Desde el 22 de septiembre de 2023, la Loi 25 de Quebec (Ley que moderniza las disposiciones legislativas en materia de proteccion de datos personales) esta plenamente en vigor. Impone nuevas obligaciones a toda empresa que recopile datos personales en Quebec, incluyendo a traves de un chatbot en su sitio web. En Europa, el RGPD (Reglamento General de Proteccion de Datos) impone requisitos similares desde 2018.

Si utiliza un chatbot IA que recopila nombres, correos electronicos, numeros de telefono o cualquier otra informacion identificable, su empresa esta directamente sujeta a estas leyes. A continuacion le explicamos como asegurarse de que su chatbot cumpla la normativa.

Que es la Loi 25?

La Loi 25 (anteriormente proyecto de ley 64) es la reforma principal de la proteccion de la privacidad en Quebec. Modifica la Ley de proteccion de datos personales en el sector privado y se aplica a toda empresa que recopile, utilice o comunique datos personales de personas que residan en Quebec.

Los puntos clave de la Loi 25 que afectan directamente a los chatbots:

  • Consentimiento explicito: Debe obtener el consentimiento claro y libre de la persona antes de recopilar sus datos personales. Un consentimiento implicito o enterrado en los terminos y condiciones ya no es suficiente.
  • Finalidad determinada: Debe indicar para que se utilizaran los datos recopilados en el momento de la recopilacion. Por ejemplo, "Usamos su correo electronico para contactarlo respecto a su solicitud."
  • Derecho de acceso y rectificacion: La persona tiene derecho a consultar los datos que usted posee sobre ella y a solicitar su correccion.
  • Derecho a la supresion (desindexacion): La persona puede solicitar la eliminacion de sus datos personales cuando ya no sean necesarios.
  • Responsable de proteccion: Cada empresa debe designar un responsable de la proteccion de datos personales (por defecto, es la persona con la mayor autoridad).
  • Notificacion de incidentes: Cualquier violacion de datos personales (fuga, acceso no autorizado) debe ser reportada a la Commission d'acces a l'information (CAI) de Quebec.

La Loi 25 preve sanciones administrativas de hasta 10 millones de dolares o el 2 % de la facturacion mundial, y sanciones penales de hasta 25 millones de dolares o el 4 % de la facturacion mundial.

Obligaciones especificas para chatbots

Un chatbot IA recopila datos personales de varias maneras: la informacion ingresada directamente por el visitante (nombre, correo, telefono), los metadatos tecnicos (direccion IP, navegador, paginas visitadas) y el contenido de las conversaciones en si. Estas son las obligaciones resultantes:

  • Mostrar una politica de privacidad accesible: antes de cualquier recopilacion, el visitante debe poder consultar su politica de privacidad. El chatbot deberia incluir un enlace a esta politica en su interfaz.
  • Obtener el consentimiento antes de la recopilacion de datos: si su chatbot solicita un correo electronico o un telefono, el consentimiento debe obtenerse antes de la recopilacion, no despues.
  • Limitar la recopilacion a lo necesario: recopile solo los datos estrictamente necesarios para la finalidad declarada. Si no necesita el numero de telefono, no lo pida.
  • Definir un periodo de retencion: los datos no deben conservarse indefinidamente. Defina un periodo de retencion y elimine los datos cuando expire.
  • Anonimizar las direcciones IP: las direcciones IP se consideran datos personales. La anonimizacion (truncar los ultimos octetos) es una buena practica para minimizar riesgos.

RGPD vs Loi 25: diferencias clave

Si su chatbot es utilizado por visitantes europeos, tambien debe cumplir con el RGPD. Estas son las principales diferencias:

CriterioLoi 25 (Quebec)RGPD (Europa)
ConsentimientoExplicito, libre e informadoExplicito, libre, especifico e informado
Alcance geograficoPersonas en QuebecPersonas en la UE/EEE
Derecho a la portabilidadSi (formato tecnologico comun)Si (formato estructurado, legible por maquina)
Sanciones maximas25 M$ o 4 % facturacion mundial20 M€ o 4 % facturacion mundial
DPO / ResponsableResponsable obligatorioDPO obligatorio (ciertos casos)
CookiesConsentimiento si cookies no esencialesConsentimiento previo obligatorio
Notificacion de incidentesCAI + personas afectadasAutoridad de control + personas (72 h)

En la practica, si cumple tanto con la Loi 25 como con el RGPD, cubre ambas jurisdicciones. Los requisitos son lo suficientemente similares para que un enfoque unificado funcione.

Los 5 pasos para hacer que su chatbot cumpla la normativa

Paso 1: Mapear los datos recopilados

Identifique todos los datos personales que su chatbot recopila: nombre, correo electronico, telefono, direccion IP, contenido de las conversaciones, paginas visitadas, idioma del navegador. Documente la finalidad de cada recopilacion y el periodo de retencion previsto.

