¿Cuáles son los riesgos de fuga de información de ChatGPT? Presentamos 4 medidas que se deben tomar
Últimamente, el “ChatGPT” japonés ha estado captando mucha atención. Es un AI generativo que ha despertado interés en diversos campos, ya que puede realizar tareas como la creación de manuscritos, programación, generación de partituras y dibujo.
La sigla GPT en “ChatGPT” japonés se refiere a “Generative Pre-training Transformer”, y es capaz de llevar a cabo conversaciones naturales al estilo humano gracias al aprendizaje previo de una gran cantidad de datos de texto, imágenes y sonido (a través de extensiones).
Debido a su capacidad para manejar tareas complejas, “ChatGPT” japonés está en el punto de mira como una herramienta que promete eficiencia en las tareas y un alto rendimiento de costos. Su uso ya está avanzando en varios campos, y se observa que muchas empresas tecnológicas están iniciando sus propios sistemas de IA.
Así, mientras se anticipan muchas oportunidades de negocio con tecnologías de IA como “ChatGPT” japonés, también se señalan riesgos potenciales como problemas de derechos de autor, la difusión de información errónea, la fuga de información confidencial, problemas de privacidad y la posibilidad de ser utilizado para ataques cibernéticos.
En este artículo, un abogado explicará las medidas que se deben tomar, centrándose en los riesgos de fuga de información asociados con el uso de “ChatGPT” japonés.
Riesgos de Fuga de Información Relacionados con ChatGPT
Los riesgos asociados con la implementación de ChatGPT en las empresas incluyen principalmente los siguientes cuatro puntos:
- Riesgos de seguridad (fuga de información, precisión, vulnerabilidad, disponibilidad, etc.)
- Riesgos de infracción de derechos de autor
- Riesgos de mal uso (ataques cibernéticos, etc.)
- Desafíos éticos
El riesgo de fuga de información de ChatGPT se refiere al peligro de que la información confidencial ingresada en ChatGPT pueda ser vista por empleados de OpenAI o por otros usuarios, o que pueda ser utilizada como datos de entrenamiento.
Según la política de uso de datos de OpenAI, a menos que los usuarios pasen por la ‘API’ de ChatGPT o soliciten el ‘opt-out’, los datos ingresados en ChatGPT por los usuarios pueden ser recopilados y utilizados (para aprendizaje) por OpenAI (esto se explicará con más detalle más adelante).
Casos de filtración de información debido al uso de ChatGPT
Aquí presentamos casos en los que el uso de ChatGPT ha llevado a la filtración de información personal registrada y de información confidencial ingresada.
Casos de fuga de información personal
El 24 de marzo de 2023, OpenAI anunció que había llevado a ChatGPT fuera de línea temporalmente el 20 de marzo debido a un error que mostraba información personal de algunos usuarios, incluyendo los últimos cuatro dígitos del número de tarjeta de crédito y la fecha de vencimiento de la tarjeta. Se informó que la información personal filtrada pertenecía a una parte de los suscriptores del plan de pago “ChatGPT Plus” (aproximadamente el 1.2% de los miembros).
Además, se anunció que, simultáneamente a este error, había otro que mostraba en el historial de chat el historial de chat de otros usuarios.
Como resultado, el 31 de marzo de 2023, la autoridad de protección de datos de Italia emitió una orden de mejora a Open AI, imponiendo restricciones temporales al procesamiento de datos de usuarios italianos por parte de ChatGPT, argumentando que la recopilación y almacenamiento de datos personales para el aprendizaje de ChatGPT carecía de una base legal. En respuesta, OpenAI bloqueó el acceso a ChatGPT desde Italia. Este bloqueo fue levantado el 28 de abril del mismo año después de que OpenAI mejorara el manejo de datos personales.
Casos de fuga de información confidencial interna
En febrero de 2023, la empresa estadounidense de ciberseguridad Cyberhaven publicó un informe sobre el uso de ChatGPT dirigido a sus clientes corporativos.
Según el informe, de los 1.6 millones de trabajadores de las empresas clientes que utilizan productos de Cyberhaven, el 8.2% de los trabajadores del conocimiento habían utilizado ChatGPT en el trabajo al menos una vez, y el 3.1% de ellos habían ingresado datos confidenciales de la empresa en ChatGPT.
Además, en un caso en Corea del Sur, el 30 de marzo de 2023, el medio coreano “Economist” informó que después de que una división interna de Samsung Electronics permitiera el uso de ChatGPT, se produjo un incidente en el que se ingresaron datos confidenciales.
A pesar de que Samsung Electronics había emitido advertencias sobre la seguridad de la información interna, hubo empleados que ingresaron código fuente del programa y contenido de reuniones en el sistema.
