En medio de los informes de noticias recientes sobre ChatGPT, existe una gran preocupación de que una proporción considerable de la población carece de un conocimiento adecuado de cómo funciona la IA generativa, como ChatGPT. Esto podría dar lugar a la divulgación involuntaria de información confidencial y, por lo tanto, a una infracción del RGPD.
El potencial del chatbot para ayudar al crecimiento y la eficiencia empresarial ha llevado a un aumento de usuarios de múltiples sectores. No obstante, han surgido temores luego de casos en los que los empleados enviaron de manera descuidada información corporativa confidencial, junto con datos confidenciales de pacientes y clientes, al chatbot.
Como tal, es importante que las empresas adopten medidas efectivas para garantizar que los empleados en todos los campos, como la atención médica y la educación, sigan cumpliendo.
La urgencia de que las empresas implementen medidas de cumplimiento se produce después de que una investigación reciente de Cyberhaven revelara que los datos confidenciales representan el 11 % de lo que los empleados copian y pegan en ChatGPT. En un caso, la investigación proporcionó detalles de un médico que ingresó detalles privados de un paciente en el chatbot, cuyas repercusiones aún se desconocen.
Esto da lugar a graves preocupaciones con respecto al cumplimiento y la confidencialidad del RGPD.
La principal preocupación se centra en cómo los modelos de lenguaje grandes (LLM), como ChatGPT, usan datos personales para la capacitación, que luego podrían regurgitarse más adelante. Por ejemplo, si un profesional médico hubiera ingresado información confidencial de un paciente, ¿existe la posibilidad de que ChatGPT pueda proporcionar estos datos a otro usuario en caso de una consulta sobre dicho paciente más adelante?
Cuando se trata de su uso en un contexto empresarial, existen preocupaciones similares. Las empresas que emplean ChatGPT con fines administrativos pueden poner en peligro los acuerdos de confidencialidad con los clientes, ya que los empleados pueden ingresar información confidencial en el chatbot. Del mismo modo, los secretos comerciales, como códigos y planes comerciales, también pueden correr el riesgo de verse comprometidos si se ingresan en el chatbot, lo que pone a los empleados en una posible violación de sus obligaciones contractuales.
Mis preocupaciones se hicieron más evidentes cuando se supo la noticia sobre la prohibición de ChatGPT por parte del regulador italiano de protección de datos. Desde entonces, el regulador ha dicho que levantará la prohibición si ChatGPT cumple con las nuevas medidas. En una reciente yahoo! artículo, dijo que la autoridad ha solicitado que el chatbot de IA proporcione a los usuarios “los métodos y la lógica” detrás del procesamiento de datos que se lleva a cabo para que la herramienta funcione.
Además, los usuarios y no usuarios deben disponer de las herramientas “para solicitar la corrección de los datos personales generados de forma inexacta por el servicio o su eliminación, si la corrección no es posible [and] oponerse ‘de forma sencilla y accesible’ al tratamiento de sus datos personales para ejecutar sus algoritmos”.
Sin embargo, no estoy seguro de si estas medidas son suficientes, ya que no parecen abordar las preocupaciones sobre la regurgitación de datos aprendidos. En vista de esto, todas las empresas que usan ChatGPT deben adoptar medidas efectivas para garantizar que los empleados cumplan con el RGPD.
Al dejar en claro qué constituye información privada y confidencial y al describir las consecuencias legales de compartir información tan confidencial, debería poder reducir drásticamente el riesgo de que se filtre esta información.
Para ayudar con el cumplimiento de datos y la capacitación en seguridad, tenga en cuenta los siguientes consejos prácticos:
- Suponga que cualquier cosa que ingrese pueda ser accesible más tarde en el dominio público;
- No ingrese código de software o datos internos;
- Revisar los acuerdos de confidencialidad para incluir el uso de IA;
- Crear una cláusula explícita en los contratos de los empleados;
- Tener suficiente capacitación de la empresa sobre el uso de la IA;
- Crear una política de empresa y una guía de usuario para empleados;
Una cuestión paneuropea
La experiencia de Italia con ChatGPT destaca la necesidad de que las empresas de toda Europa prioricen las medidas de cumplimiento.
Dado que los LLM aún se encuentran en sus primeras etapas de desarrollo, es posible que muchas personas no comprendan claramente cómo funcionan, lo que aumenta el riesgo de enviar información privada sin darse cuenta. Además, es posible que las interfaces de los LLM no siempre cumplan con el RGPD, lo que lleva a leyes borrosas con respecto a la responsabilidad si los datos de la empresa o del cliente se ven comprometidos.
Las empresas que usan ChatGPT sin la capacitación y la precaución adecuadas pueden, sin saberlo, exponerse a violaciones de datos de GDPR, lo que resulta en multas significativas, daños a la reputación y acciones legales en su contra. Como tal, no se recomienda su uso como herramienta en el lugar de trabajo sin la capacitación y las medidas reglamentarias suficientes.
Actualmente, una de las mayores causas de filtraciones de datos en el Reino Unido en la mayoría de los sectores es el error humano. Dado que la IA se utiliza con mayor frecuencia en el ámbito corporativo, es importante hacer de la capacitación una prioridad.
Las empresas ahora deben tomar medidas para garantizar que se elaboren regulaciones dentro de su negocio y para educar a los empleados sobre cómo los chatbots de IA integran y recuperan datos. También es imperativo que el Reino Unido participe en discusiones para el desarrollo de un enfoque favorable a la innovación para la regulación de la IA”.
Las organizaciones y empresas están obligadas por ley a salvaguardar la información personal y evitar el acceso no autorizado por parte de terceros. Si no cumplen con esta obligación y se produce un incumplimiento, las personas afectadas tienen derecho a solicitar una indemnización.
Richard Forrest es director legal de Hayes Connorun bufete de abogados especializado que cubre la exposición de datos resultante de una negligencia en la protección de datos, y reclamos de violación de datos relacionadas con violaciones de la privacidad, robo de identidad y pérdidas financieras.