En los últimos años, la inteligencia artificial (IA) y, en particular, los chatbots basados ​​en IA generativa (Gen-IA) se han convertido en productos populares en Internet y, a menudo, están disponibles gratuitamente para el público. Por lo general, estos sistemas de chatbots pueden responder a preguntas o tareas de entrada con precisión porque utilizan un modelo subyacente que ha pasado por un proceso de entrenamiento, a menudo basado en muchos conjuntos de datos grandes, que a veces incluyen datos que son de acceso público en Internet.

Estos sistemas, conocidos como modelos de lenguaje grandes (LLM), a menudo utilizan un proceso conocido como procesamiento del lenguaje natural, para aprender e imitar cómo se utiliza naturalmente el habla humana [1]. Estos LLM se pueden empaquetar y ajustar para muchos casos de uso diferentes, incluido el chat [2], pero también para la búsqueda en Internet, la escritura creativa, la asistencia con la escritura de software, la creación de multimedia, la asistencia con la redacción de ensayos, la provisión de posibles respuestas a problemas de matemáticas o ciencias y una variedad de otros propósitos.

Además de los sistemas de modelos de lenguaje de IA generativa, hay muchos otros sistemas y productos de IA disponibles para su uso o compra, para realizar otros tipos de tareas. Estas pueden incluir resumir documentos o extraer palabras clave; ayudar con análisis industriales, financieros, legales, educativos, minoristas, de medios, publicitarios, médicos o científicos; realizar tareas repetitivas, simples o de gran volumen.

Algunos de estos sistemas de IA también se pueden especializar aún más mediante el «reentrenamiento», «aumento» o «ajuste fino» con conjuntos de datos específicos relacionados con una tarea en particular o con información particular que usted tenga. A menudo, esto se hace mediante el uso de productos de IA basados ​​en la nube o mediante la concesión de licencias de un modelo existente. A veces, estos también se pueden ofrecer a otros como un nuevo producto, pero que ahora incluye su información especializada incorporada. Debido a su versatilidad, este tipo de tecnologías pueden ser potencialmente más atractivas y útiles para algunas personas en el hogar o en el lugar de trabajo.

Al utilizar sistemas de IA como este, existe el potencial de procesamiento de datos personales tanto en el desarrollo de un modelo de IA como en su uso posterior. Además, dependiendo del contexto y el alcance del procesamiento de datos personales, puede haber riesgos asociados que las personas y las organizaciones deben conocer desde el principio, por ejemplo:

• Puede haber una tendencia a utilizar grandes cantidades de datos personales durante las fases de entrenamiento, a veces de forma innecesaria y sin su conocimiento, consentimiento o permiso
• Puede haber problemas para usted u otras personas derivados de la precisión o retención de los datos personales utilizados (o generados), por ejemplo, en situaciones en las que los resultados de los sistemas de IA se utilizan como parte de un proceso para tomar decisiones
• Puede haber problemas para usted si los modelos basados ​​en sus datos personales se comparten con otras personas para fines que usted no conoce o con los que no está de acuerdo o que no protegen adecuadamente los datos
• Los datos de entrenamiento inexactos o incompletos pueden causar sesgos en los sistemas de IA, para usted o para otras personas, que conducen a decisiones que afectan sus derechos de alguna manera
• Cuando nuevos datos personales pasan a formar parte de los datos de entrenamiento para nuevas versiones perfeccionadas de un modelo, esto puede exponerlo a usted o a otras personas a este tipo de riesgos, donde antes no estaban

Por lo tanto, ya sea un individuo o una organización, desde el principio debe Es posible que deba tener en cuenta lo que está utilizando, cómo interactúa con ello y cuáles son las consecuencias, independientemente de los resultados útiles o creativos que pueda obtener al hacerlo. Cuando se trata de datos personales, el RGPD y las normas de protección de datos entran en juego, tanto para las personas y organizaciones que utilizan sistemas de IA como para los proveedores de modelos o productos. A continuación, se exponen algunas de estas consideraciones.

Riesgos para la organización que utiliza sistemas de IA

Para que una organización evalúe si el uso de productos o sistemas de IA es adecuado para ella, primero se deben reconocer los riesgos asociados con cualquier procesamiento de datos personales con un sistema de IA elegido para que la organización pueda garantizar que el procesamiento cumpla con el RGPD. Debido a su reciente aumento en disponibilidad y accesibilidad, los productos de IA entrenados con datos personales, o en los que los datos personales son ingresados ​​por su personal, pueden presentar nuevos riesgos para las organizaciones y los interesados ​​que antes no se reconocían o no se tenían en cuenta. Estos riesgos también pueden variar dependiendo de si está utilizando un producto independiente o un servicio conectado a Internet o en la nube.

