Artificial Intelligence Data Governance Seguridad

Exploración de los problemas de privacidad en la era de la IA

Representación conceptual de un candado frente a una nube.

Autores

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think

Es una de las difíciles verdades de la innovación: a medida que avanza la tecnología, también lo hacen los riesgos de su uso.

Por ejemplo, las herramientas que mejoran la recopilación y el análisis de datos también aumentan la probabilidad de que los datos personales y la información confidencial aparezcan donde no pertenecen.

Este riesgo particular, el riesgo de privacidad, es especialmente frecuente en la era de la inteligencia artificial (IA), ya que la información confidencial se recopila y utiliza para crear y afinar los sistemas de IA y machine learning. Y a medida que los responsables políticos se apresuran a abordar la cuestión con normativas de privacidad en torno al uso de la IA, crean nuevos retos de cumplimiento para las empresas que utilizan tecnologías de IA para la toma de decisiones.

A pesar de las preocupaciones sobre la privacidad y el cumplimiento, las empresas continúan implementando modelos de IA para aumentar la productividad y desbloquear el valor. Echemos un vistazo más de cerca a los riesgos y salvaguardas de privacidad de la IA que afectan a la sociedad y al comercio en la actualidad.

¿Qué es la privacidad de la IA?

La privacidad de la IA es la práctica de proteger la información personal o sensible recopilada, utilizada, compartida o almacenada por la IA.

La privacidad de la IA está estrechamente relacionada con la protección de los datos. La protección de datos, también conocida como privacidad de la información, es el principio por el que una persona debe tener control sobre sus datos personales. Este control incluye la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos. Pero el concepto de protección de datos es anterior a la IA y la forma en la que la gente piensa en la protección de datos ha evolucionado con la llegada de la IA.

"Hace diez años, la mayoría de las personas pensaban en la protección de datos en términos de compras en línea. Pensaron: 'No sé si me importa si estas empresas saben lo que compro y lo que busco, porque a veces es útil", Jennifer King, miembro del Instituto de Inteligencia Artificial centrada en el ser humano de la Universidad de Stanford, explicó en una entrevista publicada en el sitio web del instituto.1

"Pero ahora hemos visto a las empresas cambiar a esta recopilación de datos omnipresente que entrena a los sistemas de IA", dijo King, "lo que puede tener un gran impacto en toda la sociedad, especialmente en nuestros derechos civiles".

Comprender los riesgos de privacidad de la IA

A menudo podemos rastrear los problemas de privacidad de la IA hasta cuestiones relacionadas con la recopilación de datos, la ciberseguridad, el diseño de modelos y el gobierno. Estos riesgos de privacidad de la IA incluyen:

  • Recopilación de datos sensibles
  • Recopilación de datos sin consentimiento
  • Uso de datos sin permiso
  • Vigilancia sin control y parcialidad
  • Exfiltración de datos
  • Fuga de datos

Recopilación de datos sensibles

Una de las razones por las que podría decirse que la IA plantea un mayor riesgo para la protección de datos que los avances tecnológicos anteriores es el gran volumen de información en juego. Terabytes o petabytes de texto, imágenes o vídeo se incluyen habitualmente como datos de formación, e inevitablemente algunos de esos datos son sensibles: información sanitaria, datos personales de las redes sociales, datos financieros personales, datos biométricos utilizados para el reconocimiento facial, etc. Dado que se recopilan, almacenan y transmiten más datos confidenciales que nunca, las probabilidades de que al menos algunos de ellos queden expuestos o se implementen de forma que infrinjan los derechos de privacidad son mayores que nunca.

