En la última semana hemos podido conocer tres noticias que nos han puesto de relieve las preocupaciones existentes en relación al tratamiento de los datos personales en los sistemas de inteligencia artificial. El Comité Europeo de Protección de Datos ha emitido un informe sobre el uso de datos por parte de Chatgpt [1], Meta ha informado que a partir de junio utilizará la información disponible de los usuarios en las redes para entrenar sus sistemas de Inteligencia artificial [2] y, además, la Agencia Española de Protección de Datos adopta por segunda vez este año y en su historia, una medida cautelar de suspensión de actividades. En este caso, frente a Meta por el anuncio de uso de los datos de carácter político de los usuarios [3], con intenciones nada transparentes ni lícitas.
¿Qué está pasando? ¿Por qué hay tanto revuelo con el uso de los datos por los sistemas de IA?¿Qué tipo de datos utilizan?¿Qué aspectos debemos tener en cuenta si somos una empresa o startup que estamos desarrollando un sistema de IA? Te lo contamos todo.
¿Cómo se tratan los datos en los sistemas de IA?
Aunque la inteligencia artificial ofrece numerosas ventajas, también puede plantear riesgos importantes para la privacidad de los ciudadanos. De hecho, el principal desafío que plantean los sistemas de aprendizaje automático se produce en materia de protección de datos. Pero no sólo porque ante ataques cibernéticos, o actuaciones imprudentes de los usuarios pudieran quedar expuestos datos personales; sino por el propio entrenamiento y funcionamiento de los sistemas de inteligencia artificial.
El entrenamiento de los modelos se realiza usando una muestra representativa de los datos que se usarán para hacer predicciones. Durante el entrenamiento de un modelo, se ajustan sus parámetros para hacer mejores predicciones y minimizar errores. Este proceso se repite varias veces hasta que el modelo concreto está preparado para hacer predicciones precisas. Una vez que el modelo ha sido entrenado, se le proporcionan nuevos datos, que usará para crear patrones y tendencias que ha aprendido y realizará una predicción precisa sobre los resultados futuros. Y se deberán realizar pruebas para proceder a evaluar el rendimiento del modelo, ajustando los parámetros según sea necesario para mejorar el rendimiento.
Ahora bien, los datos utilizados, frecuentemente extraídos de publicaciones públicas en la web, pueden incluir información personal y categorías especiales de datos según el RGPD. Además, la recopilación masiva de datos puede llevar a la exposición de información personal sensible sin el consentimiento adecuado de los usuarios, especialmente en estas fases iniciales de recopilación, preprocesamiento y entrenamiento.
¿Qué medidas están promoviendo los distintos organismos?
Las empresas que desarrollan sistemas de IA, incluyendo OpenAI con su famoso ChatGPT, o Meta, utilizan una ingente cantidad de datos para los entrenamientos de sus sistemas. De hecho, la preocupación por el tratamiento de datos de dichos sistemas es tal que se están realizando distintas investigaciones por grupos de trabajo a nivel europeo y a nivel español.
1. El informe del EDPB sobre ChatGPT
El Comité Europeo de Protección de Datos (EDPB) ha publicado un informe sobre las conclusiones obtenidas hasta el momento por el Grupo de trabajo sobre el uso de datos por parte de ChatGPT, el famoso modelo de IA desarrollado por OpenAI. Por ello, el grupo de trabajo subraya la necesidad de equilibrar los derechos de las personas con los intereses legítimos, recomendando la implementación de políticas de transparencia y el fortalecimiento de medidas de seguridad.
2. Medida cautelar de la AEPD contra META por el tratamiento de datos políticos de los usuarios
La Agencia Española de Protección de Datos (AEPD) ha ordenado la medida cautelar de suspensión del tratamiento de datos por parte de Meta ante el eventual riesgo de manipulación de los ciudadanos en los procesos electorales. Según indica la AEPD, Meta podría estar utilizando datos personales de manera inadecuada para influir en los resultados electorales, lo que representa una violación grave de las normativas de protección de datos. Unos hechos que ya se produjeron en 2015 en el conocido asunto “Cambrigde Analytics” sobre la influencia en los usuarios para alterar los resultados electorales en Estados Unidos.
En este caso, aún habrá que esperar al análisis de la AEPD.
3. Meta y el uso de datos para su inteligencia artificial
Por su parte, Meta ha actualizado su política de privacidad, y ahora los usuarios tendrán que decidir si aceptan que use tus fotos y textos para entrenar sus sistemas de Inteligencia artificial. La actualización entrará en vigor el próximo 26 de junio y afectará a Facebook, Instagram, Messenger y Threads, pero no a WhatsApp. Esta noticia ha generado controversia y preocupación entre los defensores de la privacidad y, los usuarios en general que tendrán que realizar ajustes en la Política de privacidad.*
¿Qué puedes hacer como empresa para efectuar un adecuado tratamiento de datos con tus sistemas de IA?