Como usuario de un producto de IA que depende de datos personales, su organización podría ser un controlador de datos y, de ser así, se debe considerar una evaluación de riesgos formal. Antes de comenzar a utilizar un sistema de IA, primero debe comprender qué datos personales utiliza, cómo los utiliza, a dónde van los datos personales en situaciones en las que un tercero está involucrado en el procesamiento, si el proveedor del producto de IA los conserva o los reutiliza de alguna manera, y cómo el producto le permite cumplir con sus obligaciones del RGPD. Su documentación debe explicarle claramente y de forma comprensible y accesible.

Algunos de los riesgos que conlleva el uso de productos de IA, ya sean suministrados por un tercero o desarrollados y utilizados por su propia organización, pueden ser:

• Los riesgos pueden surgir del procesamiento no deseado, innecesario o imprevisto de datos personales introducidos o utilizados para entrenar o ajustar un modelo de IA. Esto puede afectar o involucrar varios principios del RGPD, incluidos, entre otros, el principio de legalidad, equidad y transparencia y el principio de limitación de la finalidad.
• Debe implementar procesos para facilitar el ejercicio de los derechos de los interesados ​​relacionados con la interacción con los productos de IA. Este es especialmente el caso si está ingresando sus propios datos personales o los de otras personas y necesita saber dónde van o cómo se procesan. Si alguien le pide acceso a sus datos personales o que elimine los datos personales que tiene sobre él dentro del sistema de IA, ¿puede hacerlo?
• Si su organización utiliza un producto de IA proporcionado por un tercero, puede generar riesgos adicionales de seguridad u otros riesgos de protección de datos para su organización derivados del uso de datos personales que sus empleados (o sus titulares de datos) introducen en la herramienta de IA. Debe comprender plenamente cómo se protegen los datos personales cuando su organización los procesa y cuando ordena a otra organización que lo haga en su nombre.
• Algunos modelos de IA tienen riesgos inherentes relacionados con la forma en que responden a las entradas o «instrucciones», como la memorización, que puede provocar que el producto regurgite de forma involuntaria pasajes de datos de entrenamiento (personales). Si es así, su organización puede estar procesando de forma inesperada o innecesaria datos relacionados con personas identificables y, al igual que con el entrenamiento de IA, debe considerar sus obligaciones en virtud del RGPD y cómo respalda los derechos de los usuarios en virtud del RGPD.
• A veces, los productos de IA se basan en un proceso de «filtrado» para evitar que se proporcionen ciertos tipos de datos (como datos personales, datos inapropiados y datos de derechos de autor) a un usuario en respuesta a una consulta o una solicitud. En algunos casos, esos filtros pueden ser atacados y eludidos para hacer que esos datos estén disponibles o procesados ​​de formas no deseadas, no autorizadas, inseguras o riesgosas. Al igual que otros riesgos de seguridad asociados con el manejo de datos personales según el RGPD, debe comprender si esto es posible y en qué medida usted y su proveedor de IA están obligados a mitigarlo, y cómo se logra de manera efectiva.
• Los productos de IA, como los LLM, pueden ser propensos a producir información inexacta o sesgada. Si se confía en los resultados de estos productos sin un análisis o intervención humana crítica, se pueden estar introduciendo riesgos de «toma de decisiones automatizada». Las decisiones puramente automatizadas tienen el potencial de causar daño, consecuencias significativas o limitación de los derechos de las personas involucradas.
• Sin un programa de retención y procesos asociados, su organización corre el riesgo de no cumplir con el principio de «limitación de almacenamiento».
• Considere si publica datos personales en su propio sitio web. Estos pueden ser de su personal o de los usuarios de su sitio web. Es posible que deba asegurarse de proteger esos datos personales para que no se recopilen ni se utilicen para capacitación en IA u otro procesamiento cuando aún no haya acordado ese propósito con su personal o usuarios, o si no tienen una expectativa razonable de que se utilizarán para capacitación en IA.

