Curriculum vitae, textos legales, contratos, presentaciones internas de organizaciones, biografías, emails, proyectos de trabajos, síntomas médicos, historias clínicas, hasta lo que tenemos en la nevera. Todo lo metemos alegremente en ChatGPT, Bing Chat y otras IA generativas después de haber aceptado una política de privacidad bastante opaca que no cumple, o queda fuera de la normativa europea de protección de datos, en el mejor de los casos, según expertos consultados por Newtral.es.
Hace unos días, un problema técnico de ChatGPT expuso los títulos de las sesiones de chats de varios usuarios, en lo que claramente parece ser una brecha de datos personales. “Un pequeño porcentaje” de usuarios pudieron ver la lista de conversaciones de otros, según Sam Altman, el director ejecutivo de OpenAI, que reconoció que el error provocó “un problema significativo” y que el arreglo mantendrá a los usuarios sin acceso a su historial durante un tiempo.
Google conoce nuestras búsquedas pero ChatGPT conversa con nosotros
No sólo metemos en ChatGPT escritos que vayan a ser publicados. Planes de ejercicio físico, dietas nutricionales, pedido de consejos o recomendaciones, apoyo emocional. Muchas de las conversaciones que se mantienen con estos asistentes revelan qué nos preocupa, qué amamos, qué tememos.
ChatGPT ha sido creado con ajustes finos conversacionales, por lo que su objetivo no es tanto dar respuestas veraces sino contestar siempre de una forma coherente y creíble. En este espíritu incorpora fórmulas destinadas a mantener el tono de una conversación: saluda, pide disculpas, reconoce sus errores.
Muchas personas se asombran de verse usando con él expresiones de cordialidad, como “gracias” y “por favor”, pero es muy lógico que funcionemos así: somos seres humanos empáticos y estamos ante un modelo de lenguaje que se ha perfeccionado para imitar nuestro lenguaje. El truco funciona, y después de unos minutos charlando, es usual escribir textos con un nivel de conversación como el que usamos con un amigo o una persona cercana, sin pensar demasiado en todo lo que aceptamos cuando hicimos clic en la política de privacidad al crear la cuenta.
Google conoce las palabras clave de nuestras búsquedas, pero ChatGPT sabe mucho más que eso: reconoce en qué está puesta nuestra atención, incluso cómo formulamos lo que queremos, puede entrar en espacios de privacidad a los que Google aún no tenía acceso. ChatGPT conoce -y analiza- nuestros matices, la forma en que preguntamos, qué eludimos nombrar, qué repetimos constantemente, qué nos obsesiona, cómo reaccionamos a lo que nos dice. Y esto sin hablar de las imágenes, que ahora ChatGPT 4 también puede ingerir.
300.000 millones de palabras. Entre ellas, las tuyas
ChatGPT es muy buena generando lenguaje humano escrito porque ha sido alimentada sistemáticamente con una cantidad masiva de textos recogidos de internet: publicaciones en blogs, artículos, Wikipedia, páginas webs, foros públicos. La nueva versión, ChatGPT 4, incorpora 300.000 millones de palabras. Entre ellas pueden estar las tuyas si alguna vez escribiste un comentario o un post en internet.
Esto también es problemático a nivel de privacidad, empezando por los creadores de ese contenido, a los que nadie ha pedido consentimiento para este uso, y por el que ya OpenAI se enfrenta a varias demandas. Aunque la información hubiera sido puesta a disposición pública, su uso viola un aspecto de la privacidad que se llama integridad contextual, y es que cuando publicas algo lo haces en un contexto determinado. Si luego una máquina coge una frase que utilizaste en ese contexto y la usa como respuesta a una pregunta diferente, puedes estar diciendo algo que no dijiste.
También en los textos que ChatGPT genera hay, desde luego, datos personales, que pueden ser erróneos, o privados, o proceder de fuentes con copyright. Y ese es otro problema.
La privacidad de los datos en textos generados por ChatGPT
En redes y publicaciones digitales se han multiplicado los artículos y capturas de pantalla que aconsejan usos para ChatGPT, pero hay poca información sobre la gestión de datos personales en los contenidos que consume y devuelve el chatbot más utilizado.
OpenAI, que ha sabido comunicar muy bien el lanzamiento público de una IA avanzada como ChatGPT, no está siendo elocuente de la misma manera con cuestiones como el tratamiento de datos personales o explicando qué pasa con la privacidad y los derechos de las personas mencionadas en los textos que genera.