Todas las empresas deben cumplir con las disposiciones del RGPD y la LOPDGDD; si bien, la AEPD consciente de que la aplicación de la inteligencia artificial suscita debates interpretativos entre usuarios, desarrolladores o autoridades respecto a aspectos de los derechos de los interesados y la seguridad jurídica, elaboró la guía de protección de datos e IA en septiembre de 2023 [4].
Con carácter enunciativo, no limitativo, las empresas deben cumplir con lo siguiente:
1. Base legitimadora del tratamiento: El primer paso para asegurar que una solución de IA cumple con el RGPD es establecer una base jurídica legitimadora, que debe definirse en la fase de concepción del tratamiento para cada etapa del ciclo de vida y cada tipo de tratamiento, ya sea la creación de un componente de IA o su utilización. Por lo general, esta base legitimadora será el consentimiento del usuario, aunque existen otros supuestos previstos en el art. 6 del RGPD. No obstante, en el caso de recopilar datos de categoría especial del art. 9 del RGPD deberán tenerse en cuenta aspectos adicionales y, si no se encuentra una base legitimadora adecuada, el tratamiento no debe realizarse.
2. Proporcionar información al usuario: La información que cada responsable debe proporcionar a los interesados se encuentra en los artículos 13 y 14 del RGPD, y debe adaptarse a la etapa del ciclo de vida de la IA en la que se realice el tratamiento. La AEPD ha publicado la Guía para el Cumplimiento del Deber de Informar para ayudar en esta tarea.
3. Información adicional en el caso de decisiones automatizadas o elaboración de perfiles: En este supuesto, el artículo 13.2.f del RGPD exige proporcionar información significativa sobre la lógica aplicada y las consecuencias previstas. "Significativa" se interpreta como información que permite al interesado entender el tratamiento de sus datos y confiar en sus resultados. Ofrecer solo referencias técnicas del algoritmo puede resultar opaco y la información debe ser clara y comprensible. Además, las decisiones basadas únicamente en tratamiento automatizado, incluidas las elaboraciones de perfiles, deben garantizar intervención humana significativa, según lo establece el RGPD.
4. Medidas técnicas y organizativas: El artículo 32 de la LOPDGDD establece que los datos deben conservarse fuera del ámbito del tratamiento, aplicando medidas que impidan su procesamiento, excepto para la disposición a autoridades competentes.
En todo caso, el nuevo Reglamento europeo de la inteligencia artificial impone requisitos y obligaciones adicionales que deberán considerar y cumplir quienes sean proveedores de sistemas IA, o se encarguen de su introducción en el mercado o comercialización; además de la necesidad de clasificar el sistema en alguna de las categorías recogidas en el mismo.
Si tienes dudas sobre algún aspecto del tratamiento de datos con tu sistema de IA, en EDJ podemos ayudarte.
Y un matiz adicional sobre la herramienta de inteligencia artificial que en EDJ XTECH LAW SCHOOL, S.L. lanzamos el 5 de junio de 2024: Esta herramienta no recopila datos de carácter personal; y NO ha sido entrenada con información que contenga datos de carácter personal.
* En este punto hacemos un paréntesis de intereses para los usuarios. Para evitar que se utilicen nuestros datos con tal fin, debemos acudir a “Ajustes”, luego “Información”, seguimos en “Política de privacidad” y confirmamos que no damos el consentimiento a tal fin. No obstante, cabe destacar que la información aportada con anterioridad a la negación del consentimiento, Meta podrá utilizarla igualmente.
** Puedes descargar las Guías gratuitas en nuestra web www.edjxtechlawschool.com
Bibliografía
[1] Europapress (2024, may. 28) El grupo de trabajo que analiza ChatGPT comparte unas primeras conclusiones sobre datos públicos y transparencia. https://www.lanacion.com.ar/agencias/el-grupo-de-trabajo-que-analiza-chatgpt-comparte-unas-primeras-conclusiones-sobre-datos-publicos-y-nid28052024/
[2] Hernández, David (2024, may. 31) La OCU denuncia que META quiere tus datos para entrenar la IA y así puedes evitarlo. Computer hoy. https://computerhoy.com/apps/ocu-denuncia-meta-quieren-datos-entrenar-ia-puedes-evitarlo-1389137
[3] Scaliter, J. (2024, may. 31) La AEPD ordena una medida cautelar frente a META y el uso de datos en sus plataformas. La Razón. https://www.larazon.es/tecnologia/medida-cautelar-facebook-instagram_202405316659a25be73ed60001464698.html
[4] AEPD (2023, sept. 20) Guía para la adecuación de los sistemas de IA al Reglamento General de Protección de Datos. https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf
留言