Diseñadores, desarrolladores y proveedores de productos de IA

Si su organización tiene la intención de crear un producto de IA que utilice datos personales, si tiene la intención de ofrecérselo a otros o si tiene la intención de reutilizar un producto de IA existente para un nuevo propósito, debe evaluar sus obligaciones de cumplimiento del RGPD.

Como proveedor de un producto de IA, puede ser considerado un controlador o procesador según el RGPD. Si es así, debe asegurarse de cumplir con todas las obligaciones del RGPD pertinentes durante la recopilación, el procesamiento y el uso operativo del producto que utiliza datos personales. Además, si tiene la intención de licenciarlo u ofrecerlo como un producto independiente que interactúa con datos personales de alguna manera, debe asegurarse de que su producto facilite la protección de datos en su diseño y funcionamiento [3].

A continuación, se presentan algunas consideraciones que debe tener en cuenta cuando los datos personales están involucrados en su producto de IA:

• Considere el propósito y los objetivos de su procesamiento y si existen otras tecnologías o medios que no sean de IA para alcanzarlos. Estas alternativas pueden ser menos riesgosas o más apropiadas para usted.
• Si está creando un modelo de IA y utilizando datos de acceso público, recuerde en primer lugar que los datos personales de acceso público siguen estando dentro del ámbito de aplicación del RGPD.
• Si está creando un modelo de IA con datos personales existentes que ha recopilado, también debe considerar si los fines de procesamiento propuestos están dentro del alcance de la base legal existente que tiene.
• En particular, al evaluar la necesidad y proporcionalidad del procesamiento (incluida cualquier recopilación de datos personales, de acceso público o no), debe tener en cuenta los fines para los cuales las personas han hecho accesibles públicamente sus datos personales. Esto incluye sus expectativas razonables sobre cómo se pueden usar, más allá, por ejemplo, de que otros los vean o lean.
• Al utilizar datos personales, considere todos los riesgos involucrados en el diseño, la creación y el uso posterior de su modelo de IA o producto. Esto puede requerir la realización de una evaluación de impacto de la protección de datos [4], especialmente cuando la tecnología o el procesamiento son nuevos para usted, cuando está combinando conjuntos de datos o cuando está utilizando o tiene la intención de utilizar datos personales relacionados con menores o miembros vulnerables de la sociedad. También puede considerar que sería una buena práctica realizar dicha evaluación de impacto de todos modos. Si tiene acuerdos de intercambio de datos con otras organizaciones que permiten que sus datos personales se utilicen para entrenar su modelo y compartir o conceder licencias sobre ese modelo, debe asegurarse de tener una base legal para procesar esos datos personales de esa manera, así como de garantizar que el procesamiento sea justo y transparente.
• Además de las obligaciones de protección de datos, es posible que deba considerar otras obligaciones como los derechos de autor, la seguridad y la protección.
• Considere el requisito de ser transparente con los interesados ​​cuyos datos personales está procesando o ya ha procesado e infórmeles qué procesamiento está realizando, cómo lo está haciendo y cómo pueden ejercer sus derechos de protección de datos. Estos incluyen los derechos de acceso, rectificación o eliminación. La capacidad de defender estos derechos de manera efectiva debe considerarse en la etapa más temprana posible del desarrollo.
• Considere cómo cumple con el principio de «limitación de almacenamiento» con respecto a los datos personales que procesa para producir su sistema, producto o modelo de IA.
• Evalúe las consecuencias y los impactos si decide compartir los modelos que crea o ponerlos a disposición como un producto para que otros los utilicen. Considere cómo esto afecta sus obligaciones en virtud del RGPD, las obligaciones de otros (según el considerando 78 del RGPD) y cómo se respetan y se cumplen los derechos de los interesados.
• Considere cómo asegura y protege sus productos/modelos de IA y cualquier dato personal asociado. Hágalo teniendo en cuenta cómo se utilizan, tanto de usos autorizados como no autorizados; cualquier posible consecuencia no deseada; cualquier uso o interacción malintencionados; cualquier impacto mayor que el diseño inicial previsto o cualquier limitación inherente de su producto.
• Como responsable o encargado del tratamiento, asegúrese de contar con controles adecuados de gobernanza, diseño, política y toma de decisiones de datos personales y de que los resultados del procesamiento de IA puedan afectar a los derechos y libertades de los interesados, de conformidad con los requisitos de rendición de cuentas del RGPD.

https://www.dataprotection.ie/index.php/en/dpc-guidance/blogs/AI-LLMs-and-Data-Protection