El riesgo de confiar secretos personales a ChatGPT
Las compañías tecnológicas utilizan los datos personales de los usuarios para mejorar los sistemas de inteligencia artificial generativa, pero hay formas de eliminar esta información de sus repositorios
Si se pregunta a ChatGPT qué hace con los datos personales que alguien aporta en la conversación, esta es su respuesta: “Como modelo de lenguaje desarrollado por OpenAI, no tengo la capacidad de procesar, almacenar ni utilizar información personal de usuarios, a menos que se me proporcione en el transcurso de una conversación individual”. Sin embargo, OpenAI, la empresa propietaria de ChatGPT, sí puede utilizar esa información en ciertos casos, según la política de privacidad de la compañía.
Son un tipo de datos determinados y solo para algunos casos. Tienen que ser datos de la cuenta de OpenAI, como por ejemplo el nombre o la información de la tarjeta de pago del usuario, información personal que el usuario intercambie con ChatGPT o con la compañía, información del usuario al interactuar con las cuentas de OpenAI en redes sociales, como Instagram, Facebook, Medium, Twitter, YouTube y LinkedIn o datos que el usuario facilite a la compañía en sus encuestas o eventos. Con esta información, la compañía puede mejorar sus productos y servicios, crear nuevos desarrollos, llevar a cabo investigaciones, establecer comunicación directa con los usuarios, cumplir con obligaciones legales a favor de la empresa y prevenir fraudes, usos indebidos del servicio y actividades delictivas.
Esta delicada cuestión no solo afecta a la nueva IA generativa. Enviar un correo electrónico por Gmail a un amigo, o compartir fotos o documentos en espacios en la nube como OneDrive, son actos cotidianos que autorizan a los proveedores de esos servicios a compartir información con terceros. Empresas como OpenAI, Microsoft y Google pueden revelar la información a proveedores de servicios y satisfacer así las necesidades de su negocio, según indican sus políticas de privacidad.
Sin embargo, salvo excepciones, las empresas no pueden utilizar los datos personales con otros fines. Ricard Martínez, profesor de derecho constitucional de la Universitat de València, señala que está estrictamente prohibido por el Reglamento General de Protección de Datos (RGPD): “Se exponen a un alto riesgo regulatorio. Podría sancionarse a la empresa con una multa equivalente al 4% de la facturación anual global”. Para esos casos, solo pueden utilizarse con fines de interés público admitidos por el reglamento, como el archivo o la investigación histórica, estadística o científica, o si se supera un juicio de compatibilidad”.
La inteligencia artificial generativa, como ChatGPT, se nutre de un gran volumen de datos, algunos de ellos personales, y a partir de esa información genera contenido original. En España, estas herramientas reciben 377 millones de visitas al año, según un estudio. Analizan la información recopilada, responden a las consultas de los usuarios y mejoran su servicio, a pesar de que la herramienta “no entiende los documentos con los que se alimenta”, advierte Borja Adsuara, abogado experto en derecho digital.
Recomendación: ser muy discretos con los chatbots
La Agencia Española de Protección de Datos (AEPD) sugiere a los usuarios que no acepten que el chatbot pida datos de registro que no sean necesarios; que solicite consentimiento sin definir para qué se van a tratar los datos y sin que permitan retirarlo en cualquier momento, o que realice transferencias a países que no ofrezcan garantías suficientes. También recomienda “limitar los datos personales que se exponen, no dar datos personales de terceros si hay dudas de que el tratamiento va a trascender el ámbito doméstico y tener en cuenta que no hay garantías de que la información proporcionada por el chatbot sea correcta”. Las consecuencias son “el daño emocional, la desinformación o inducir a engaño”.
Los expertos coinciden en el mismo consejo: no compartir información personal con la herramienta de inteligencia artificial. Incluso el propio ChatGPT lo advierte: “Ten en cuenta que si compartes información personal, sensible o confidencial durante la conversación, deberías tener precaución. Se recomienda no proporcionar información delicada a través de plataformas en línea, incluso en conversaciones con modelos de lenguaje como yo”.
Eliminar los datos personales
Si, pese a esas recomendaciones, ya se han compartido datos personales con una inteligencia artificial, se pueden intentar borrar. Hay un formulario en la página web de OpenAI para poder eliminarlos: la mala noticia es que la compañía advierte de que “el envío de una solicitud no garantiza que la información sobre usted se elimine de los resultados de ChatGPT”. Debe ser cumplimentado con los datos reales del interesado, quien debe “jurar” por escrito la veracidad de lo que expone. Además, la información del formulario puede ser cotejada con otras fuentes para verificar su veracidad. Microsoft también ofrece un panel de privacidad para acceder a los datos personales y borrarlos.
Por la vía de las acciones legales, Martínez explica que el usuario “puede ejercer el derecho de supresión, si cree que los datos personales se han tratado ilícitamente, son incorrectos e inadecuados. Puede darse de baja, retirar su consentimiento, que es libre y no está sujeto a condición, y la compañía está obligada a borrar toda la información”. Este especialista también incide en que existe el derecho de portabilidad: “Cada vez, más aplicaciones permiten al usuario descargar todo su historial y llevárselo en un formato compatible. El reglamento también recomienda la anonimización de los datos personales”.
La anonimización, según la AEPD, consiste en la conversión de datos personales en datos que no se pueden utilizar para identificar a ninguna persona. En su guía sobre el tratamiento de la inteligencia artificial (IA), la agencia explica que la anonimización es una de las técnicas para minimizar el uso de datos, garantizando que se empleen solo los datos precisos para el fin determinado.
Nueva ley de inteligencia artificial
Las empresas que gestionen datos personales, tras la entrada en vigor de la nueva ley europea de inteligencia artificial, tendrán que tener en cuenta tres claves, según ha explicado la consultora Entelgy a este periódico: deberán revelar cómo funciona el algoritmo y el contenido que genera en un registro europeo; a pesar de no ser obligatorio, se recomienda establecer mecanismos de supervisión humana; por último, los modelos de lenguaje de gran tamaño (LLM) deberán introducir sistemas de seguridad y los desarrolladores tendrán la obligación de ser transparentes sobre el material protegido por derechos de autor que utilizan.
Sin embargo, la nueva norma no es incompatible con el Reglamento General de Protección de Datos. Así lo explica Martínez: “La IA que trate datos personales, o que genere en el futuro datos personales, nunca podrá alcanzar el mercado si no garantiza el cumplimiento del RGPD. Esto se manifiesta de modo muy especial en los sistemas de alto riesgo, que deben implantar un modelo de gobernanza de datos, así como registros de funcionamiento y de uso que garanticen la trazabilidad”.
El siguiente paso para la inteligencia artificial, señala Adsuara, es que la información personal recopilada se pueda utilizar en una especie de piscinas personales: “Un lugar en el que cada uno tenga su repositorio de documentos con datos personales, pero que la información no salga de ahí, que no se utilice para alimentar la inteligencia artificial generativa universal”, explica.