La IA amenaza con revolucionar el negocio de las reclamaciones a consumidores

El pasado mes de enero, Endesa reconocía una brecha de seguridad por la que se habían fugado datos de 20 millones de clientes. Algunos tan sensibles como el DNI o datos del IBAN bancario. A la crisis reputacional del incidente, desde hace un par de años se le suma una nueva herramienta que, mientras da armas a los ciudadanos, tensiona los servicios de atención al cliente y jurídicos de las empresas: la IA generativa.

Fuentes legales señalan la dificultad que están teniendo las grandes compañías para abordar la ingente cantidad de reclamaciones que les hacen llegar los clientes después de que se les haya informado de que sus datos pueden haberse visto comprometidos en un 'hackeo'. "Son reclamaciones hechas con IA. Cuando el cliente recibe el 'mail' de su empresa, lo pasa por ChatGPT o el programa que sea y, con bastante tino, le formula en tres segundos una reclamación bastante potable".

La sencillez a la hora de redactar estas reclamaciones tiene, además, todo el soporte normativo. "El Reglamento General de Protección de Datos de la Unión Europea (RGPD) exige que el responsable informe a los afectados sobre las brechas de datos personales cuando se considere que hay un alto riesgo para sus derechos y libertades", explica Joaquín Muñoz, socio en Bird & Bird.

Además, en España también regula esta operativa la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, que detalla el régimen sancionador del RGPD a nivel nacional, y se complementa con las guías que en este sentido ha publicado la Agencia Española de Protección de Datos (AEPD). Incluso existe normativa sectorial, como la Ley General de Telecomunicaciones, que impone obligaciones específicas a determinados operadores.

TE PUEDE INTERESAR

Riesgos "no técnicos", dudas constitucionales y efectos económicos marcan el debate sobre la propuesta de ciberseguridad de la UE

Servimedia

"El factor clave para notificar una brecha de datos personales a la autoridad de control o comunicársela a los afectados es el nivel de riesgo, y no cualquier tipo de riesgo o un riesgo para la organización, sino el riesgo para los derechos y libertades de las personas afectadas por la brecha", señala Muñoz. Es decir, que como consecuencia de la brecha, los afectados puedan sufrir un perjuicio directo o que el aviso sirva para que puedan llevar a cabo alguna acción, como por ejemplo el cambio de contraseñas o estar alerta de una posible suplantación para no caer en la estafa.

Con estas reglas, la IA generativa está actuando como un multiplicador de reclamaciones de doble efecto. Por un lado, informa a los ciudadanos sobre derechos que muchos desconocían. Por otro, puede crear expectativas "que no siempre se ajustan a la ley o llevar a presentar reclamaciones sin suficiente fundamento", aclara Muñoz.

Gran volumen de demandas

Esto plantea un nuevo reto para las empresas, que no solo deben manejar adecuadamente la brecha de seguridad y cumplir con sus obligaciones de notificación, sino que también deben prepararse para gestionar un volumen creciente de ejercicios de derechos y reclamaciones motivados, en muchos casos, por consultas a herramientas de IA. En la práctica, lo que están recibiendo muchas compañías no son directamente demandas indemnizatorias, sino un aluvión de solicitudes de ejercicio de derechos —acceso, rectificación, supresión, oposición o portabilidad— que están obligadas a responder en plazo bajo el RGPD.

TE PUEDE INTERESAR

El borrado masivo de los datos de millones de autónomos escala a la Audiencia Nacional

Alejandro Galisteo Alejandro Mata

El verdadero impacto llega después. Porque más allá de estas solicitudes iniciales, los afectados pueden escalar el conflicto por dos vías. La primera, administrativa: presentar una denuncia ante la AEPD. El artículo 83 del RGPD contempla multas de hasta 20 millones de euros o el 4% del volumen de negocio global anual para las empresas que incumplan sus obligaciones. En la práctica, esta es la vía más utilizada por los usuarios, aunque no conlleva compensación económica directa para el afectado.

La segunda, civil. El artículo 82 del RGPD reconoce expresamente el derecho a ser indemnizado por los daños y perjuicios sufridos, tanto materiales como inmateriales. Aquí sí entra en juego la posibilidad de reclamar daños por pérdida de control de los datos, suplantaciones de identidad o perjuicios reputacionales. Aunque las cuantías en España siguen siendo moderadas frente a otros países europeos, fuentes jurídicas apuntan a una tendencia claramente al alza, que podría acelerarse con el uso masivo de herramientas de IA para preparar estas reclamaciones.

"En muchas sanciones, el razonamiento se acerca más a una obligación de resultados que de medios"

Este doble frente genera además cierta frustración en el lado empresarial. "Estamos viendo que, en muchas sanciones, el razonamiento se acerca más a una obligación de resultados que de medios", explica Muñoz. Es decir, que el mero hecho de que se produzca la brecha lleva en ocasiones a asumir que las medidas eran insuficientes, incluso cuando la empresa había adoptado protocolos de seguridad razonables.

Despachos muy afectados

Pero el impacto de la inteligencia artificial no se limita a tensionar a las grandes compañías. También está empezando a alterar el modelo de negocio de los despachos especializados en reclamaciones masivas a consumidores. Firmas centradas en ámbitos como las reclamaciones aéreas, los litigios bancarios o las propias organizaciones de consumidores han comenzado a notar cómo una parte de su actividad, la más estandarizada, pierde valor en un entorno donde el usuario puede generar por sí mismo escritos iniciales con una calidad razonable.

El caso de Reclamador o la crisis de Arriaga Asociados ilustran este cambio de fondo. Aunque su situación no puede explicarse únicamente por la irrupción de la IA, en ambos casos fuentes del sector reconocen que internamente ya percibían una transformación en el comportamiento del cliente. El usuario ya no necesita un intermediario para dar el primer paso: reclamar un vuelo cancelado o iniciar una queja básica es hoy un proceso fácilmente automatizable con ayuda de herramientas como ChatGPT. Esa desintermediación en la fase inicial, la más masiva y escalable, anticipa un ajuste estructural en un negocio que durante años se apoyó precisamente en la estandarización de miles de reclamaciones similares.