Recopilación de datos sin consentimiento

Cuando los datos se obtienen para el desarrollo de la IA sin el consentimiento expreso o el conocimiento de las personas de las que se recogen, pueden surgir controversias. En el caso de los sitios web y las plataformas, los usuarios esperan cada vez más una mayor autonomía sobre sus propios datos y una mayor transparencia en la recopilación de datos. Este tipo de expectativas saltó a la palestra recientemente, cuando la red de contactos profesionales LinkedIn se enfrentó a una reacción violenta después de que algunos usuarios se dieran cuenta de que sus datos se utilizaban automáticamente para entrenar modelos de IA generativa.2

Uso de datos sin permiso

Incluso cuando los datos se recopilan con el consentimiento de las personas, los riesgos para la privacidad acechan si los datos se utilizan para fines distintos de los inicialmente revelados. "Estamos viendo datos como un currículum o una fotografía que hemos compartido o publicado con un propósito que se reutilizan para entrenar sistemas de IA, a menudo sin nuestro conocimiento o consentimiento", dijo King. En California, por ejemplo, una expaciente quirúrgica descubrió que las fotos relacionadas con su tratamiento médico se habían utilizado en un conjunto de datos de entrenamiento de IA. La paciente afirmó que había firmado un formulario de consentimiento para que su médico tomara las fotos, pero no para que se incluyeran en un conjunto de datos.3

Vigilancia sin control y parcialidad

Las preocupaciones sobre la privacidad relacionadas con la vigilancia generalizada y sin control, ya sea a través de cámaras de seguridad en la vía pública o cookies de seguimiento en ordenadores personales, surgieron mucho antes de la proliferación de la IA. Pero la IA puede exacerbar estas preocupaciones de privacidad porque los modelos de IA se utilizan para analizar datos de vigilancia. A veces, los resultados de dicho análisis pueden ser perjudiciales, especialmente cuando demuestran sesgo. En el ámbito de la aplicación de la ley, por ejemplo, varias detenciones erróneas de personas de color se han relacionado con la toma de decisiones con IA.4

Exfiltración de datos

Los modelos de IA contienen una gran cantidad de datos confidenciales que pueden resultar irresistibles para los atacantes. "Estos [datos] acaban en una gran diana a la que alguien va a intentar dar", explicó Jeff Crume, ingeniero distinguido de seguridad de IBM, en un vídeo reciente de IBM Technology (enlace externo a ibm.com). Los actores maliciosos pueden llevar a cabo dicha exfiltración de datos (robo de datos) de las aplicaciones de IA a través de varias estrategias. Por ejemplo, en los ataques de inyección de instruccioneslos hackers disfrazan las entradas maliciosas como instrucciones legítimas, manipulando los sistemas de IA generativa para exponer datos sensibles. Por ejemplo, un hacker que usa la instrucción correcta podría engañar a un asistente virtual para que reenvíe documentos privados.

Fuga de datos

La fuga de datos es la exposición accidental de datos confidenciales, y algunos modelos de IA han demostrado ser vulnerables a tales vulneraciones de datos. En un caso que generó titulares, ChatGPT, el modelo de lenguaje de gran tamaño (LLM) de OpenAI, mostró a algunos usuarios los títulos de los historiales de conversación de otros usuarios.5 También existen riesgos para los modelos de IA pequeños y patentados. Por ejemplo, supongamos que una empresa sanitaria crea una aplicación de diagnóstico interna con IA basada en los datos de sus clientes. Esa aplicación podría filtrar involuntariamente información privada de los clientes a otros clientes que utilicen una instrucción en particular. Incluso este intercambio involuntario de datos puede dar lugar a graves violaciones de la privacidad.

Seguimiento de las leyes sobre protección de la privacidad

Los esfuerzos de los responsables políticos por evitar que los avances tecnológicos pongan en peligro la intimidad de las personas se remontan al menos a la década de 1970. Sin embargo, el rápido crecimiento de la recopilación de datos comercializados y la implementación de la IA crearon una nueva urgencia para promulgar leyes de protección de datos. Estas leyes incluyen:

Reglamento General de Protección de Datos (RGPD) de la Unión Europea

El RGPD establece varios principios que deben seguir los controladores y procesadores al gestionar los datos personales. En virtud del principio de limitación de finalidad, las empresas deben tener un propósito específico y legal en mente para cualquier dato que recopilen. Deben transmitir esa finalidad a los usuarios y solo recopilar la cantidad mínima de datos necesarios para esa finalidad.

