¿Cómo las herramientas de IA usan mis datos?

Introducción

Hoy en día casi todos los profesionales que trabajamos utilizamos herramientas de IA para llevar a cabo nuestras tareas de diferentes maneras. Desde los que la usan para probar, hasta los que ya lo hacen rutinariamente, incluso en algunos casos, sin saberlo.

La protección de datos sensibles se ha convertido en una preocupación justificada para empresas y particulares responsables de su custodia, ya que el reciente auge de la inteligencia artificial introduce riesgos de exposición tan significativos como sus ventajas.

Resulta difícil, si no imposible, verificar qué sucede realmente con nuestros datos al utilizar servicios comunes de IA. No obstante, considero valioso conocer las «garantías» que estas empresas ofrecen al ser consultadas sobre el tema. Esto permite a cada usuario evaluar la seriedad e importancia que le asigna a la privacidad de sus datos y, de esta manera, determinar el nivel de riesgo que desea asumir al utilizar estas tecnologías.

Para este trabajo, se consultaron los modelos de IA más recientes y estables disponibles al momento, que ofrecen sus servicios a través de interfaces web de chat. Estos modelos incluyen ChatGpt (OpenAI), DeepSeek, Gemini (Google), Grok (xAI) y Cloude (Anthropic).

Preguntas Frecuentes

Estas son las preguntas más frecuentes que surgieron en las entrevistas

¿Mis datos pueden ser usados por las empresas de IA para entrenar sus modelos?

Sí, tus datos pueden ser usados por las empresas de IA, pero depende de los términos de servicio y la política de privacidad de cada plataforma.

Algunas empresas que ofrecen API bajo contrato de no uso, afirman que los datos no se utilizan para entrenar los modelos por defecto.

Sin embargo, en modelos experimentales o versiones gratuitas, tus inputs podrían ser utilizados para mejorar el rendimiento futuro del modelo.

Incluso cuando los datos no se usan para entrenamiento, algunas de las empresas declaran que estos pueden ser almacenados por un tiempo limitado y revisados por sus analistas …

Esta información se encuentra en las políticas de privacidad específicas de cada herramienta de IA que utilizas.

Incluso cuando los datos no se usan para entrenamiento, algunas de las empresas declaran que estos pueden ser almacenados por un tiempo limitado y revisados por sus analistas de datos para monitorear abusos o depurar problemas técnicos.

Diría que es una forma elegante de decirnos que si lo creen conveniente, pueden acceder a tus datos, aunque nos aseguren que objetivo principal del entrenamiento es mejorar las capacidades generales del modelo (razonamiento, estilo, conocimiento) de forma agregada y abstracta.

Si bien el modelo puede desarrollar nuevas capacidades de razonamiento basadas en los patrones aprendidos de esos datos, no significa necesariamente que el modelo vaya a reproducir exactamente tus datos como respuesta a otras personas, pero debemos tener en cuenta que sí, existe un riesgo residual (bajo) de que el modelo pudiera reproducir fragmentos de tus datos en respuestas a otros usuarios. Especialmente con datos muy únicos o repetidos, aunque las empresas suelen implementar filtros para evitarlo, evitando usar datos del usuario  para el entrenamiento de modelos, lo que mitiga este riesgo.

Si tengo mi propia infraestructura de IA, ¿están realmente más seguros?

Si tienes tu propia infraestructura de IA utilizando modelos Open Source on-premise, como Llama, Mistral, Falcon, Phi, etc. tus datos estarán realmente más seguros en términos de no filtración a terceros. Tienes control total (local) sobre la infraestructura donde se ejecuta el modelo y tus datos no se utilizan para entrenar el modelo base de terceros. Esto representa el máximo nivel de control y privacidad.

Si tienes tu propia infraestructura de IA, tus datos estarán realmente más seguros en términos de no filtración a terceros …

De todos modos, debemos contemplar riesgos de seguridad relacionados con tu propia infraestructura, como la necesidad de implementar medidas de seguridad físicas y lógicas para proteger los servidores y los datos almacenados.

