Proteger los secretos corporativos en la era de Chat GPT: una llamada a la acción reguladora
El simple hecho de interactuar con esta herramienta podría desencadenar una filtración de información confidencial
Los avances en inteligencia artificial han generado nuevos modelos de lenguaje inteligente como ChatGPT. A estas alturas, tanto empresas como usuarios estamos familiarizados con esta herramienta capaz de aprender a partir de grandes cantidades de datos y ofrecer respuestas coherentes mediante la utilización de técnicas de aprendizaje profundo o deep learning. Sin embargo, la utilización de ChatGPT supone exponerse a determinados riesgos operativos como posibles infracciones de nuestras obligaciones de confidencialidad, acceso ilegítimo a datos personales o brechas de seguridad de la propia herramienta, entre otros. En este sentido, hemos visto casos en los que información confidencial o secretos comerciales han sido revelados involuntariamente por empleados que usan ChatGPT, suponiendo un grave perjuicio económico y reputacional para su empresa.
De esta forma, ChatGPT puede aprender de la información que se le proporciona, lo que incluye conversaciones internas y documentos confidenciales. El simple hecho de interactuar con esta herramienta podría desencadenar no solo en la revelación involuntaria de información sensible, sino en la filtración de información confidencial que ha sido facilitada a los trabajadores por parte de sus clientes bajo acuerdos de confidencialidad.
Por ello, es importante recordar que desde el momento en que los datos son introducidos en ChatGPT, la empresa pierde en gran medida el control sobre los mismos, ya que a día de hoy existen ciertas dudas acerca de la conservación de la información, al no existir una garantía absoluta de que dichos datos se eliminen por completo en caso de solicitarlo.
¿Qué se puede hacer para proteger la información confidencial ante el creciente uso de herramientas de inteligencia artificial?
En este sentido, es esencial capacitar adecuadamente a los empleados sobre los riesgos asociados con el uso de ChatGPT. Se deben proporcionar programas de formación que expliquen cómo funciona la herramienta, qué tipo de información se puede compartir de manera segura, cómo evitar la revelación involuntaria de información confidencial y las responsabilidades legales asociadas a un uso incorrecto de este tipo de herramientas.
Es recomendable también implementar una política que regule el uso de las herramientas de inteligencia artificial en el entorno empresarial. Entre otras, se deberá establecer la prohibición de introducir en la herramienta información confidencial propia o de clientes, así como datos personales que se encuentren bajo responsabilidad de la organización.
En caso de que se diseñen herramientas de inteligencia artificial o se incorpore su uso a un tratamiento de datos específico, también deberá llevarse a cabo de forma previa un análisis de riesgo detallado en el que se valoren diferentes aspectos como las técnicas y procesos en las que se base la herramienta, accesibilidad a la misma, capacidad de vincular la información que se le proporciona, seguridad de la información, etc.
Además de estas buenas prácticas, en el caso de ChatGPT también es crucial hacer un seguimiento de las recientes investigaciones llevadas a cabo tanto a nivel europeo por el Grupo de trabajo en materia de inteligencia artificial del European Data Protection Board (EDPB) como a nivel nacional por la Agencia Española de Protección de Datos (AEPD) y requerimientos por parte de las autoridades de control europeas relacionadas con la falta de transparencia en cuanto a las medidas de seguridad, periodos de conservación de datos y transferencias de datos a terceros. Las empresas deben tener claras cuáles son las políticas de privacidad de la herramienta y evaluar si se ajustan a los estándares y regulaciones aplicables en su jurisdicción, como el Reglamento Europeo de Protección de Datos (RGPD) en el caso de la Unión Europea, así como comprobar que los proveedores de cloud cumplan con su deber de garantizar la protección de datos.
Por otro lado, es necesario hacer hincapié en la aplicación de un enfoque basado en la privacidad desde el diseño en la creación de nuevas herramientas basadas en inteligencia artificial (privacy by design).
En definitiva, si bien la inteligencia artificial ofrece un potencial significativo para las empresas, también plantea desafíos en términos de protección información confidencial y datos personales. Para mitigar los riesgos se deberá hace un doble trabajo, tanto a nivel empresarial, implementando políticas claras, formando a los empleados y restringiendo su acceso, como a nivel de negocio, a través de la realización de análisis de riesgos y aplicación de principios como el privacy by design. Todo ello mientras permanecemos a la espera de la creación de marcos legales específicos que aborden adecuadamente los desafíos y riesgos asociados con el uso de estas novedosas herramientas, pues en la actualidad, el avance de la tecnología es tan rápido que su propia regulación ha quedado obsoleta y necesita de constante actualización.
José Oro Margarit, data protection officer en ERNI.