Paso 2: Implementar el consentimiento

Antes de comenzar la recopilacion de datos, muestre un aviso claro en la interfaz del chatbot. Por ejemplo: "Esta conversacion se registra para procesar su solicitud. Al continuar, acepta nuestra politica de privacidad." El visitante debe poder rechazar sin perder el acceso al servicio basico.

Paso 3: Configurar la anonimizacion y la retencion

Active la anonimizacion de direcciones IP (supresion del ultimo octeto). Defina una politica de retencion de datos: por ejemplo, 90 dias para las conversaciones, 12 meses para los leads, eliminacion automatica al vencimiento. Configure un modo "zero cookie" si su chatbot no necesita cookies para funcionar.

Paso 4: Permitir el ejercicio de los derechos

Ofrezca un mecanismo para que los visitantes puedan solicitar el acceso a sus datos, su rectificacion o su supresion. Idealmente, esta funcionalidad esta integrada directamente en el chatbot (un boton "Eliminar mis datos" por ejemplo). El plazo de respuesta es de 30 dias maximo en Quebec.

Paso 5: Documentar y formar

Documente sus practicas de proteccion de datos. Si tiene empleados que acceden a las conversaciones del chatbot, formelos sobre las obligaciones de confidencialidad. Mantenga un registro de los tratamientos de datos personales.

Como ChatDirect integra Privacy by Design

El enfoque Privacy by Design (proteccion de la privacidad desde el diseno) significa que el cumplimiento no se anade despues, sino que se integra en la arquitectura misma del producto. Asi es como esta filosofia se traduce concretamente en una solucion como ChatDirect:

  • Alojamiento en Canada: los datos no salen del territorio canadiense, lo que simplifica el cumplimiento de la Loi 25 y evita las problematicas de transferencia transfronteriza.
  • Anonimizacion IP nativa: las direcciones IP de los visitantes se anonimizan automaticamente, sin configuracion adicional.
  • Modo zero cookie: el chatbot puede funcionar sin depositar cookies en el navegador del visitante, eliminando la necesidad de banner de consentimiento para cookies.
  • Retencion configurable: el administrador define el periodo de retencion de las conversaciones y los datos de leads. La eliminacion es automatica al vencimiento.
  • Supresion de datos del visitante: un mecanismo integrado permite a los visitantes eliminar todos sus datos (conversaciones, leads) con un clic, conforme al derecho de supresion.
  • Cifrado AES-256: los datos sensibles (claves API, informacion de configuracion) se cifran en reposo con el algoritmo AES-256-CBC.
  • Sin compartir con terceros: las conversaciones no se utilizan para entrenar modelos de IA y no se comparten con servicios externos no esenciales.
  • Analytics condicionales: Google Analytics solo se activa si el administrador lo configura explicitamente y el visitante da su consentimiento.

Checklist de cumplimiento para su chatbot

Utilice esta checklist para verificar que su chatbot cumple con los requisitos de la Loi 25 y el RGPD:

  • Politica de privacidad accesible desde la interfaz del chatbot
  • Consentimiento explicito obtenido antes de cualquier recopilacion de datos personales
  • Finalidad de la recopilacion claramente indicada al visitante
  • Datos recopilados limitados a lo estrictamente necesario (minimizacion)
  • Direcciones IP anonimizadas o no recopiladas
  • Periodo de retencion de datos definido y aplicado
  • Mecanismo de supresion de datos accesible al visitante
  • Mecanismo de acceso a los datos (derecho de consulta)
  • Datos sensibles cifrados en reposo y en transito (HTTPS + AES-256)
  • Responsable de proteccion de datos personales designado
  • Registro de tratamientos de datos actualizado
  • Protocolo de notificacion de incidentes establecido
  • Formacion de empleados sobre obligaciones de confidencialidad
  • Alojamiento de datos en una jurisdiccion conforme (Canada o UE)

El cumplimiento de la Loi 25 y el RGPD no es solo una obligacion legal. Tambien es una ventaja competitiva. Los consumidores quebequenses y canadienses son cada vez mas sensibles a la proteccion de sus datos personales. Una empresa que muestra claramente su compromiso con la privacidad inspira confianza y se diferencia de sus competidores.

Para saber mas sobre la implementacion de un chatbot IA conforme, consulte nuestra guia completa del chatbot IA para PYMES.

Un chatbot conforme desde el primer dia

ChatDirect integra Privacy by Design de forma nativa. Alojamiento en Canada, anonimizacion IP, zero cookie, derecho a la supresion.

Descubrir los planes