También necesitas soporte técnico para alojar y mantener el modelo funcionando, así como para garantizar la seguridad contra accesos no autorizados, vulnerabilidades de software y posibles fugas internas.

La relación costo-beneficio dependerá de la sensibilidad de tus datos y de los recursos disponibles para gestionar la infraestructura y la seguridad de manera efectiva.

¿A qué características y condiciones de servicio le debo prestar atención a la hora de contratar un servicio de IA?

Debes prestar atención a las siguientes características y condiciones de servicio:

  • Política de privacidad: Verifica que tus datos no se utilizarán para entrenar el modelo.
  • Control de datos: Asegúrate de tener acceso y control total sobre los datos ingresados, idealmente con trazabilidad de accesos.
  • Acuerdos legales: Verifica si la herramienta ofrece acuerdos legales de confidencialidad (NDA) y acuerdos de procesamiento de datos (DPA). Un DPA es crucial si manejas datos sensibles.
  • Seguridad del sistema: Comprueba si el sistema cuenta con cifrado, backups y autenticación fuerte.
  • Auditoría del aprendizaje: En versiones cerradas, normalmente no podrás auditar lo que el modelo «aprendió» de tus datos, pero en la API o modelos on-prem puedes tener más control sobre el aprendizaje.
  • Términos de uso: Revisa las restricciones de uso, especialmente en lo referente a la compartición de información sensible o la generación de contenido malicioso.

En versiones cerradas, normalmente no podrás auditar lo que el modelo «aprendió» de tus datos …

¿Qué riesgos específicos de seguridad debo considerar al usar herramientas de IA gratuitas?

Al usar herramientas de IA gratuitas, debes considerar los siguientes riesgos específicos de seguridad:

  • Uso de datos para entrenamiento: tus inputs podrían ser revisados por humanos o usados para mejorar el modelo si no desactivas el historial de chat.
  • GPTs personalizados de terceros: Estos pueden incluir funciones externas, webhooks o almacenar tus inputs sin tu control, lo que aumenta el riesgo de fuga de información.
  • Modelos experimentales o «Labs»: Pueden utilizar tus datos para mejorar su rendimiento sin las mismas garantías de privacidad que las versiones pagas.
  • Falta de acuerdos legales: Es improbable que cuentes con NDAs o DPAs en versiones gratuitas, lo que genera riesgos legales al manejar datos sensibles.
  • Menor control sobre la seguridad: Las versiones gratuitas normalmente no ofrecen cifrado robusto ni controles de acceso detallados.

Precausión con los GPTs personalizados de terceros, pueden incluir funciones externas, webhooks o almacenar tus inputs sin tu control, lo que aumenta el riesgo de fuga de información!

¿Cómo influye la arquitectura de la IA que utilizó en la seguridad de mis datos? ¿Es importante conocerla?

La arquitectura de la IA influye significativamente en la seguridad de tus datos, aunque como usuario final, el conocimiento detallado de la arquitectura puede ser algo que nunca podamos conocer en su totalidad, comprender los principios generales puede ayudar:

  • Modelos cloud vs. on-premise: Los modelos alojados en la nube por un proveedor implican confiar en sus medidas de seguridad. Los modelos on-premise te dan control total pero también la responsabilidad de la seguridad.
  • Mecanismos de privacidad incorporados: Algunas arquitecturas pueden incorporar técnicas como Differential Privacy para añadir «ruido» a los datos durante el entrenamiento, dificultando la identificación de información individual.
  • Capacidades de memorización: La capacidad inherente de un modelo para memorizar datos de entrenamiento influye en el riesgo de regurgitación*. Arquitecturas con menos capacidad de memorización directa podrían ser preferibles para datos sensibles.

El riesgo de regurgitación es la posibilidad de que un modelo de IA, repita literalmente texto que vio durante su entrenamiento, incluyendo información privada, confidencial o protegida, sin comprender su sensibilidad.

Los modelos on-premise te dan control total pero también la responsabilidad de la seguridad…

¿Qué implicaciones de privacidad existen al integrar la IA con mis sistemas y plataformas existentes?

