GDPR e chatbot: cosa c’è da sapere. Approfondimento settimanale di Officina Tecnologica, Startup di San Marino Innovation
Quello del GDPR e chatbot è un tema veramente poco trattato nonostante la sua enorme importanza.
Ed è proprio per questo motivo che è necessario sensibilizzare l’argomento privacy partendo da delle linee guida per la costruzione di flussi che rendano conforme un chatbot.
Ma è davvero così importante avere bot conformi?
Assolutamente sì!
L’utilizzo di un chatbot o di un assistente virtuale, comporta l’inevitabile trattamento dei dati (talvolta sensibili) degli utenti.
La “non conformità” di un chatbot quindi potrebbe portare le aziende ad incappare in multe anche piuttosto salate!
Ricordiamoci inoltre che i primi ad essere controllati sono proprio i siti ed i prodotti web, anche per una questione di “facile accessibilità”.
Come si costruisce un chatbot GDPR compliant?
I passaggi necessari sono pochi e semplici, ma sono alla base della conformità del chatbot, soprattutto per quanto riguarda ciò che riguarda il registro dei dati e i relativi obblighi di sviluppatori ed aziende (definiti “committenti”) nei confronti della GDPR.
1. Messaggio informativo privacy policy
Dopo aver salutato l’utente alla sua prima interazione con il bot, è necessario costruire un blocco di testo spiegando all’utente che per interagire è necessario prima leggere l’informativa.
Va aggiunto quindi un link o un pulsante che reindirizzi alla privacy policy del committente, e anche a quella dello sviluppatore nel caso anch’esso tratti i dati.
Può essere consigliato spiegare all’utente che l’accettazione di quest’ultima è a tutela dei dati che lui dovrà inevitabilmente rendere disponibili.
2. Reminder per cancellazione dal bot
Come per l’informativa, è OBBLIGATORIO anche il permettere la cancellazione dell’utente alla sottoscrizione.
Questa non prevede la cancellazione totale dei dati, ma solo l’intenzione di non voler più ricevere messaggi pubblicitari, a meno che l’utente non lo chieda espressamente (in questo caso parliamo di “diritto all’oblio”).
NOTA BENE
Per avere un bot in conformità con la GDPR, è OBBLIGATORIO informare l’utente che è possibile cancellare la propria sottoscrizione e dati in qualsiasi momento all’interno della conversazione.
3. Accetti o rifiuti?
Il passo successivo al reminder è l’inserimento dei pulsanti (meglio se un checkbox) per permettere all’utente di esprimere la propria scelta.
In ogni caso, è obbligatorio registrare:
ID Utente
Data e ora azione consenso
Consenso (si/no)
NEL CASO DI RIFIUTO, è obbligatorio:
Creare immediatamente un’azione che cancelli completamente i dati dell’utente
Reindirizzare l’utente ad un messaggio che non permetta di proseguire oltre con la conversazione
Rimane la possibilità per l’utente di riprendere in futuro la conversazione con il bot, come se non avesse mai interagito prima (ripartendo dal punto 1).
4. Custom fields per registro dati
Per registrare queste informazioni, è necessario inserire dei campi personalizzati (custom fields in gergo), che attraverso un’integrazione sulla piattaforma del bot inviano i dati a un database appositamente costruito, uno per ogni committente.
Ricordando che il titolare dei dati è il committente, il quale dovrebbe fornire la struttura adeguata all’integrazione.
Conclusioni
Queste sono le operazioni minime che permettono ai chatbot di essere in linea con la famigerata normativa europea per il trattamento dei dati.
Tuttavia, trattandosi di un argomento assai complesso, il consiglio è quello di rivolgersi ad un consulente qualificato in materia GDPR per verificare la conformità delle azioni.
È inoltre importante ricordare che il professionista è identificato nell’apposito trattamento del committente come “Responsabile esterno”.
Per ulteriori informazioni su come costruire un chatbot, clicca qui.