Incidentes Asociados
El 2 de febrero de 2023, la Autoridad de Protección de Datos de Italia ("Garante") emitió una orden urgente que impide que el chatbot Replika con tecnología de IA procese los datos personales de los usuarios italianos porque plantea riesgos para menores y personas vulnerables e incumple el artículo 13 del Reglamento 679/2016 (Reglamento General de Protección de Datos, o “RGPD”).
Replika es un “amigo virtual”: a través de voz y texto los usuarios pueden configurarlo para que funcione e interactúe como amigo, pareja romántica o mentor. El chatbot impulsado por IA simula el comportamiento humano y, a través de su algoritmo, aprende de las interacciones de los usuarios para ofrecer compañía empática, apoyo emocional, comodidad y ayuda con problemas de ansiedad o socialización.
Según Garante, aunque Replika pretende mejorar el bienestar de los usuarios al ayudarlos a comprender y manejar sus emociones, también tiene un impacto en el estado de ánimo de los usuarios, lo que significa que podría representar un riesgo para las personas que aún se encuentran en etapas de desarrollo o en Estados emocionalmente frágiles.
The Garante señaló que Replika carece de mecanismos suficientes para verificar las edades de los usuarios que crean cuentas: el software simplemente requiere que los usuarios indiquen sus nombres, direcciones de correo electrónico y sexos. Además, las pruebas realizadas mostraron que incluso cuando Replika recibió una declaración explícita de que un usuario era menor de edad, no se activó ningún sistema de bloqueo para evitar una mayor interacción entre el usuario y el chatbot. Como resultado, un usuario menor de edad podría recibir respuestas inapropiadas, incluido contenido relacionado con el sexo que no debería estar disponible para menores o personas vulnerables en general.
El Garante reconoció que los términos y condiciones de uso de Replika establecen que los usuarios menores de 13 años tienen prohibido usar el software y que un menor de 18 años debe tener la autorización previa de un padre o tutor para usarlo. La política de privacidad también establece que el proveedor de servicios no recopila datos personales de menores de 13 años y alienta a los padres a monitorear el uso de Internet de sus hijos, invitándolos a contactar a la plataforma para eliminar los datos de los niños. Sin embargo, Garante consideró que estas medidas eran insuficientes y señaló que Replika no proporcionó un procedimiento adecuado para verificar la edad de los usuarios.
Además, Garante destacó que la política de privacidad de Replika violaba los principios y obligaciones de transparencia establecidos en el RGPD, ya que no revelaba los elementos clave del procesamiento realizado. En particular, Garante señaló que el procesamiento no puede basarse en un contrato, especialmente considerando que los menores son incapaces de celebrar contratos en primer lugar.
Por estos motivos, Garante emitió una orden urgente que limita el procesamiento de datos personales de los usuarios por parte de Replika en territorio italiano. El controlador con sede en EE. UU. ahora tiene 20 días para informar sobre las medidas adoptadas para cumplir con las solicitudes de Garante. La empresa también podrá impugnar la decisión ante el tribunal correspondiente en el plazo de 60 días, de conformidad con el artículo 78 del RGPD.
Esta es la segunda orden urgente emitida por Garante en relación con la ** protección de menores** en un entorno digital. Vuelve a confirmar que Garante está prestando mucha atención a la protección de las personas vulnerables en línea, en parte al exigir sistemas efectivos de verificación de edad.
La decisión completa está disponible (en inglés e italiano) aquí.
Véase la Orden N° 9524194 de enero de 2021 que restringió de inmediato el tratamiento realizado por TikTok con respecto a los datos de los usuarios cuya edad no se pudo establecer con certeza, disponible [aquí](https://www.garanteprivacy.it/home/docweb/ -/docweb-display/docweb/9524194).