¿Qué ha ocurrido?
Ayer, la Agencia Española de Protección de Datos (AEPD), anunció que ha iniciado investigaciones preliminares de oficio a la empresa OpenAI (propietaria de ChatGPT) por un posible incumplimiento de la normativa de protección de datos. Estas investigaciones se llevarán a cabo en el marco de un grupo de trabajo impulsado por el Comité Europeo de Protección de Datos (EDPB), al cual pertenecen todas las autoridades de control en protección de datos europeas. El objetivo es analizar el asunto desde una perspectiva global, tanto en la identificación de posibles incumplimientos normativos, como en las medidas a adoptar que permitan un desarrollo tecnológico de la Inteligencia Artificial compatible con los derechos y libertades de las personas.
¿Qué riesgos hay sobre la privacidad?
El principal riesgo proviene de la falta de transparencia en cuanto a cómo estos modelos de procesamiento de datos capturan y utilizan información personal. La Inteligencia Artificial Generativa necesita procesar grandes volúmenes de datos para entrenarse y ofrecer respuestas precisas, como si estuvieras interactuando con un humano. La falta de transparencia afecta no sólo a qué datos han sido utilizados antes de nuestra interacción con la IA, sino también durante su uso, ya que no sabemos qué deducciones hace el sistema de nosotros como usuarios y cómo integra esta información en su entrenamiento continuo. El riesgo aumenta si se emplea en colectivos especialmente vulnerables, como los menores.
¿Sólo es un problema de privacidad?
Los riesgos identificados en el uso de Inteligencia Artificial Generativa no están asociados únicamente al ámbito de la privacidad. También existen riesgos relacionados con la propiedad intelectual e industrial, los secretos empresariales (confidencialidad), la transparencia frente a consumidores y usuarios, y el impacto en el mercado laboral, por mencionar algunos ejemplos.
¿Esto significa que ha sido prohibido su uso?
No, por el momento, el servicio de OpenAI no está prohibido en España ni su uso por parte de las empresas. En Italia, donde el organismo regulador de protección de datos tomó la iniciativa en Europa al considerar que el servicio no cumplía con la normativa de protección de datos, se ha bloqueado el acceso al servicio, obligando a OpenAI a dar explicaciones a sus usuarios y devolverles la cuota abonada en el caso de los servicios de pago, hasta que ofrezca las garantías necesarias a la autoridad de control italiana.
¿Qué implica esto para mi organización?
Las áreas de cumplimiento de las organizaciones deben estar alerta y reforzar el control del uso que se esté realizando en la organización, no solo de ChatGPT, sino de cualquier aplicación de Inteligencia Artificial Generativa.
Recomendaciones
Desde Cohaerentis recomendamos:
- Tener un control de qué aplicaciones de IA se están empleando a nivel corporativo. Una buena práctica puede ser, por ejemplo, a través de un cuestionario a los trabajadores.
- Si se identifican tecnologías de IA en procesos que involucren el tratamiento de datos personales, suspender su uso hasta que se realice una evaluación de impacto en la que se analicen los riesgos sobre los datos personales. En caso de que se considere aceptable su uso, actualizar el registro de operaciones de tratamiento y el plan de tratamiento de riesgos con las medidas que sean necesarias.
- Elaborar una política de uso de IA en la organización, o actualizar las políticas existentes contemplando medidas especiales para el uso de IA. Estas políticas deben incluir medidas como:
- La notificación al Área TI de la decisión de utilizar estas tecnologías, con el fin de contar con un registro y control de las mismas en coordinación con el área de cumplimiento normativo.
- La prohibición del uso que implique suministrar o tratar datos personales (salvo que de la EIPD se concluya que sí puede utilizarse) y/o información de carácter confidencial al sistema de Inteligencia Artificial.
- La regulación de su uso en áreas donde se estén empleando con mayor intensidad, como las áreas de desarrollo, marketing y ventas, o de gestión.
- Reforzar el canal de comunicación con el área de cumplimiento para notificar cualquier incidencia o brecha de seguridad que pueda generarse relacionada con estas tecnologías.
- Estar atentos a los próximos pronunciamientos de la AEPD y actuar en consecuencia.
Si tienes más dudas, ponte en contacto con tu consultor de Cohaerentis de referencia.
Para más información:
Juan Carlos Álvarez
Socio-Consultor en cohaerentis
Especialista en Competitividad y Derecho Digital