Al integrar la IA con tus sistemas y plataformas existentes, existen varias implicaciones de privacidad importantes:

  • Flujo de datos: Debes comprender qué datos se compartirán con la IA y cómo fluirán entre tus sistemas y la plataforma de IA. Asegúrate de que este flujo sea seguro y cumpla con las regulaciones.
  • Acceso a datos: La IA integrada podría tener acceso a una gran cantidad de datos en tus sistemas. Debes implementar controles de acceso estrictos y limitar el acceso a los datos estrictamente necesarios para la tarea.
  • Retención de datos: Define políticas de retención de datos claras para la información que se comparte con la IA y asegúrate de que se elimine de acuerdo con las regulaciones y tus políticas internas.
  • Cumplimiento normativo: Asegúrate de que la integración de la IA con tus sistemas cumpla con las regulaciones de protección de datos aplicables.
  • Responsabilidad: Define claramente las responsabilidades entre tu organización y el proveedor de IA en cuanto a la protección de los datos integrados.

Al integrar IA con tus sistemas y plataformas existentes debes comprender qué datos se compartirán con la IA y cómo fluirán entre tus sistemas. Asegúrate de que este flujo sea seguro y cumpla con las regulaciones.

¿Cómo puedo asegurarme de que mis datos utilizados para entrenar o interactuar con la IA cumplen con las regulaciones de protección de datos (ej. GDPR, CCPA)?

Para asegurarte de que tus datos cumplen con las regulaciones de protección de datos como GDPR y CCPA al utilizarlos para entrenar o interactuar con la IA:

  • Anonimización y seudonimización: Anonimiza o seudonimiza los datos sensibles antes de utilizarlos para entrenamiento o interacción con la IA siempre que sea posible.
  • Consentimiento informado: Obtén el consentimiento explícito de los individuos cuyos datos se utilizarán, explicando claramente cómo se usarán y con qué fines.
  • Transparencia: Sé transparente con tus usuarios sobre cómo utilizas la IA y cómo se manejan sus datos.
  • Acuerdos de procesamiento de datos (DPA): Si utilizas un proveedor externo de IA, asegúrate de tener un DPA sólido que defina las responsabilidades y obligaciones de cada parte en el cumplimiento de las regulaciones.
  • Evaluaciones de impacto en la privacidad (PIA): Realiza PIAs para identificar y mitigar los riesgos de privacidad asociados con el uso de la IA y el procesamiento de datos personales.
  • Derechos de los interesados: Asegúrate de tener mecanismos para responder a las solicitudes de los interesados con respecto a sus derechos de acceso, rectificación, supresión y portabilidad de datos.
  • Políticas internas: Implementa políticas y procedimientos internos para garantizar el cumplimiento continuo de las regulaciones de protección de datos en el contexto del uso de la IA.

Asegúrate de que cumplen con las regulaciones de protección de datos como GDPR y CCPA al utilizarlos para entrenar o interactuar con la IA

Recomendaciones y buenas prácticas en el contexto de la privacidad de datos y el uso de la IA

Cómo interactuar de manera segura con herramientas como chatbots y modelos de lenguaje grande (LLMs).

Principios Generales de Privacidad y Uso Seguro

  • Evitar utilizar información sensible: no ingresar datos personales identificables (PII) como nombres, direcciones, números de identificación, información financiera o de salud en las interacciones con IA, especialmente en plataformas públicas o no seguras. Esto también se extiende a información confidencial de empresas como secretos comerciales, código propietario o datos de clientes.
  • Conocer las políticas de privacidad: entender cómo se manejan los datos y si se utilizan para entrenar modelos.
  • Entender el uso de datos para entrenamiento: existe un riesgo potencial (aunque generalmente bajo) de que la información se filtre indirectamente en respuestas futuras. Utilizar herramientas que garanticen que los datos no se usarán para entrenamiento, especialmente cuando se trata de información sensible.
  • Utilizar entornos seguros: usar cuentas empresariales, APIs oficiales o entornos controlados que ofrezcan garantías de privacidad y no utilicen los datos para entrenamiento por defecto.
  • Anonimizar los datos cuando sea posible: anonimizar o seudonimizar la información para eliminar o reducir el riesgo de identificación personal.
  • Mantener un juicio crítico: la IA no es un profesional en áreas críticas como medicina, derecho o finanzas, por lo que no se debe confiar ciegamente en su asesoramiento en estos campos.

