El organismo de control de datos del Reino Unido, la Oficina del Comisionado de Información (ICO, por sus siglas en inglés), ha advertido a las empresas que despliegan y desarrollan sistemas de IA generativa como ChatGPT que se aseguren de que la protección de la información de los clientes ocupa un lugar central en sus planes.
La recomendación se produce luego de una criticada prohibición a ChatGPT por parte de Italia y mientras algunos países europeos estudian la posibilidad de suspender la plataforma mientras OpenAI responde a las preguntas sobre cómo recopila y procesa los datos.
Stephen Almond, director de tecnología e innovación de la OIC en el Reino Unido, escribió una entrada en su blog titulada: “IA generativa: ocho preguntas que los desarrolladores y los usuarios deben hacerse”, donde plantea las preguntas que las empresas deben plantearse antes de incorporar la IA a flujos de trabajo en los que estén implicados datos de clientes.
“Las noticias sobre las implicaciones de la inteligencia artificial (IA) generativa y los grandes modelos lingüísticos (LLM) están alcanzando su punto álgido, y casi dos mil académicos y expertos en tecnología firmaron la semana pasada una carta en la que pedían una moratoria de seis meses”, escribe Almond, según el cual los LLM (como ChatGPT) y sus casos de uso -desde la redacción de ensayos hasta la alimentación de chatbots o la creación de sitios web sin codificación humana de por medio- han cautivado la imaginación del mundo. Pero es importante dar un paso atrás y reflexionar sobre el uso que esta tecnología está haciendo de los datos personales”.
Almond hace referencia a una conversación reciente que mantuvo con ChatGPT, quien le dijo que “la IA generativa, como cualquier otra tecnología, tiene el potencial de plantear riesgos para la privacidad de los datos si no se utiliza de forma responsable”. Almond cree que no hace falta demasiada imaginación para ver el potencial que tiene una empresa de dañar rápidamente una relación con los clientes que tanto le ha costado conseguir mediante un uso deficiente de la IA generativa. “Pero aunque la tecnología es novedosa, los principios de la ley de protección de datos siguen siendo los mismos, y existe una hoja de ruta clara para que las organizaciones innoven de forma que respeten la privacidad de las personas”.
“Las organizaciones que desarrollen o utilicen IA generativa deberían considerar sus obligaciones en materia de protección de datos desde el principio, adoptando un enfoque de protección de datos desde el diseño y por defecto. Esto no es opcional: si está procesando datos personales, es la ley”, escribe el director del ICO.
“La ley de protección de datos sigue siendo aplicable cuando la información personal que está procesando procede de fuentes de acceso público. Si está desarrollando o utilizando IA generativa que procesa datos personales, debe hacerse las siguientes preguntas”:
- ¿Cuál es su base legal para procesar datos personales? Si está procesando datos personales debe identificar una base legal adecuada, como el consentimiento o los intereses legítimos.
- ¿Es usted responsable del tratamiento, corresponsable del tratamiento o encargado del tratamiento? Si está desarrollando IA generativa utilizando datos personales, tiene obligaciones como responsable del tratamiento. Si está utilizando o adaptando modelos desarrollados por otros, puede ser un controlador, un controlador conjunto o un procesador.
- ¿Ha preparado una evaluación del impacto sobre la protección de datos (EIPD)? Debe evaluar y mitigar cualquier riesgo para la protección de datos mediante el proceso de EIPD antes de empezar a procesar datos personales. Su EIPD debe mantenerse actualizada a medida que evolucionen el tratamiento y sus repercusiones.
- ¿Cómo garantizará la transparencia? Debe hacer pública la información sobre el tratamiento, a menos que se aplique una exención. Si no le supone un esfuerzo desproporcionado, debe comunicar esta información directamente a las personas a las que se refieren los datos.
- ¿Cómo mitigará los riesgos de seguridad? Además de los riesgos de fuga de datos personales, deberá considerar y mitigar los riesgos de inversión de modelos e inferencia de miembros, envenenamiento de datos y otras formas de ataques adversarios.
- ¿Cómo limitará el procesamiento innecesario? Debe recopilar únicamente los datos adecuados para cumplir su finalidad declarada. Los datos deben ser pertinentes y limitarse a lo necesario.
- ¿Cómo cumplirá con las solicitudes de derechos individuales? Debe poder responder a las solicitudes de acceso, rectificación, supresión u otros derechos de información de las personas.
- ¿Utilizará IA generativa para tomar decisiones exclusivamente automatizadas? Si es así – y éstas tienen efectos legales o de importancia similar (por ejemplo, diagnósticos sanitarios importantes) – las personas tienen más derechos en virtud del artículo 22 del GDPR del Reino Unido.
“Como regulador de la protección de datos, formularemos estas preguntas a las organizaciones que desarrollen o utilicen IA generativa. Actuaremos cuando las organizaciones no cumplan la ley y no tengan en cuenta el impacto sobre los individuos”, escribe Almond, según el cual “realmente no puede haber excusa para equivocarse en las implicaciones para la privacidad de la IA generativa. Trabajaremos duro para asegurarnos de que las organizaciones lo hacen bien”.