La política de privacidad de una compañía tiene que reflejar sus prácticas con respecto al tratamiento de datos, y en el caso de ChatGPT hay varios tipos de datos personales en juego.
- Los datos que se dan para el registro y uso de la web, que incluyen nombre, email, móvil, contraseñas, información de tu tarjeta de crédito y transacciones.
- Los inputs, instrucciones o texto o imágenes que enviamos a ChatGPT en la conversación, como consulta, que ChatGPT llama Contenido (Content).
- Los textos que genera ChatGPT, que OpenAI también denomina Contenido.
A Paula Ortiz, abogada experta en derecho digital, lo primero que le llama la atención de la política de privacidad de ChatGPT es que se refiere únicamente al uso de los datos de los usuarios registrados en ChatGPT (puntos 1 y 2), pero no hace mención sobre el uso de datos personales que puede hacer la IA de otras fuentes, como las que usa para generar los textos que devuelve (punto 3).
Ni en ese texto legal ni en otros que se encuentran en la web de OpenAI se aclara cómo tratan los datos personales para generar contenido y cómo los protegen. En ese sentido, “no se puede saber si OpenAI utiliza información personal ni se pueden ejercer los derechos de protección de datos, como el de rectificación o cancelación”, dice la abogada. Newtral.es ha podido comprobar cómo al preguntar información sobre personas, ChatGPT inventa datos, relaciones y biografías falsas. ¿Cómo podrían esas personas acceder a cambiar esa información errónea sobre sí mismas? En el caso de ChatGPT no hay opción.
Qué dice la política de privacidad de ChatGPT
Lo que sí hay en la política de privacidad de ChatGPT es referencia a cómo trata la información personal que recolectan del usuario cuando usa la web y sus servicios, y aquí entran los datos de registro y todo lo que entre en las instrucciones que el usuario les da (los puntos 1 y 2 más arriba).
No son los únicos que recopila OpenAI. Según la política de privacidad de la empresa, además recoge la dirección IP, el tipo de navegador y su configuración, así como datos sobre las funciones que utilizan y las acciones. También guarda información sobre el comportamiento de navegación y sitios web visitados por sus usuarios.
“Esta política de privacidad actualmente no recoge los estándares de los principios y derechos del RGPD” (Ortiz)
¿Para qué usa esta información personal? Además de los usos obvios, como permitir ofrecer el servicio, cumplir con obligaciones legales y comunicarse con los usuarios, mencionan llevar a cabo investigaciones y desarrollar nuevos programas y servicios, sin dar más detalles.
Según Ortiz, de acuerdo a las normativas de privacidad europeas, estas finalidades de los datos recogidos por ChatGPT deberían aceptarse por separado, y OpenAI debería dar información más específica sobre estos fines: ¿qué tipo de investigaciones? ¿Qué terceras partes participarán de ese acceso? ¿Qué tipo de programas y servicios? No está claro. Es evidente que Microsoft, que ha invertido 1.000 millones de dólares en ChatGPT, ha prometido 10.000 millones más en los próximos años y es un socio preferente de OpenAI, tiene acceso a estos datos, pero tampoco lo dicen en estos textos legales.
Además de recoger y acceder a esta ingente cantidad de datos personales, la empresa dueña de ChatGPT dice que los compartirá con terceros, sin avisarte.
El Reglamento General de Protección de Datos (RGPD) es de aplicación a todas aquellas empresas que dirijan sus servicios a, o traten datos de ciudadanos de la UE, y por eso, lo segundo que llama la atención de esta experta en derecho digital es que la política de privacidad de OpenAI no menciona al RGPD, si no a la normativa de California. “Salvo una única referencia al final para mencionar quién es el responsable, que por cierto está en California”, observa Ortiz.
Si pagas por ChatGPT, tienes una privacidad diferente a los que no pagan
El tratamiento de los datos es diferente para usuarios de pago que para los que hacen uso gratuito de los servicios. Según OpenAI, la política de privacidad de ChatGPT en la web no es aplicable al contenido que procesan en nombre de sus clientes, como el de la API. La empresa dice que el uso que hacen de esos datos se rige por acuerdos con esos clientes, pero no los menciona ni explica nada más.
