13 novembre 2023

ChatGPT i protecció de dades

Moises BarriPer Moisès Barri
TWITTER @moisesbarrioa

ChatGPT i altres grans models lingüístics competidors (LLM per les sigles angleses de grans models lingüístics) com Bard o LLaMA pertanyen al gènere de la IA generativa. Combinen l'aprenentatge profund i l'aprenentatge per reforç i s'entrenen amb quantitats gegantines de dades extretes d'Internet. D'aquesta manera, com més ampli i divers sigui el conjunt de dades emprat durant l'entrenament, millor un LLM podrà generalitzar la seva comprensió del llenguatge i generar textos coherents. Per això, i entre altres qüestions jurídiques que plantegen[1] aquestes eines, ocupen un llocacales que afecten el dret fonamental a la protecció de dades personals.

En primer lloc, el Reglament General de Protecció de Dades (RGPD en endavant) exigeix ​​el consentiment informat i explícit de l'usuari per al tractament de les seves dades personals. Tot i això, el procés de consentiment en les interaccions amb els principals LLM resulta ser poc clar, ja que els usuaris no sempre són plenament conscients de com s'utilitzen les seves dades. Per exemple, realment coneixen els usuaris que les seves interaccions amb ChatGPT s'emmagatzemen i s'analitzen, incloent-hi dades sotmeses al secret empresarial? Estan informats de com contribueixen aquestes dades a la formació i el funcionament del LLM utilitzat?

En segon lloc, es planteja la qüestió del tipus de dades recopilades i emprades per entrenar els LLM. Durant quant de temps s'emmagatzemen aquestes dades? En virtut del RGPD, els interessats tenen dret a conèixer quines dades es recopilen i amb quina finalitat. Això significa que les organitzacions que utilitzen LLM han de proporcionar informació clara sobre les polítiques de recopilació i retenció de dades, incloses les dades sobre les quals s'entrena i opera l'LLM.

Pel que fa a això, el RGPD concedeix als interessats el dret a sol·licitar la supressió de les seves dades personals (art. 17 RGPD). D'aquesta manera, les empreses que hagin d'implantar un LLM han de disposar de processos per eliminar les dades personals dels usuaris amb la sol·licitud prèvia. Això planteja un problema tècnic encara no resolt: com es poden eliminar dades específiques d'un usuari d'un model que s'ha entrenat amb aquestes dades?

Finalment, i sense ànim d'exhaustivitat, també cal pensar en les preocupacions que suscita la capacitat dels LLM per analitzar les dades dels usuaris i oferir respostes personalitzades. Això crea un potencial per a l'elaboració de perfils i la presa de decisions automatitzada. L'article 22 del RGPD atorga als usuaris el dret a ser informats sobre aquestes activitats d'elaboració de perfils ia impugnar les decisions automatitzades del sistema.

Per tant, resulta fonamental un adequat assessorament en matèria de protecció de dades (així com a la resta de vessants del dret digital) per poder utilitzar amb plena seguretat jurídica aquestes noves eines d'intel·ligència artificial.

[1] Per exemple, es pot veure BARRI ANDRÉS, Moisés: «ChatGPT i el seu impacte en les professions jurídiques», a Diari LA LLEI, Nº 10285, Secció Tribuna, 12 de Maig de 2023, i disponible en obert a https://diariolaley.laleynext.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbF1CTEAAmMzC0sLQ7Wy1KLizPw8WyMDI2MDU0MDtbz8lNQQF2fb0ryU1LTMvNQUkJLMtEqX_OSQyoJU27TEnOJUtdSk_PxsFJPiYSYAAOR06GhjAAAAWKE

Comparteix: