Principios de privacidad y PDP para el desarrollo, operación e implementación de sistemas de inteligencia artificial generativa

La 45ª Asamblea Global de Privacidad enfatiza que:

Como cualquier otro sistema de inteligencia artficial, la IA generativa debe diseñarse, desarrollarse e implementarse de manera responsable y confiable, basándose en los principios de protección de datos, privacidad, control humano, transparencia y valores democráticos;

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben incorporar la protección de datos y la privacidad en la concepción, diseño, operación y gestión de nuevos productos y servicios que utilicen sistemas de IA generativa, basándose en los principios de protección de datos y privacidad mediante el diseño y documentar sus elecciones y análisis en una evaluación de impacto en materia de protección de datos y privacidad;

Además, los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben comprender los riesgos, daños y el impacto potencial en las personas afectadas y la sociedad en general como base para desarrollar una IA generativa ética, confiable y responsable;

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa también deberían implementar medidas para garantizar el cumplimiento de las obligaciones de privacidad y protección de datos. Estas partes interesadas deben cooperar para garantizar que las personas cuyos datos sean procesados por sistemas generativos de IA tengan la capacidad de ejercer sus derechos de protección de datos y privacidad y;

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben prestar mucha atención a los requisitos legales y a la orientación de las APD sobre cómo interpretar dichos requisitos legales. Cuando corresponda, una comunicación estrecha con las APD puede contribuir al diseño, desarrollo e implementación responsable de productos y servicios basados en sistemas de IA generativa.

La 45a Asamblea Global de Privacidad respalda los siguientes principios existentes de protección de datos y privacidad como elementos centrales para el desarrollo, operación e implementación de sistemas de IA generativa:

1. Base legal para el procesamiento

Los sistemas de IA generativa deben tener una base legal y ser lícitos de acuerdo con la legislación aplicable, incluso cuando los datos personales sean accesibles públicamente. Los desarrolladores deben establecer que los sistemas de IA generativa son legales y seguros antes de que se lancen los sistemas.

Cuando así lo requiera la legislación pertinente, los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben identificar desde el principio la base legal para el procesamiento de datos personales relacionados con:

• a) la recopilación de datos utilizados para desarrollar sistemas de IA generativa;
• b) los conjuntos de datos de entrenamiento, validación y prueba utilizados para desarrollar o mejorar los sistemas de IA generativa;
• c) las interacciones de las personas con los sistemas de IA generativa;
• d) el contenido generado por los sistemas de IA generativa.

2. Especificación de la finalidad y limitación del uso

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben asegurarse de que procesan los datos personales para fines específicos, explícitos y legítimos, y no los procesan más allá para fines incompatibles o más allá de las expectativas razonables de los individuos afectados. Estos fines deben ser apropiados, razonables o legítimos según las circunstancias.

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa no deben desarrollar ni poner en funcionamiento IA generativa cuyo uso sea ilegal o tenga un potencial considerable de generar un trato injusto, no ético o discriminatorio, particularmente cuando esto llevaría a violaciones significativas de los derechos y libertades fundamentales. Esto es aún más fundamental cuando los sistemas de IA se utilizan para tomar decisiones o asistir en la toma de decisiones sobre individuos.

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben evaluar cuidadosamente la compatibilidad ética, legal, social y técnica de los sistemas con los fines para los cuales se recopilaron los datos personales utilizados en su desarrollo.

3. Minimización de datos

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben limitar la recopilación, el intercambio, la agregación, la retención y el procesamiento posterior de datos personales solo a lo que sea necesario para cumplir con los fines legítimos identificados. Los datos personales no deben recopilarse ni procesarse indiscriminadamente.

Además, la inclusión de datos personales en conjuntos de entrenamiento plantea riesgos para la privacidad y otros riesgos para las personas, incluido, entre otros, que la información contenida en los datos de entrenamiento previsiblemente podría producirse como parte de la salida de un sistema generativo de IA. Por lo tanto, los datos personales solo deben usarse como datos de capacitación si son necesarios para lograr los propósitos previstos del sistema de IA generativa y solo después de que se haya llevado a cabo una Evaluación de Impacto en Protección de Datos y Privacidad.