En una respuesta a las preguntas más formuladas en la web, Yaniv Markovski, jefe de Ingeniería de Soporte y Comunidad en OpenAI, dice que OpenAI no utiliza los datos enviados por los clientes a través de su API para entrenar sus modelos o mejorar su oferta de servicios, pero se refiere sólo a la API que utilizan con sus clientes, y no a los enviados a su servicio gratuito en la web.
☷
La historia de OpenAI
La abogada Ortiz ve lagunas también en la política de privacidad de ChatGPT cuando se refiere al acceso que la empresa da a terceros a los datos personales de sus usuarios. “La política es genérica e intercala tratamientos de terceros que pueden estar legitimados, por ejemplo, porque son para la prestación del servicio, con posibles cesiones o comunicaciones a terceras empresas para finalidades no directamente relacionadas con el objeto. Hace mención a proveedores y afiliados, pero no indica de forma concreta para qué van a acceder a esos datos”, algo que, bajo la normativa europea, necesitaría una legitimación específica. El usuario tendría que conocer quiénes son esas empresas y para qué usan los datos.
Por muchas de estas indefiniciones y vacíos legales en ChatGPT, Ortiz afirma que “esta política de privacidad actualmente no recoge los estándares de los principios y derechos del RGPD”.
Las leyes de privacidad, por detrás de la tecnología de las IA generativas
OpenAI ha abierto un formulario para usuarios de cuentas gratuitas de ChatGPT o Dall-E que quieran excluir su contenido (que no va a través de API) de las investigaciones y el entrenamiento de los modelos de OpenAI.
Esto es excluir esos datos a futuro, pero ¿qué sucede con aquellos datos personales que ya ha ingerido y aquellos textos que devuelve en los que ya hay información, muchas veces errónea, de personas reales? “No puedes defenderte, no hay una regulación, no hay un derecho como tal a ejercer una acción con respecto a esta tecnología”, dice Samuel Parra, abogado especializado en el área tecnológica del Derecho.
“Se dice que el derecho suele ir por detrás de la tecnología, y eso es cierto”, dice este abogado, a quien lo que pasa con ChatGPT le parece algo similar a lo que ocurrió con Google y las redes sociales. “Se creó un buscador y estuvimos sin una tecnología específica para eso durante 20 años”, recuerda. “Hemos estado jugando con las normas que teníamos entonces durante ese tiempo y ahora vemos regulaciones específicas de redes sociales. Aquí va a pasar lo mismo, se va a integrar la IA en buscadores, en Word, y otros programas. Van a dar una serie de resultados, información que afectará a la privacidad de las personas y veremos que la ley que tenemos no encaja en estos supuestos”.
La normativa a la que se refiere Parra es la recién estrenada Ley de Servicios Digitales (DSA), que se escribió pensando en plataformas de otro tipo, porque no existía ChatGPT ni una IA de este tipo a disposición del público. Según Parra, ChatGPT necesitaría estar definido en esas leyes, porque es otra cosa distinta, no es una lista de resultados o un índice. “Aplicaremos leyes antiguas a tecnología moderna y no encajará”, dice el abogado. No hay un vacío legal, según él. “Siempre es posible intentar adaptar lo que tenemos a lo que vaya surgiendo, pero eso puede generar problemas”.
Los legisladores europeos se encuentran debatiendo una normativa sobre inteligencia artificial propuesta por la Comisión Europea, que apuesta por proteger a los ciudadanos de los peligros de estas tecnologías emergentes. Una reunión de cinco horas el 13 de febrero resultó estéril y los legisladores siguen enfrentados por varios aspectos de la ley. Llegar a un acuerdo se complica, según fuentes que cita Reuters, por los avances de la tecnología como ChatGPT en estos últimos meses.
En cualquier caso, a efectos de proteger nuestros datos personales en entornos de inteligencia artificial, Parra cree que nuestra mejor arma es el RGPD, a día de hoy. «Podríamos empezar solicitando a OpenAI el derecho de acceso para ver qué información personal está tratando relacionada con mi cuenta y con qué concretas finalidades», sugiere.
Fuentes
Paula Ortiz, abogada experta en derecho digital y Public Policy
Samuel Parra, abogado especializado en el área tecnológica del Derecho
Política de Privacidad, OpenAI
Privacy as Contextual Integrity, Helen Nissenbaum
ChatGPT bug temporarily exposes AI chat histories to other users, The Verge
As AI booms, EU lawmakers wrangle over new rules, Reuters
How your data is used to improve model performance, OpenAI
La historia de OpenAI: lo que ChatGPT no te cuenta sobre su empresa matriz
