiempo se conservarán las conversaciones y quién revisará periódicamente sus respuestas. Esta delimitación previa ayuda a reducir riesgos y a demostrar una actuación diligente si se produce una incidencia.
También resulta aconsejable documentar internamente la herramienta. Aunque no se trate de un sistema de alto riesgo, la empresa debe poder acreditar que ha evaluado su uso, que conoce qué proveedor interviene, si el sistema utiliza servicios en la nube, si existe tratamiento de datos personales y qué medidas se han adoptado para evitar respuestas inadecuadas o contrarias a la información oficial de la compañía.
Proveedor, contratos y control de las conversaciones
Otra cuestión que conviene ampliar es la relación con el proveedor tecnológico. Si el chatbot ha sido desarrollado o es gestionado por un tercero, la empresa no debería fijarse sólo en el precio o en la facilidad de integración, sino en aspectos como dónde se alojan los datos, si existe subcontratación, qué garantías ofrece el proveedor en materia de seguridad, si utiliza la información para reentrenar modelos y qué soporte ofrece ante errores o reclamaciones.
Desde la óptica de protección de datos, este punto es clave. Si el proveedor accede a conversaciones que contienen datos personales, habrá que analizar si actúa como encargado del tratamiento y formalizar el contrato correspondiente, delimitando instrucciones, medidas de seguridad, plazos de conservación y régimen de subencargados. Además, si hay transferencias internacionales de datos, deberán revisarse cuidadosamente las garantías aplicables conforme al RGPD. La AEPD recuerda que los sistemas de IA deben analizarse dentro del tratamiento de datos y no como una pieza aislada.
También conviene regular internamente el acceso a los historiales de conversación. No todas las personas de la empresa deberían poder consultar libremente lo que escriben los usuarios. Lo razonable es definir perfiles autorizados, registrar accesos cuando proceda y establecer criterios para anonimizar o suprimir conversaciones que ya no sean necesarias.
Cuándo existen riesgos legales
Aunque un chatbot corporativo se encuadre normalmente en un ámbito menos exigente que otros usos de la IA, eso no significa que el riesgo real sea siempre bajo. En ocasiones, el problema no está en la tecnología en sí, sino en cómo se usa dentro del negocio. Un asistente que aparentemente sólo informa puede acabar realizando funciones que afectan de forma significativa al usuario si filtra perfiles, prioriza solicitudes, descarta consultas o condiciona el acceso a un servicio sin supervisión humana suficiente.
Por eso conviene revisar si el chatbot participa en decisiones que puedan producir efectos jurídicos o consecuencias relevantes para la persona. Pensemos, por ejemplo, en un sistema que decide automáticamente qué clientes reciben atención preferente, qué solicitudes pasan a revisión o qué consultas se rechazan por “no encajar” en determinados criterios. En estos supuestos pueden entrar en juego las cautelas del artículo 22 del RGPD sobre decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles. La AEPD viene recordando la necesidad de valorar la intervención humana real y no meramente formal en este tipo de procesos.
Otro foco de riesgo aparece cuando el chatbot da una apariencia de certeza que en realidad no tiene. Si el usuario recibe respuestas excesivamente concluyentes sobre materias jurídicas, fiscales o contractuales, puede confiar en ellas y actuar en consecuencia. En un entorno empresarial, eso puede traducirse en reclamaciones por información inexacta, publicidad engañosa o mala praxis organizativa. De ahí que resulte recomendable incluir límites claros.
Buenas prácticas para reducir incidencias
El cumplimiento no termina el día en que se activa el chatbot. Al contrario, a partir de ese momento empieza una fase de supervisión continua. La empresa debería revisar métricas de uso, analizar preguntas sin resolver, detectar respuestas incorrectas y comprobar si los usuarios abandonan la conversación en determinados puntos. Esa información no sólo mejora el servicio, sino que ayuda a identificar riesgos de cumplimiento antes de que se conviertan en quejas formales.
resulta recomendable implantar un pequeño protocolo interno de revisión. Por ejemplo: auditoría periódica de respuestas, comprobación de enlaces y formularios, actualización de contenidos normativos, revisión de logs, validación de mensajes de privacidad y test de escalado a personal humano. En despachos profesionales y pymes que trabajan con normativa cambiante, esta revisión debería ser aún más frecuente, especialmente cuando se tratan materias fiscales, laborales o mercantiles.
Además, es conveniente formar al personal que convive con la herramienta. El Reglamento europeo de IA ya prevé obligaciones relacionadas con la alfabetización en IA, de modo que las organizaciones que utilizan estos sistemas deben procurar que las personas implicadas comprendan razonablemente su funcionamiento, sus límites y sus riesgos. Esa exigencia ya forma parte del calendario de aplicación del AI Act y refuerza la idea de que no basta con contratar la herramienta: hay que saber utilizarla correctamente.
Asegúrese de informar a los usuarios de que están interactuando con una máquina. Y, en caso de que les solicite información personal, cumpla los requerimientos previstos en la normativa de protección de datos.