… no ingresar datos personales identificables (PII) como nombres, direcciones, números de identificación, información financiera o de salud en las interacciones con IA

Ejemplos de casos de uso Correcto (Seguro)

Estos son algunos ejemplos de usos seguros que generalmente involucran datos no sensibles y la búsqueda de información general o creativa:

  • Consultar información general.(ej. información de público conocimiento)
  • Generar ideas creativas genéricas (ej. nombres ficticios, tramas de historias).
  • Ayuda con tareas técnicas (ej. corrección de código no propietario, explicaciones de programación).
  • Traducción de textos no confidenciales.
  • Análisis de datos anónimos para investigación o mejora de sistemas.
  • Asistencia educativa sobre temas generales.
  • Optimización de sistemas de recomendación con datos anonimizados y agregados.
  • Análisis de sentimiento con comentarios agregados y anonimizados.

Casos de Uso Incorrecto (Riesgoso)

Estos son ejemplos de usos incorrectos que comprometen la privacidad y la seguridad de los datos:

  • Compartir contraseñas, claves privadas o información financiera personal.
  • Revelar información confidencial de la empresa (planes, datos de clientes, código propietario).
  • Subir documentos personales o sensibles (DNI, historiales médicos, contratos con datos reales).
  • Buscar asesoramiento crítico (médico, legal, financiero) y confiar ciegamente en él.
  • Generar contenido malicioso, engañoso o ilegal (phishing, noticias falsas, mensajes de odio).
  • Usar IA para plagio o engaño académico/profesional.
  • Entrenar chatbots con correos confidenciales sin anonimizar.
  • Utilizar asistentes legales o médicos con expedientes completos sin eliminar información identificable.
  • Cargar bases de datos sin anonimizar en modelos experimentales.
  • Dar acceso a modelos a carpetas compartidas con datos sensibles sin protección.

Recomendaciones Específicas por Fuente

  • Anthropic (Claude): Destaca la importancia de la anonimización, el consentimiento informado y el enfoque en patrones generales en los usos correctos. Subraya la falta de consentimiento y anonimización inadecuada en los usos incorrectos, lo que lleva al riesgo de reproducción de información confidencial.
  • DeepSeek: Aconseja no compartir información sensible incluso si el modelo promete no usarla para entrenamiento y verificar las políticas de privacidad de cada herramienta de IA.
  • Google (Gemini): Explica la diferencia entre datos no usados para entrenar (mayor privacidad) y datos usados para entrenar (mejora general del modelo, bajo riesgo de revelación específica).
  • OpenAI (ChatGPT): recomienda el uso de la API, ChatGPT Team/Enterprise o Azure OpenAI Service que no utilizan los datos para entrenamiento por defecto. Advierte sobre los riesgos de usar versiones gratuitas sin configurar la privacidad o GPTs de terceros sin revisar sus permisos.
  • xAI (Grok): Indica que es mejor usar herramientas de IA que explícitamente no usen datos de usuarios para entrenamiento si la privacidad es una preocupación. Sugiere evitar compartir información sensible si se utiliza un modelo experimental que entrena con los datos y verificar si el proveedor ofrece opciones para no participar en el entrenamiento.

En resumen, todos convergen en la necesidad de ser cautelosos y conscientes de la privacidad de los datos al interactuar con herramientas de IA. Priorizar el uso de entornos seguros, anonimizar datos cuando sea necesario y evitar la divulgación de información sensible son prácticas fundamentales para mitigar los riesgos de privacidad en el contexto de la IA.

Publicaciones Similares