La Autoridad de Protección de Datos de Hungría (Nemzeti Adatvédelmi és Információszabadság Hatóság, NAIH) ha publicado recientemente su informe anual en el que presentó un caso en el que la Autoridad impuso la multa más alta hasta la fecha de aproximadamente 670.000 euros (250 millones de HUF).
El caso se refería al procesamiento de datos personales de un banco (actuando como controlador de datos) que analizaba automáticamente el audio grabado de llamadas de servicio al cliente. El banco utilizaba los resultados del análisis para determinar qué clientes debían ser llamados de vuelta mediante el análisis del estado emocional del interlocutor utilizando un software de procesamiento de señales de voz basado en inteligencia artificial que analizaba automáticamente la llamada en función de una lista de palabras clave y el estado emocional del interlocutor. El software luego establecía un ranking de las llamadas, sirviendo como una recomendación sobre qué interlocutor debía ser llamado de vuelta con prioridad.
Los fines de la actividad de procesamiento fueron determinados por el banco como control de calidad basado en parámetros variables, la prevención de quejas y la migración de clientes, y el desarrollo de la eficiencia de su soporte al cliente. Sin embargo, según la Autoridad, el aviso de privacidad del banco se refería a estas actividades de procesamiento solo en términos generales, y no se proporcionó información sustancial sobre el análisis de voz en sí. Además, el aviso de privacidad solo indicaba el control de calidad y la prevención de quejas como fines del procesamiento de datos.
El banco basó el procesamiento en sus intereses legítimos para retener a sus clientes y mejorar la eficiencia de sus operaciones internas. Sin embargo, las actividades de procesamiento de datos relacionadas con estos intereses no estaban separadas en el aviso de privacidad y, en las pruebas de intereses legítimos, se volvieron borrosas.
En el curso del procedimiento ante la Autoridad, se hizo evidente a partir de las declaraciones del banco que durante años no había proporcionado a los titulares de datos un aviso adecuado y el derecho a oponerse, porque había determinado que no podía hacerlo. La Autoridad enfatizó que la única base legal legítima para la actividad de procesamiento de análisis de voz basado en emociones solo puede ser el consentimiento libremente otorgado e informado de los titulares de datos.
Además, la Autoridad destacó que, aunque el banco había realizado una evaluación de impacto de protección de datos (EIPD) e identificado que el procesamiento representaba un alto riesgo para los sujetos de datos, capaz de perfilar y puntuar, la EIPD no había presentado soluciones sustanciales para abordar estos riesgos. Además, la prueba de interés legítimo realizada por el banco no había tenido en cuenta la proporcionalidad, los intereses de los sujetos de datos, sino que simplemente estableció que el procesamiento de datos era necesario para lograr los fines que perseguía. La Autoridad destacó además que la base legal del interés legítimo no puede servir como «último recurso» cuando todas las demás bases legales sean inaplicables, y como tal, los controladores de datos no pueden referirse a esta base legal en cualquier momento y por cualquier motivo. En consecuencia, la Autoridad, además de imponer una multa récord, obligó al banco a cesar el análisis de las emociones en el curso del análisis de voz.
En conclusión, la Autoridad destacó que «la inteligencia artificial es generalmente difícil de entender y monitorear debido a la forma en que funciona, y incluso las nuevas tecnologías plantean riesgos de privacidad particulares. Esta es una de las razones por las que el uso de la inteligencia artificial en la gestión de datos requiere atención especial, no solo en papel sino también en la práctica».
Fuente: www.lexblog.com
