Carlos B Fernández. La autoridad de protección de datos y libertad de la información de Hamburgo (HmbBfDI, por su abreviatura en alemán), ha emitido un documento en el que presenta un listado de control o checkist, para el uso de chatbots basados en grandes modelos de lenguaje (LLM, por su abreviatura en inglés).
Se trata de un documento breve y claro, que recoge unas claras pautas para proteger la privacidad de las personas frente al uso de esta IA generativa proporcionada a través de un chatbot, que ofrece la oportunidad de crear contenidos de forma rápida y sencilla.
En su comienzo, el documento destaca que en muchas organizaciones, estas herramientas se han convertido en parte del trabajo diario, pero a menudo sin directrices vinculantes para su su uso.
Pero, advierte, el hecho de que los modelos lingüísticos suelan funcionar en la nube entraña diversos riesgos para la protección de datos. En primer lugar, se pone en peligro la protección de datos confidenciales, ya que muchas empresas trabajan con el mismo modelo de LLM basado en la nube y estos datos se utilizan como entrada para seguir entrenando los modelos, por lo que pueden transferirse secretos comerciales y datos personales. Por otro lado, existe el riesgo de que los datos personales se traten de forma no autorizada debido a la generación de resultados incorrectos, especialmente en el caso de categorías de datos especialmente sensibles.
Por todo ello, esta lista de control se presenta como una guía para empresas y autoridades públicas sobre un uso de estos chatbots conforme a la protección de datos.
Principios
1. Especifique las normas que deben cumplirse para el uso de estos sistemas
Se deben formular y documentar directivas internas precisas sobre si y en qué condiciones pueden utilizarse estas herramientas. El uso de ejemplos concretos de escenarios de uso autorizados y prohibidos ayudan a clarificarlo.
2. Implique a su responsable de protección de datos
Involucre siempre a su responsable interno de protección de datos cuando cree directivas internas o aplique un caso de uso por primera vez. Dependiendo del caso de uso, deberá realizar una evaluación del impacto en la protección de datos. Si es necesario, también puede tener sentido contar con el comité de empresa.
3. Proporcione a sus empleados una cuenta empresarial para el uso del chat
Ponga a disposición de su organización cuentas de chatbot no personales. Los empleados no deben crear una cuenta por su cuenta utilizando datos privados. Esto daría lugar a la elaboración de perfiles del empleado en cuestión. Si se desea utilizar la IA en un contexto profesional, también deben proporcionarse cuentas profesionales. Si es posible, estas cuentas no deben contener nombres de personas. Si se solicita la dirección de correo electrónico, es aconsejable especificar una dirección de correo electrónico creada exclusivamente para este fin.
4. Emplee un sistema de autenticación segura
Las cuentas para chatbots de IA utilizadas con fines comerciales ofrecen un considerable potencial de abuso. Si los atacantes obtienen acceso no autorizado a la interfaz de la aplicación, pueden ser capaces de ver las actividades anteriores si el historial de chat no está desactivado. También pueden utilizar sus propias consultas para obtener información personal y secretos comerciales. Por esta razón, debe prestarse especial atención a la autenticidad de los datos.
5. No introduzca datos personales
Si las condiciones permiten al proveedor de la IA tratar los datos para sus propios fines, no se deberá transmitir ningún dato personal a la IA. Esto se aplica a cualquier información que contenga conclusiones sobre clientes, socios comerciales u otros terceros, así como datos de los propios empleados de la empresa. Por lo general, no será posible encontrar una base jurídica para ello. La persona que introduzca los datos tampoco debe ser identificable si no se puede encontrar una base jurídica para el tratamiento de sus datos.
6. No incluya datos personales en los resultados
Asegúrese de que los resultados de la aplicación de IA no contengan datos personales. Aunque el comando de entrada no nombre a una persona, la IA puede incluir entradas anteriores o información de Internet en determinadas circunstancias. Por tanto, las entradas deben limitarse a casos que no se refieran a personas.