Las empresas también deben utilizar los datos de manera justa. Deben mantener informados a los usuarios sobre el tratamiento de datos personales y seguir las normas de protección de datos. Bajo el principio de limitación de almacenamiento, una empresa solo debe conservar los datos personales hasta que se cumpla su finalidad. Los datos deben eliminarse una vez que ya no sean necesarios.

La Ley de Inteligencia Artificial (IA) de la UE

Considerada la primera normativa integral mundial para la IA, la Ley de IA de la UE prohíbe algunos usos de la IA e implementa requisitos estrictos de gobierno, gestión de riesgos y transparencia para otros.

Aunque la ley de IA de la UE no tiene específicamente prácticas separadas y prohibidas sobre la privacidad de la IA, la ley aplica limitaciones al uso de datos. Las prácticas prohibidas de IA incluyen:

  • Extracción no selectiva de imágenes faciales de Internet o CCTV para bases de datos de reconocimiento facial; y
  • Uso policial de sistemas de identificación biométrica a distancia en tiempo real en público (a menos que se aplique una excepción y se requiera la autorización previa de una autoridad judicial o administrativa independiente).

Los sistemas de IA de alto riesgo deben cumplir con requisitos específicos, como adoptar prácticas rigurosas de gobierno del dato para garantizar que los datos de entrenamiento, validación y pruebas cumplen con criterios de calidad específicos.

Regulaciones de privacidad de EE. UU.

Las leyes sobre privacidad de datos entraron en vigor en varias jurisdicciones estadounidenses en los últimos años. Algunos ejemplos son la California Consumer Privacy Act y la Texas Data Privacy and Security Act. En marzo de 2024, Utah promulgó la Ley de Política e Inteligencia Artificial, que se considera el primer estatuto estatal importante que rige específicamente el uso de la IA.

A nivel federal, el gobierno de EE. UU. aún tiene que implementar nuevas leyes nacionales sobre IA y protección de datos. Sin embargo, en 2022, la Oficina de Política Científica y Tecnología de la Casa Blanca (OSTP) publicó su "Anteproyecto para una Declaración de derechos de la IA". El marco no vinculante define cinco principios para guiar el desarrollo de la IA, incluida una sección dedicada a la protección de datos que anima a los profesionales de la IA a solicitar el consentimiento de las personas sobre el uso de los datos.

Medidas provisionales de China para la administración de servicios de IA generativa

China se encuentra entre los primeros países en promulgar normativas sobre la IA. En 2023, China emitió sus medidas provisionales para la administración de los servicios de inteligencia artificial generativa. Según la ley, la prestación y el uso de los servicios de IA generativa debe "respetar los derechos e intereses legítimos de los demás" y están obligados a "no poner en peligro la salud física y mental de los demás y no infringir el derecho de imagen, reputación, honor, privacidad e información personal de otras personas".6

Diseño 3D de bolas rodando por un circuito

Las últimas noticias + conocimientos de IA 


Conocimientos y noticias organizados de expertos sobre IA, la nube y mucho más en el boletín semanal Think.  

Buenas prácticas de privacidad de la IA

Las organizaciones pueden idear enfoques de privacidad de IA para ayudar a cumplir con las regulaciones y generar confianza con sus partes interesadas.7 Las recomendaciones de la OSTP incluyen:

  • Realizar evaluaciones de riesgos
  • Limitar la recopilación de datos
  • Solicitar y confirmar el consentimiento
  • Seguir buenas prácticas de seguridad
  • Proporcionar más protección para los datos de dominios confidenciales
  • Elaborar informes sobre la recopilación y el almacenamiento de datos

Realizar evaluaciones de riesgos

Los riesgos para la privacidad deben evaluarse y abordarse a lo largo del ciclo de vida de desarrollo de un sistema de IA. Estos riesgos pueden incluir posibles daños a aquellos que no son usuarios del sistema pero cuya información personal podría inferirse a través del análisis avanzado de datos.

