En España algunas empresas del sector del telemarketing están desarrollando programas piloto de control laboral y calidad con apoyo en la IA. Es decir, primero se graban las llamadas entre los clientes y las personas trabajadoras. A continuación, la IA evalúa estas llamadas conforme a los parámetros fijados por la empresa y, finalmente, un trabajador se encarga de verificar si la IA ha cometido errores.
La práctica descrita no encaja en el artículo 22 RGPD, pues se produce intervención humana. No obstante, existen deberes establecidos en el RGPD que las empresas tienen la obligación de cumplir.
Junto con el deber de transparencia en su dimensión individual (artículo 13 RGPD) y colectivo (Ley Riders), una de las obligaciones más importantes es la evaluación de impacto. El articulo 35.1 RGPD establece, con carácter general, la obligación que tienen los responsables de los tratamientos de datos de realizar una evaluación de impacto (EIPD) con carácter previo a la puesta en funcionamiento de tratamientos de datos cuando sea probable que estos por su naturaleza, alcance, contexto o fines entrañen un alto riesgo para los derechos y libertades de las personas físicas, alto riesgo que, según el propio Reglamento, se verá incrementado cuando los tratamientos se realicen utilizando “nuevas tecnologías”.
El empleo de soluciones basadas en IA sitúa a responsables y encargados en un escenario en el que el tratamiento, por sus características y, en particular, por la tecnología elegida, puede conllevar un alto nivel de riesgo. Por lo tanto, debería valorarse si el objeto del tratamiento no puede ser conseguido utilizando otro tipo de solución que alcance la misma funcionalidad, con un margen de rendimiento aceptable y un nivel de riesgo menor. Es decir, la disponibilidad o novedad de una tecnología no justifica, por sí misma, su utilización, sino que debe ser objeto de ponderación, realizando un análisis de si el tratamiento, en la forma en que se plantea, es equilibrado porque se derivan más beneficios y ventajas concretas para el interés general y la sociedad en su conjunto que perjuicios, entendidos estos como los riesgos sobre los derechos y libertades de los sujetos cuyos datos son objeto de tratamiento. En particular, en el caso de tratamientos que hagan uso de soluciones IA para la toma de decisiones o para la ayuda a la toma de dichas decisiones, se recomienda que en la EIPD se valore llevar a cabo un análisis comparativo entre el rendimiento obtenido por un operador humano cualificado frente a los resultados arrojados por modelos capaces de predecir escenarios o tomar acciones de manera automática (AEPD, Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, Madrid, 2020, p. 44).
En el entorno europeo (en Hungría, concretamente) contamos con un precedente de uso de IA con intervención humana. Se refiere el supuesto a un banco que utilizó un software de procesamiento de señales de voz basado en IA. El período de datos del procesamiento fue de 45 días con respecto a la grabación de sonido que se puede escuchar dentro del software y un año con respecto a las estadísticas y listas de llamadas clasificadas generadas a través de la operación de software. El software analizaba y evaluaba los estados emocionales de los clientes y de los empleados. Utilizando los resultados del análisis, la empresa establecía qué cliente insatisfecho precisaba que se le devolviera la llamada y, en relación con esto, analizaba automáticamente, entre otros aspectos, el estado emocional del interesado que llama, así como del empleado del servicio de atención al cliente, junto con otras características de la conversación. La finalidad de esta tecnología fue gestionar las quejas, controlar la calidad de las llamadas y del trabajo y aumentar la eficiencia de los empleados.
Al respecto la Resolución de la Agencia Húngara de Protección de Datos de 8 febrero 2022 concluye que se trata de un supuesto fuera del campo de aplicación del artículo 22 RGPD y aplica el régimen general de garantías en materia de protección de datos.
A partir de este precedente se obtiene la conclusión que las actividades de análisis de voz realizadas por el banco utilizando IA, en particular la evaluación de las emociones de los interesados, plantean en sí mismos problemas de protección de datos. Cuando se utilizan herramientas para examinar las características psicolingüísticas y los tonos emocionales del habla no es suficiente la existencia formal del consentimiento de la persona. La tecnología de priorización basada sobre el tratamiento del habla supone una invasión de la privacidad y conlleva un riesgo que el interesado no sea capaz de reconocer en el momento de dar el consentimiento y de evaluar la incidencia en sus derechos. La Agencia indica que la tecnología aplicada permite a la entidad financiera obtener datos de los que el cliente ni siquiera es consciente, por lo que el uso de dichas herramientas reduce la posición del interesado de ser sujeto del procedimiento a ser objeto de este.
Además, se plantean incumplimientos en materia de transparencia y principio de proporcionalidad. No se proporcionó información a los afectados en relación con el análisis de voz por parte de IA o el propósito de dicho procesamiento y, por lo tanto, no hubo derecho a oponerse al tratamiento realizado. El banco no consideró adecuadamente los intereses en juego. El procedimiento debería haber sido establecer la adecuación y proporcionalidad para el propósito dado del procesamiento; en cambio, la evaluación de la empresa se basó únicamente en sus propios intereses. En realidad, no consideró la proporcionalidad y la posición del afectado, menospreciando los riesgos significativos para los derechos fundamentales.
Sobre la base de los argumentos expuestos, la Agencia de Protección de Datos concluye que se produjo una vulneración de los artículos del RGPD 5 (1)(a), 6 (1) y 6 (4). Por todo ello, se impuso al banco la multa de 670.000 € y le obligó a suspender el análisis de emociones con fundamento en los artículos 12, 24 y 25 RGPD.