Alejandro negro (Cuatrecasas): «Debemos ser conscientes de para qué usan nuestros datos las empresas»

El año pasado entraron en vigor el reglamento y la ley orgánica de protección de datos, ¿ofrecen un marco adecuado para salvaguardar a los clientes de banca en el uso de chatbox y asistentes virtuales como Alexa?

Sí. Con el nuevo marco, si necesito el consentimiento del cliente para tratar sus datos, debe ser expreso. Eso, en un chatbox, significa que le tienes que preguntar a la persona «¿oiga, me da usted su consentimiento? Diga usted que sí». Además, para recabar ese consentimiento, siempre hay que informar al usuario de quién es la empresa responsable, para qué vas a tratar esos datos y qué derechos tiene. Tenemos que ver cómo acabar dándole toda esta información al titular de los datos en estos nuevos canales.

Si hay que dar esa información de manera verbal va a ser un obstáculo para el avance de la banca conversacional.

Si ya soy cliente de BBVA y ya me han informado por otras vías, Alexa será otra puerta de entrada, no hará falta nada adicional. Aunque, si es la primera vez que entro en Alexa, podría ser que me tengan que dar cierta información.

La «ventaja» de una web, en este sentido, es que la mayor parte de los usuarios acepta las condiciones (sin leer) y accede al servicio. En cambio, si hay que escuchar las condiciones legales del servicio por altavoz... 

Los sistemas de voz te pueden dar la información básica oralmente y emplazarte a acudir a la página web, si quieres el resto de la información. En todo caso, si quieres escucharlo todo, puedes pedirlo. El usuario tiene derecho a eso. Es la misma política que si llamas al 'call center'. No lo veo especialmente problemático.

Entonces, ¿los asistentes virtuales no suponen un reto para la protección de los datos personales?

Sí, pero el reto es que la máquina sea capaz de detectar en qué momento de la conversación está obligada a dar información o a pedir un consentimiento. En una página web es evidente, porque va por pasos. Pero Alexa es una máquina.

¿La nueva regulación de datos es la adecuada para favorecer la transformación digital de la banca?

Sí, es más amplia. Tenemos más bases jurídicas para tratar los datos. La antigua regulación partía de la necesidad de obtener el consentimiento de la persona. Y, luego, había excepciones. Pero, ahora mismo, tenemos más supuestos que nos permiten tratarlos: el citado consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, proteger intereses vitales, el cumplimiento de una misión realizada en interés público o el interés legítimo. Sobre todo, es interesante la figura del interés legítimo. Esta posibilidad permite, por ejemplo, que una empresa pueda mandar a sus clientes publicidad de productos similares a los que haya contratado sin tener que pedir consentimiento. Antes estábamos más encorsetados y, ahora, esta nueva regulación nos permite hacer más cosas.

Pero, para muchas empresas, ha sido muy complicada la adaptación.

Ha sido complicada porque, por ejemplo, en banca tienes que tener un registro de actividades: un documento donde describes todos los tratamientos de datos que haces, la finalidad del tratamiento, tienes que hacer una valoración de riesgos y ver si son muy intrusivos para los dueños. Después, en temas como los chatbox, tenemos que tener en cuenta que esto es una tecnología disruptiva, que puede servir para hacer perfiles de los dueños de los datos, que probablemente es un tratamiento a gran escala y que seguramente puedes cruzar bases de datos para tener más información de estas personas. Todo esto significa que estás haciendo un tratamiento muy agresivo y que deberías hacer una evaluación de impacto, viendo qué tratamiento de datos estás haciendo, la necesidad y la proporcionalidad de lo que estás haciendo, los riesgos para los derechos y libertades de los interesados e introducir medidas para evitar los riesgos. Todos estos son documentos internos, que se quedan en este caso en el banco y que no hay que mandárselos a la agencia de protección de datos. Se los tendrás que enseñar si algún día viene a verte.

¿Qué otros retos plantea la transformación digital para la protección de los datos?
El reglamento es más abierto y permite solventar muchos de ellos. Pero hay dificultades. Por ejemplo, con la obligación de borrar los datos pasado el plazo para el que fueron recogidos. En tecnologías como Blockchain, es un problema porque su objetivo es justamente el contrario, que los datos sean imborrables. En todo caso, lo que sí parece claro es que las nuevas tecnologías permiten tratar cada vez más datos. Cada vez puedo obtener más información de una persona y, cada vez, la obtengo por más vías.

¿No da eso un poco de miedo?
Todos debemos ser cada vez mas conscientes de para qué se utiliza nuestra información. Cuando una empresa esté recabando datos míos y me informe de qué es lo que va a hacer y, en su caso, me pida el consentimiento, debería dedicarle un poco de tiempo a eso y actuar según considere. Porque yo sí me voy a poder oponer a ciertos tratamientos. A otros, no. Porque si yo me meto en un chatbox, van a tener que tratar algo de información sobre mí para poder darme el servicio. Efectivamente, da un poco de miedo, porque pueden coger mucha información sobre ti y no tienes muy claro qué van a hacer con ella. Pero la titularidad de los datos es nuestra y siempre podemos ver qué hace cualquier tercero con ellos. Y, si le dedicamos algo de tiempo, podremos ser más conscientes de para qué los van a tratar.