ChatGPT y protección de datos

Por Moisés Barrio
TWITTER @moisesbarrioa

ChatGPT y demás grandes modelos lingüísticos competidores (LLM por sus siglas inglesas de large language models) como Bard o LLaMA pertenecen al género de la IA generativa. Combinan el aprendizaje profundo y el aprendizaje por refuerzo y se entrenan con gigantescos cantidades de datos extraídos de Internet. De este modo, cuanto más amplio y diverso sea el conjunto de datos utilizado durante el entrenamiento, mejor podrá un LLM generalizar su comprensión del lenguaje y generar textos coherentes Por eso, y entre otras cuestiones jurídicas que plantean[1] estas herramientas, ocupan un lugar destacado las que afectan al derecho fundamental a la protección de datos personales.

En primer lugar, el Reglamento General de Protección de Datos (RGPD en lo sucesivo) exige el consentimiento informado y explícito del usuario para el tratamiento de sus datos personales. Sin embargo, el proceso de consentimiento en las interacciones con los principales LLM resulta ser poco claro, ya que los usuarios no siempre son plenamente conscientes de cómo se utilizan sus datos. Por ejemplo, ¿realmente conocen los usuarios que sus interacciones con ChatGPT se almacenan y analizan, incluyendo datos sometidos al secreto empresarial? ¿Están informados de cómo contribuyen estos datos a la formación y el funcionamiento del LLM utilizado?

En segundo lugar, se plantea la cuestión del tipo de datos recopilados y empleados para entrenar a los LLM. ¿Durante cuánto tiempo se almacenan estos datos? En virtud del RGPD, los interesados tienen derecho a conocer qué datos se recopilan y con qué finalidad. Esto significa que las organizaciones que utilizan LLM deben proporcionar información clara sobre sus políticas de recopilación y retención de datos, incluidos los datos sobre los que se entrena y opera el LLM.

A este respecto, el RGPD concede a los interesados el derecho a solicitar la supresión de sus datos personales (art. 17 RGPD). De este modo, las empresas que vayan a implantar un LLM deben disponer de procesos para eliminar los datos personales de los usuarios previa solicitud. Esto plantea un problema técnico aún no resuelto: ¿cómo pueden eliminarse datos específicos de un usuario de un modelo que ha sido entrenado con esos datos?

Por último, y sin ánimo de exhaustividad, cabe pensar también en las preocupaciones que suscita la capacidad de los LLM para analizar los datos de los usuarios y ofrecer respuestas personalizadas. Esto crea un potencial para la elaboración de perfiles y la toma de decisiones automatizada. El artículo 22 del RGPD otorga a los usuarios el derecho a ser informados sobre dichas actividades de elaboración de perfiles y a impugnar las decisiones automatizadas del sistema.

Por tanto, resulta fundamental un adecuado asesoramiento en materia de protección de datos (así como en las restantes vertientes del Derecho digital) para poder utilizar con plena seguridad jurídica estas nuevas herramientas de inteligencia artificial.

[1] Por ejemplo, puede verse BARRIO ANDRÉS, Moisés: «ChatGPT y su impacto en las profesiones jurídicas», en Diario LA LEY, Nº 10285, Sección Tribuna, 12 de Mayo de 2023, y disponible en abierto en https://diariolaley.laleynext.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbF1CTEAAmMzC0sLQ7Wy1KLizPw8WyMDI2MDU0MDtbz8lNQQF2fb0ryU1LTMvNQUkJLMtEqX_OSQyoJU27TEnOJUtdSk_PxsFJPiYSYAAOR06GhjAAAAWKE