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben apuntar a respaldar los objetivos ambientales mediante el desarrollo de objetivos computacionales que reduzcan el consumo de energía, a través de tácticas como la minimización de datos, métodos computacionales más eficientes y arquitecturas que dependan menos del crecimiento de datos.

4. Precisión

En su etapa de desarrollo, los sistemas de IA generativa suelen utilizar grandes cantidades de datos de capacitación, pruebas y validación, incluidos datos personales. La precisión de los resultados de los sistemas de IA generativa depende en gran medida de la calidad y representatividad de conjuntos de datos tan grandes. Para proteger a las personas afectadas de consecuencias discriminatorias, ilegales o perjudiciales de otro modo, es fundamental que los desarrolladores, proveedores e implementadores de sistemas de IA generativa confíen en datos precisos, confiables y representativos. Los desarrolladores, proveedores e implementadores deben tomar medidas para revisar y filtrar el contenido de los datos para excluir información falsa o engañosa. Además, los desarrolladores deben abstenerse de realizar afirmaciones prematuras o sin fundamento relacionadas con la precisión de sus sistemas.

Incluso cuando se entrena con datos representativos de alta calidad, el contenido generado por los sistemas generativos de IA puede contener información inexacta o falsa, incluidos datos personales, comúnmente conocidos como “alucinaciones”.

Para mitigar los riesgos que plantea la posible falta de precisión de los sistemas de IA generativa, los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben implementar procedimientos apropiados de gobernanza de datos (por ejemplo, registro de fuentes de conjuntos de datos de capacitación) y salvaguardias técnicas (por ejemplo, uso de filtros en la entrada y datos resultantes). Además, una vez implementado, es esencial garantizar una cooperación adecuada para monitorear el comportamiento y las respuestas de los sistemas de IA generativa y ajustar el comportamiento de los sistemas de IA generativa para producir respuestas precisas.

5. Transparencia

La falta de transparencia en cuanto a los datos de capacitación utilizados ya ha generado preocupaciones sobre el impacto en la protección de datos y la privacidad de las personas. Los implementadores de sistemas de IA generativa deben implementar medidas de transparencia adecuadas que garanticen la apertura de las herramientas de IA generativa, incluida información sobre cómo, cuándo y por qué se recopilan y utilizan datos personales en el proceso de capacitación de sistemas de IA generativa.

Los proveedores que comercializan o ponen en funcionamiento sistemas de IA generativa deben informar a los implementadores sobre los posibles riesgos de protección de datos y privacidad derivados del uso de dichos sistemas y cómo los proveedores abordan estos problemas a través de políticas y prácticas adecuadas. Estos riesgos y políticas deben ser claros, fáciles de entender y fácilmente disponibles para los implementadores, tanto antes como durante el uso del sistema.

Si se utiliza un sistema de IA generativa para tomar decisiones o ayudar en la toma de decisiones, los desarrolladores, proveedores e implementadores deben comunicar claramente estas prácticas a las partes afectadas.

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben proporcionar documentación transparente sobre sus conjuntos de datos, incluidas las fuentes de los conjuntos de datos, la autoridad legal y las licencias de los conjuntos de datos, y cualquier modificación, filtrado u otras prácticas de conservación de los conjuntos de datos.

6. Seguridad

En el diseño, concepción y operación de sistemas de IA generativa, los desarrolladores, proveedores e implementadores deben implementar medidas de seguridad efectivas, especialmente cuando el sistema tiene acceso a fuentes de datos externas. En particular, estas medidas deberían tener como objetivo:

• Integrar los controles de ciberseguridad tradicionales con controles de seguridad específicos adaptados a las vulnerabilidades del sistema de IA generativa (por ejemplo, ataques indirectos de inyección rápida);
• Prevenir ataques de inversión de modelos que podrían permitir a un atacante extraer y reproducir datos personales incluidos en los conjuntos de datos utilizados para entrenar el modelo;
• Garantizar que no se socaven las salvaguardias implementadas para fomentar el cumplimiento de los requisitos de protección de datos y privacidad.