7. Precaución con los datos de identificación personal
Evite también las entradas que puedan estar relacionadas con personas concretas. No basta con eliminar nombres y direcciones de la entrada. También puede ser posible extraer conclusiones sobre los autores y los interesados a partir del contexto. Este riesgo es especialmente elevado en el caso de las aplicaciones de IA diseñadas para crear referencias cruzadas a partir de datos no estructurados.
8. Excluya sus datos del entrenamiento del sistema de IA
Rechace el uso de tus datos con fines de entrenamiento. Los fabricantes de modelos de IA suelen utilizar todos los datos introducidos para el posterior entrenamiento de su modelo de IA. Los particulares y los empleados de otras empresas pueden entonces "pedir" a la IA que les proporcione estos contenidos. Sin embargo, dependiendo del servicio utilizado, es posible oponerse al uso con fines de formación. En algunos casos, hay que reservar un modelo de contrato específico para ello, que difiere de la aplicación estándar gratuita.
9. Excluya la opción de conservar el historial de consultas
Los servicios basados en el chat suelen ofrecer la posibilidad de guardar entradas anteriores para poder reanudar el diálogo sobre un tema en otro momento. Esto significa inevitablemente que las entradas de una persona están vinculadas entre sí. Conviene desactivar el historial, sobre todo si el diálogo es compartido por varios empleados, ya que de lo contrario el contenido puede ser visto por todos los compañeros.
10. Compruebe la exactitud de los resultados
Los resultados de una consulta al chatbot deben tratarse con precaución. Los grandes modelos lingüísticos generan textos que se acercan al resultado deseado por medio de una mera probabilidad matemática. Esto no significa que toda la información proporcionada sea correcta. Al contrario, los LLM conocidos suelen basar sus resultados en información relativamente antigua. También son conocidos por el fenómeno de "alucinación", en el que la IA inventa afirmaciones que parecen correctas y lógicas pero que en realidad son incorrectas. Por todo ello, es responsabilidad del usuario comprobar la exactitud del resultado ofrecido.
11. Compruebe la posible discriminación contenida en los resultados
Independientemente de su exactitud, los resultados de un sistema basado en LLM también pueden ser inapropiados si, por ejemplo, tienen un efecto discriminatorio. Por tanto, el tratamiento de datos basado en ello puede ser inadmisible porque viola la legislación antidiscriminación o no resiste la ponderación de intereses prevista en la letra f) del artículo 6.1, del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016). El usuario es responsable de comprobar si las respuestas son aceptables en el marco legal.
12. No adopte decisiones de forma automatizada
Por lo general, las decisiones con efectos jurídicos sólo deben ser tomadas por seres humanos. En caso de aplicarse decisiones automatizada deben cumplirse los requisitos del art. 22 del RGPD (LA LEY 6637/2016). Si un chatbot basado en LLM desarrolla propuestas que son aceptadas por los empleados, deben asegurarse de que tengan un alcance real para la toma de decisiones.
Evite verse vinculado de facto por los resultados ofrecidos, ya que pueden adolecer de falta de transparencia sobre el trabajo preliminar realizado por la IA, lo que le impediría comprender el proceso de toma de decisiones. La insuficiencia de recursos y la presión del tiempo también pueden llevar a que se acepten los resultados sin ser examinados.
13. Sensibilice a los empleados
Sensibilice a los empleados mediante formación, directrices y debates sobre si están autorizados a utilizar herramientas de IA y cómo.
14. La protección de datos no lo es todo
Además de la necesidad de proteger los datos personales, también es aconsejable regular otros aspectos como la protección de los derechos de autor o los secretos comerciales. En el caso de casos de uso oficial, deben considerarse prohibiciones de divulgación y otras regulaciones.
15. Siga la evolución de la regulación
Finalmente, tenga en cuenta la regulación de la IA que está preparando actualmente la UE. Es probable que la futura regulación de la IA afecte no sólo a los proveedores de estos servicios, sino también a determinados usuarios. Debido a el avance de las soluciones técnicas y las continuas actualizaciones de los nuevos sistemas y modelos lingüísticos, debe revisarse periódicamente si es necesario establecer requisitos internos.