Limitar la recopilación de datos

Las organizaciones deben limitar la recopilación de datos de formación a lo que pueda recopilarse legalmente y utilizarse "de forma coherente con las expectativas de las personas cuyos datos se recopilan". Además de esta minimización de datos, las empresas también deben establecer plazos para la conservación de datos, con el objetivo de eliminarlos lo antes posible.

Solicitar consentimiento explícito

Las organizaciones deben proporcionar al público mecanismos de “consentimiento, acceso y control” sobre sus datos. Se debe volver a obtener el consentimiento si cambia el caso de uso que motivó la recopilación de datos.

Seguir buenas prácticas de seguridad

Las organizaciones que utilizan IA deben seguir las buenas prácticas de seguridad para evitar la fuga de datos y metadatos. Estas prácticas podrían incluir el uso de criptografía, anonimización y mecanismos de control de acceso.

Proporcionar más protección para los datos de dominios confidenciales

Los datos de ciertos dominios deben estar sujetos a protección adicional y utilizarse solo en "contextos estrictamente definidos". Estos "dominios sensibles" incluyen la salud, el empleo, la enseñanza, la justicia penal y las finanzas personales. Los datos generados por o sobre niños también se consideran confidenciales, incluso si no pertenecen a uno de los dominios enumerados.

Elaborar informes sobre la recopilación y el almacenamiento de datos

Las organizaciones deben responder a las solicitudes de las personas para saber qué datos suyos se utilizan en un sistema de IA. Las organizaciones también deben proporcionar de forma proactiva informes resumidos generales al público sobre cómo se utilizan, acceden y almacenan los datos de las personas. En cuanto a los datos de dominios sensibles, las organizaciones también deben informar de los fallos o violaciones de seguridad que hayan provocado fugas de datos.

Las herramientas y los programas de gobierno de datos pueden ayudar a las empresas a seguir las recomendaciones de la OSTP y otras buenas prácticas de privacidad de la IA. Las empresas pueden implementar herramientas de software para:

  • Realizar evaluaciones de riesgos de privacidad en los modelos que utilizan
  • Cree paneles de control con información sobre activos de datos y el estado de las evaluaciones de privacidad
  • Habilitar la gestión de problemas de privacidad, incluida la colaboración entre los propietarios de la privacidad y los propietarios de los datos
  • Mejore la protección de datos mediante enfoques como anonimizar los datos de entrenamiento, cifrar los datos y minimizar los datos utilizados por los algoritmos de machine learning (Más información aquí.)

A medida que la IA y las leyes de protección de datos evolucionan, las soluciones tecnológicas emergentes pueden permitir a las empresas mantenerse al día con los cambios normativos y estar preparadas si los reguladores solicitan auditorías. Las soluciones de vanguardia automatizan la identificación de los cambios normativos y su conversión en políticas aplicables.

Notas a pie de página

1 Privacy in an AI Era: How Do We Protect Our Personal Information?” Stanford University Institute of Human-Centered Artificial Intelligence. 18 de marzo de 2024.

2 LinkedIn Is Quietly Training AI on Your Data—Here's How to Stop It”. PCMag. 18 de septiembre de 2024.

3Artist finds private medical record photos in popular AI training data set”. Ars Technica. 21 de septiembre de 2022.

4When Artificial Intelligence Gets It Wrong”. Innocence Project. 19 de septiembre de 2023.

5 OpenAI CEO admits a bug allowed some ChatGPT users to see others’ conversation titles". CNBC. 17 de abril de 2023.

6 Interim Measures for the Administration of Generative Artificial Intelligence Services. Cyberspace Administration of China. 13 de julio de 2023.

7Blueprint for an AI Privacy Bill of Rights”. Oficina de Política Científica y Tecnológica de la Casa Blanca. Consultado el 19 de septiembre de 2024.
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Tanto si necesita soluciones de seguridad de datos, de gestión de endpoints o de gestión de identidades y accesos (IAM), nuestros expertos están dispuestos a trabajar con usted para lograr una posición de seguridad sólida. Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.

         Explore las soluciones de ciberseguridad Descubra los servicios de ciberseguridad