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben evaluar y mitigar el riesgo de uso indebido de sus sistemas, como la creación de falsificaciones profundas o la generación de texto para ataques de phishing. Se debe dar prioridad a identificar y mitigar la causa raíz de estos riesgos para prevenir daños futuros.

7. Privacidad por diseño y por defecto

Las capacidades y limitaciones de los sistemas de IA generativa están evolucionando rápidamente. Por ejemplo, ciertos sistemas de IA generativa que antes aceptaban solo texto, imágenes o sonido como entrada se han ampliado recientemente para volverse multimodales y aceptar diferentes tipos de entrada. Surgirán nuevos riesgos como resultado de estas evoluciones en la tecnología. De acuerdo con el principio de privacidad desde el diseño y por defecto, los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben realizar una evaluación del impacto en la privacidad y la protección de datos para identificar, evaluar y abordar los riesgos que plantean estos sistemas en cada etapa de su ciclo de vida.

La privacidad por diseño y por defecto tiene como objetivo proteger los datos durante todo el ciclo de vida del procesamiento de datos, comenzando desde la etapa de diseño. Cumpliendo este principio, basado en un enfoque orientado al riesgo, se pueden minimizar las amenazas y riesgos que la IA pueda generar si se consideran con suficiente antelación.

Los desarrolladores, proveedores e implementadores de sistemas de IA deben evaluar cuidadosamente las actividades de procesamiento previstas, los riesgos que pueden plantear para los interesados, las posibles medidas disponibles para garantizar el cumplimiento de los principios de protección de datos y la protección de los derechos individuales. Se deben favorecer los enfoques orientados a la privacidad en todas las etapas, incluso a través de opciones sólidas de privacidad por defecto y opciones y controles fáciles de usar. Cualquier cambio importante en la funcionalidad de los sistemas de IA generativa representa una “etapa” en su ciclo de vida y justificaría una Evaluación de Impacto en la Protección de Datos y la Privacidad.

8. Derechos de los interesados

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben garantizar que se conceda a las personas el derecho a ser informadas sobre la recopilación y el uso de sus datos personales, en particular cuando dichos datos se obtienen de una variedad de fuentes y cuando los datos personales se utilizan para hacer o ayudar en las decisiones. Además, los desarrolladores, proveedores e implementadores de sistemas de IA generativa implementarán medidas técnicas y organizativas apropiadas para garantizar que las personas afectadas puedan ejercer sus derechos, cuando lo establezca la ley, incluyendo:

• El derecho a acceder a sus datos personales;
• El derecho a rectificar cualquier dato personal inexacto;
• El derecho a borrar sus datos personales y;
• El derecho a no estar sujeto a decisiones automatizadas que resulten en un efecto significativo para las personas.

La capacidad de las personas afectadas para ejercer sus derechos es especialmente relevante cuando los sistemas de IA generativa procesan categorías especiales de datos o datos personales de menores.

9. Responsabilidad

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa serán responsables y deberán poder demostrar el cumplimiento de la legislación nacional aplicable y los acuerdos internacionales. El principio de rendición de cuentas requiere que la responsabilidad esté claramente identificada y respetada entre los diversos actores involucrados en la cadena de suministro del modelo de IA generativa.

Dicho cumplimiento debe demostrarse poniendo a disposición documentación técnica durante todo el ciclo de vida de los sistemas para permitir que las autoridades de protección de datos y privacidad evalúen el cumplimiento de las herramientas de IA generativa con los requisitos de protección de datos y privacidad. Los desarrolladores, proveedores e implementadores de sistemas de IA generativa deben incluir en su documentación cómo funcionan sus modelos, qué datos se utilizaron para entrenarlos y los posibles impactos en la protección de datos y la privacidad antes de poner sus servicios en el mercado o en funcionamiento.

