Si ustedes no viven en otro planeta, sabrán lo que es ChatGPT. La parte de “Chat” queda más o menos clara solo con el primer uso, sin embargo, las siglas GPT esconden mucho más de lo que se puede apreciar a simple vista.
Generative, Pre-trained & Transformer. ChatGPT es un modelo de Inteligencia Artificial (en adelante IA) que se basa en la tecnología OpenAI para crear nuevo contenido (texto o diálogo) y que se entrena usando una gran colección que gracias a una red neuronal que aprende y mejora de manera constante. Se limita a replicar el modo en que los humanos hablamos, aprende sobre la base de muchos textos, pero se queda en la capa superficial de la semántica y de la sintáctica. Tampoco verifica la fiabilidad de la información y con toda la desinformación que nos rodea eso puede ser peligroso. Del mismo modo que no reconoce el sarcasmo o el sentido del humor.
La IA no funciona sola, necesita un “copiloto”, las personas. ¿Por qué una máquina necesita tener detrás a un humano? Por las garantías. No podemos negar que estamos en el ojo de una tormenta perfecta entre la tecnología y la innovación, ya que tenemos a nuestra disposición los medios necesarios para ejecutar herramientas como ChatGPT, y, además se están dando las condiciones ideales para que esos procesos sean eficientes y que las decisiones de la IA tengan relevancia e impliquen una adecuada protección de datos.
Las intersecciones entre la inteligencia artificial y la normativa de protección de datos son evidentes. Un ejemplo de esto es su política de privacidad, que no aclara cómo trata y protege los datos personales para generar contenido. Lo que sí está claro es que los usa. El chat se alimenta de una cantidad masiva de textos recogidos en internet (blogs, artículos, foros públicos, páginas web…) por lo que, si nuestros datos se encuentran en alguno de los sitios mencionados: ChatGPT tiene acceso a ellos. Por no hablar de todo lo que aprende de nuestros matices, la forma en la que preguntamos a la hora de conversar con él ¿nos está analizando? ¿está generando un perfil sin nuestro consentimiento? ¿es transparente con los usuarios?
Por eso la protección de datos es especialmente relevante con este tipo de sistemas basados en aprendizaje y no debemos olvidar las bases para que sean aplicaciones seguras para el usuario.
Hay 4 pilares esenciales en función de la normativa de protección de datos:
La solución más evidente es establecer el sistema de privacidad desde el diseño. Actuando como un elemento bisagra entre la fase de diseño del sistema de inteligencia artificial y la fase de despliegue. Al final, el elemento clave es cómo conferimos el sistema de IA. En muchos casos si desde el diseño no ejecutamos el sistema adecuadamente para que cumpla posteriormente con la normativa de Protección de Datos, una vez que esta adopte decisiones, no se puede hacer nada. Cuando el sistema ya esté en el mercado, si no se ha implementado el elemento de privacidad desde la fase de diseño, posiblemente ese sistema de IA no cumplirá adecuadamente con la normativa de Protección de Datos.
¿Qué se quiere decir con fase de diseño y fase de despliegue? Veámoslo.
Lo primero que se hace cuando se inicia un proyecto es fijar el alcance, las 5W (what, who, where, why, when), tener claro el roadmap. Para que una IA funcione como queremos necesita de una gran cantidad de datos para que ésta pueda aprender. Una vez tenemos este coctel bajo control, desarrollamos, entrenamos y evaluamos los modelos generados.
Parece sencillo, pero aquí entra en juego uno de los cuatro pilares de la protección de datos, y es que si nos paramos detenidamente a analizar estas 3 palabras “recopilación de datos” entran en conflicto muchos de los principios de protección de datos.
Vamos a poner un ejemplo para que se vea más claro. Ponemos a la IA en funcionamiento y la alimentamos con datos masivos, indiscutiblemente el principio de minimización de datos se va a ver afectado. Pero claro, necesitamos que multitud de bases de datos entren en juego para que los datos estén lo más actualizados posibles y que las variables sean lo suficientemente representativas. Si ésta genera inferencias, los datos podrías ser inexactos y no queremos que eso pase… principio de exactitud.
¿Cómo ejecutar correctamente programas implementando el Privacy by Design desde el punto de vista del DPD? Está claro que soluciones de este tipo deben ser diseñadas cumpliendo desde el principio con el marco normativo, ¿cómo? Con una justificación adecuada de variables elegidas por las fases del proceso, estableciendo las finalidades del tratamiento, a donde se quiere llegar, analizar la compatibilidad entre el fin inicial y el fin último… para cuando en la fase de despliegue del proyecto diferentes equipos entren en el ring, desarrolladores, QA, integradores… se muevan dentro de esos márgenes preestablecidos y poder cumplir con la normativa.
ifgeekthen.nttdata.com es un blog del grupo NTT DATA. Un proyecto que busca compartir con profesionales del mundo digital temas relacionados con la tecnología y el universo geek.
