Chatbot e GDPR: un matrimonio impossibile ?
2.5.2018 - dott. Valentino Spataro - spataro@privacykit.it
Vorrei sdrammatizzare descrivendo come immagino l'espressione del lettore di queste poche righe, cioè la tua espressione.
Mi immagino uno sguardo di desolazione e rassegnazione nella speranza di leggere qualcosa di concreto che non vieti investimenti fatti fino ad oggi.
Veniamo al sodo: la risposta è come sempre nè no nè si. Dipende, ma in linea di massima è fattibile. Il problema sono gli adempimenti.
Evito di ripetere i principi che tanti provano a spiegare. Anche io li ho spiegati in brevi video, ma so che interessano solo coloro che hanno capito cosa fare in concreto.
PIA
Chi oggi progetta un nuovo chatbot deve effettuare una valutazione preventiva dei possibili rischi a libertà e diritti degli interessati (i cui dati tratteremo). Oltre a questo deve anche prevedere il cosidetto piano B nel caso in cui i rischi si verifichino. https://www.ricercagiuridica.com/codici/vis.php?art=35&codice=GDPR
REGISTRO DEI TRATTAMENTI
Di tutto è particolarmente opportuno tenere un registro dei trattamenti, art. 30: questo è semplicemente l'unico modo pe difendersi spiegando quanta attenzione si è data alla privacy in ogni momento dello sviluppo. https://www.ricercagiuridica.com/codici/vis.php?art=30&codice=GDPR
AUDIT
Prima di iniziare si dovrebbe valutare quali dati si trattano, e chi potrà accedere ai dati raccolti dal chatbot. In questo intervengono pesantemente gli adempimenti nei confronti degli addetti e dei fornitori.
ADDETTI
Gli addetti (incaricati e collaboratori interni o esterni) devono (per iscritto, anche informaticamente) essere nominati indicando le mansioni (ed è un problema del titolare, ma lo sviluppatore del chatbot deve prevedere password separate, account modificabili, livelli di gestione).
FORNITORI
I fornitori (per iscritto, anche informaticamente con contratti o clausole vincolanti) (si pensi non solo al software, ma ai subfornitori di hosting, dei servizi di terzi quali il riconoscimento dell'NLP, etc).
PAUSA: COME FACCIO ASSISTENZA AI CLIENTI IN UN ECOMMERCE ?
Prendiamoci una pausa. Sono iniziati degli elenchi di adempimenti documentali importanti, alcuni c'erano già prima.
Se siete arrivati qui, magari incuriositi dalla sezione "pausa", vi starete chiedendo se ne vale ancora la pena.
Secondo me si', ma ecco come: dimentichiamo gli allarmismi in rete e con grande determinazione mettiamo a fuoco "cosa fa il chatbot".
Se con il committente del chatbot questo punto è risolto, tutto sarà più facile, perchè non è più permesso raccogliere dati e stare a vedere.
DAL CHATBOT ALLA FIDELIZZAZIONE, COME ?
Una volta che abbiamo definito l'utilità del chatbot nell'assistenza alla vendita, ci interesserà tenere dati personali ? Sì è no.
- Si' perchè vorremmo mandare una newsletter, giusto ? Ecco: è un trattamento diverso, consenso diverso; canale di comunicazione diverso ? Forse. Si può valutare.
- No perchè finita la domanda la persona se ne va e diventa cliente o uno sconosciuto. In tal caso dobbiamo cancellare dopo una durata indicata nell'informativa.
- Ma anche forse: la pseudonimizzazione è una frontiera da esplorare giuristi e informatici insieme. Possiamo analizzare i dati personali e renderli pseudonimizzati o meglio aggregati e anonimi e continuare a usarli. Come ? Va studiato.
In pochi passaggi ho estratto alcuni adempimenti rendendoli lineari, chiari e semplici, ma descriverli concretamente richiede necessariamente uno studio nel caso concreto.
E il consenso ?
CONSENSO E INFORMATIVA
Distinguiamo tra richiesta del consenso (documentabile) e informativa.
L'informativa è completa. Il legalese semplificato.
La richiesta del consenso invece è un punto cruciale, perchè nei chatbot lo spazio è poco. Ma è possibile, considerando la specificità del contesto.
COS'ALTRO ?
Dispiace dirlo, ma è solo una parte minima della documentazione da fare.
In più userò una parola che molti dimenticano parlando di chatbot: call center.
Avete presente tutti i provvedimenti del Garante contro i call center, a tutela delle persone contattate ma anche a tutela degli operatori di call center, nel rispetto dello statuto dei lavoratori ?
Ecco. Se avete presente cominciate a preoccuparvi. O non preoccuparvi se il chatbot è particolarmente stupido (ma efficace) e serve solo per offrire un completo griffato del cantante del cuore.
Si': chatbot meno intelligenti danno meno problemi. Se invece ci sono operatori (automatici o umani) che intervengono nelle conversazioni, abbiamo un grado di complessità elevato, ma gestibile. Da sviluppatori si sa come creare una tabella e riempirla con gli adempimenti.
CONCLUDENDO
Sono pochi che, alle parole GDPR e CHATBOT vanno oltre la prima domanda: "Come raccolgo il consenso ?".
Ecco. Questo è il punto. C'è molto di più che raccogliere il consenso.
C'è le necessità di formalizzare ai fini della privacy una attività di progettazione che spesso resta nella corrispondenza e nei contratti.
Complessita', competenza e consapevolezza. Sono limiti culturali più che problemi giuridici.
Ma sono questi che rendono un chatbot tanto problematico agli occhi del GDPR.
dott. Valentino Spataro
PrivacyKit.it
spataro@privacykit.it
Il dott. Spataro è autore di:
- Dizionario di diritto di internet, 1638 voci in 15 anni, www.civile.it/internet/dizionario.php (anche app)
- 2289 contratti del web raccolti in banca dati ragionata www.legalgeek.it
- LegalBot.it sito con bot per gli aspetti legali dei bot (con video sulla relazione in materia di privacy e chatbot, tenuta a Milano Chatbots Meetup che coorganizzo con Paolo Montrasio).
- amm. IusOnDemand srl, www.iusondemand.com