Los desarrolladores, proveedores e implementadores de sistemas de IA generativa también deberían permitir auditorías externas que puedan evaluar de forma independiente cómo funciona un modelo, probar los resultados para detectar imprecisiones y sesgos y recomendar medidas efectivas para mitigar los riesgos potenciales. La rendición de cuentas también requiere que los desarrolladores, proveedores e implementadores de sistemas de IA generativa implementen procedimientos y herramientas sólidos de gobernanza de datos.

Por lo tanto, la 45.ª Asamblea Mundial sobre Privacidad resuelve:

• Comprometerse a garantizar la aplicación y el cumplimiento de la legislación sobre protección de datos y privacidad en el contexto de las tecnologías de IA generativa, incluidos los principios y derechos aplicables establecidos en esta resolución;
• Comprometerse a colaborar para garantizar la protección y privacidad de los datos personales en el contexto de la IA generativa desde una perspectiva ética, legal, social y técnica;
• Comprometerse a compartir los avances en curso dentro de las jurisdicciones con respecto a la protección de datos y los riesgos de privacidad de los sistemas generativos de IA dentro del Grupo de Trabajo de Ética y Protección de Datos en Inteligencia Artificial;
• Pedir a los desarrolladores, proveedores e implementadores de sistemas de IA generativa que reconozcan la protección de datos y la privacidad como un derecho humano fundamental y que creen tecnologías de IA generativa responsables y confiables que protejan la protección de datos, la privacidad, la dignidad humana y otros derechos y libertades fundamentales;
• Alentar a los desarrolladores, proveedores e implementadores de sistemas de IA generativa a brindar capacitación a los empleados y al personal para comprender el desarrollo y la implementación de los sistemas de IA generativa en relación con la protección de datos, la privacidad y los derechos de los interesados;
• Alentar a los miembros de la GPA a crear conciencia sobre los riesgos para la protección de datos, la privacidad y otros derechos humanos, así como las obligaciones legales y los principios aplicables de protección de datos y privacidad en el contexto de los sistemas generativos de IA;
• Continuar monitoreando los riesgos emergentes y los posibles daños a los derechos y libertades fundamentales a medida que surjan en el contexto de la IA generativa;
• Apuntar a defender y asesorar sobre iniciativas y enfoques legislativos y regulatorios en curso y futuros;
• Pedir a los miembros de la GPA que coordinen sus esfuerzos de aplicación de la ley en materia de sistemas generativos de IA;
• Considerar presentar, en la 46.ª Asamblea Global de Privacidad, un informe provisional sobre el trabajo realizado por los miembros del GPA AIWG sobre sistemas generativos de IA, y considerar además documentos de políticas o resoluciones adicionales que se presentarán en la 47.ª Asamblea Global de Privacidad.

Con información de: The 45th Global Privacy Assembly.

Redacción AD + IA

+ publicaciones

Artículo redactado con asistencia de diversas inteligencias artificiales generativas con supervisión humana (redacción AD).

• Redacción AD + IA

  https://www.abogado.digital/author/redaccion-ad-ia/

  OpenAI forma equipo para estudiar riesgos catastróficos de la inteligencia artificial
• Redacción AD + IA

  https://www.abogado.digital/author/redaccion-ad-ia/

  Google invierte $2,000 millones de dólares en Anthropic, una empresa de IA rival de OpenAI
• Redacción AD + IA

  https://www.abogado.digital/author/redaccion-ad-ia/

  Apple Watch podría ser prohibido en Estados Unidos tras perder una demanda por patentes
• Redacción AD + IA

  https://www.abogado.digital/author/redaccion-ad-ia/

  California suspende los vehículos autónomos de Cruise (General Motors) tras un accidente con un peatón