Los avances en inteligencia artificial han generado nuevos modelos de lenguaje inteligente como ChatGPT. A estas alturas, tanto empresas como usuarios estamos reforzados con esta herramienta capaz de aprender a partir de grandes cantidades de datos y ofrecer respuestas coherentes mediante la utilización de técnicas de aprendizaje profundo o aprendizaje profundo. Sin embargo, la utilización de ChatGPT supone exponerse a determinados riesgos operativos como posibles infracciones de nuestras obligaciones de confidencialidad, acceso ilegítimo a datos personales o brechas de seguridad de la propia herramienta, entre otros. En este sentido, hemos visto casos en los que información confidencial o secretos comerciales han sido revelados en forma voluntaria por empleados que usan ChatGPT, suponiendo un grave perjuicio económico y reputacional para su empresa.
De esta forma, ChatGPT puede aprender de la información que se le proporciona, lo que incluye conversaciones internas y documentos confidenciales. El simple hecho de interactuar con esta herramienta podría desencadenar no solo en la revelación involuntaria de información sensible, sino en la filtración de información confidencial que ha sido facilitada a los trabajadores por parte de sus clientes bajo acuerdos de confidencialidad.
Por ello, es importante recordar que desde el momento en que los datos son introducidos en ChatGPT, la empresa pierde en gran medida el control sobre los mismos, ya que a día de hoy existen ciertas dudas acerca de la conservación de la información, al no existe una garantía absoluta de que dichos datos se eliminan por completo en caso de solicitarlo.
¿Qué se puede hacer para proteger la información confidencial ante el creciente uso de herramientas de inteligencia artificial?
En este sentido, es esencial capacitar adecuadamente a los empleados sobre los riesgos asociados con el uso de ChatGPT. Se deben proporcionar programas de formación que expliquen cómo funciona la herramienta, qué tipo de información se puede compartir de manera segura, cómo evitar la revelación involuntaria de información confidencial y las responsabilidades legales asociadas a un uso incorrecto de este tipo de herramientas.
Es recomendable también implementar una política que regule el uso de las herramientas de inteligencia artificial en el entorno empresarial. Entre otras, se deberá establecer la prohibición de introducir en la herramienta información confidencial propia o de clientes, así como datos personales que se encuentren bajo responsabilidad de la organización.
En caso de que se diseñen herramientas de inteligencia artificial o se incorpore su uso a un tratamiento de datos específicos, también deberá llevarse a cabo de forma previa un análisis de riesgo detallado en el que se valoren diferentes aspectos como las técnicas y procesos en las que se base la herramienta, accesibilidad a la misma, capacidad de vincular la información que se le proporciona, seguridad de la información, etc.
Además de estas buenas prácticas, en el caso de ChatGPT también es crucial hacer un seguimiento de las investigaciones recientes llevadas a cabo tanto a nivel europeo por el Grupo de trabajo en materia de inteligencia artificial del European Data Protection Board (EDPB) como a nivel nacional por la Agencia Española de Protección de Datos (AEPD) y requisitos por parte de las autoridades de control europeas relacionadas con la falta de transparencia en cuanto a las medidas de seguridad, periodos de conservación de datos y transferencias de datos a terceros. Las empresas deben tener claras características son las políticas de privacidad de la herramienta y evaluar si se ajustan a los estándares y aplicación aplicable en su jurisdicción, como el Reglamento Europeo de Protección de Datos (RGPD) en el caso de la Unión Europea, así como comprobar que los proveedores de nube cumplir con su deber de garantizar la protección de datos.
Por otro lado, es necesario observar en la aplicación de un enfoque basado en la privacidad desde el diseño en la creación de nuevas herramientas basadas en inteligencia artificial (privacidad por diseño).
En definitiva, si bien la inteligencia artificial ofrece un potencial significativo para las empresas, también plantea desafíos en términos de protección de información confidencial y datos personales. Para mitigar los riesgos se deberá hacer un doble trabajo, tanto a nivel empresarial, implementando políticas claras, formando a los empleados y restringiendo su acceso, como a nivel de negocio, a través de la realización de análisis de riesgos y aplicación de principios como el Privacidad por diseño. Todo ello mientras permanezcamos a la espera de la creación de marcos legales específicos que aborden adecuadamente los desafíos y riesgos asociados con el uso de estas novedosas herramientas, pues en la actualidad, el avance de la tecnología es tan rápido que su propia regulación ha dejado obsoleta y necesita una actualización constante.
José Oro Margaritadelegado de protección de datos en ERNI.