En este contexto, mientras que algunos países y empresas están imponiendo restricciones al uso de ChatGPT, otros están promoviendo políticas de adopción. Al considerar la implementación de ChatGPT, es esencial comprender el riesgo de filtración de información.
Cuatro medidas para prevenir la fuga de información con ChatGPT
Una vez que ocurre una fuga de información, las consecuencias pueden ser graves, incluyendo responsabilidades legales y pérdidas significativas en confianza y reputación. Por ello, es crucial establecer y mejorar los sistemas de gestión de información interna y la formación en la empresa para prevenir fugas de información.
A continuación, queremos presentarles cuatro medidas para prevenir la fuga de información utilizando ChatGPT.
Medida 1: Establecimiento de Reglas de Uso
Primero, es crucial determinar la postura de su propia empresa respecto a ChatGPT e incorporar en los reglamentos internos los términos relacionados con el uso de ChatGPT. Es importante establecer y operar bajo reglas claras, como no ingresar información confidencial, además de información personal.
En este proceso, sería recomendable desarrollar una guía de uso de ChatGPT para su empresa. Asimismo, se debe incluir términos relacionados con el uso de ChatGPT en los contratos con terceros.
El 1 de mayo de 2023 (Reiwa 5), la Asociación Japonesa de Aprendizaje Profundo (JDLA) compiló los puntos de discusión sobre los desafíos éticos, legales y sociales (ELSI) de ChatGPT y publicó las “Directrices para el Uso de IA Generativa”.
En los sectores de la industria, la academia y el gobierno, también se ha comenzado a considerar el desarrollo de directrices. Al referirse a estas y establecer una guía escrita de reglas de uso de ChatGPT para su propia empresa, se puede esperar evitar ciertos riesgos.
Referencia: Asociación Japonesa de Aprendizaje Profundo (JDLA) | Directrices para el Uso de IA Generativa[ja]
Sin embargo, las directrices establecidas no tendrán sentido si no se difunden y se aplican de manera exhaustiva. Solo las directrices no son suficientes como medida.
Medida 2: Establecer un sistema para prevenir la fuga de información
Como medida para prevenir errores humanos, es posible evitar la transmisión y copia de información confidencial mediante la implementación de un sistema conocido como DLP (Prevención de Pérdida de Datos), que previene la fuga de datos específicos.
El DLP es un sistema que monitorea constantemente los datos, no a los usuarios, identificando y protegiendo automáticamente la información confidencial y los datos importantes. Al utilizar DLP, si se detecta información sensible, es posible recibir alertas o bloquear la acción.
Mientras se mantiene bajo el costo de gestión, se puede prevenir de manera efectiva la fuga de información desde el interior de la empresa. Sin embargo, se requiere un alto nivel de comprensión de los sistemas de seguridad y puede ser difícil implementarlos sin problemas en empresas que no cuentan con un departamento técnico.
Medida 3: Utilizar herramientas para prevenir la fuga de información
Como se mencionó anteriormente, como medida preventiva directa, se puede rechazar la recopilación de datos ingresados en ChatGPT solicitando la opción de “optar por no participar” (opt-out).
Es posible solicitar el “opt-out” desde la pantalla de configuración de ChatGPT. Sin embargo, al solicitar el opt-out, el historial de prompts desaparecerá, lo cual puede resultar incómodo para muchos usuarios.
Además de la configuración de opt-out, otra opción es implementar herramientas que utilicen la “API” de ChatGPT.
La “API” (Interfaz de Programación de Aplicaciones) es una interfaz que OpenAI ha hecho pública para integrar ChatGPT en servicios propios o herramientas externas. OpenAI ha declarado que no utiliza la información que entra y sale a través de la API de ChatGPT.
Este punto está claramente establecido en los términos de uso de ChatGPT. Según los términos de uso,
3. Contenido
(c) Uso del contenido para mejorar el servicio
No utilizamos el Contenido que usted proporciona o recibe de nuestra API (“Contenido de la API”) para desarrollar o mejorar nuestros Servicios.
Podemos utilizar el Contenido de Servicios distintos a nuestra API (“Contenido No-API”) para ayudar a desarrollar y mejorar nuestros Servicios.
Si no desea que su Contenido No-API sea utilizado para mejorar los Servicios, puede optar por no participar llenando este formulario[ja]. Tenga en cuenta que en algunos casos esto puede limitar la capacidad de nuestros Servicios para abordar mejor su caso de uso específico.
Cita: Sitio oficial de OpenAI | Términos de uso de ChatGPT[ja]
Medida 4: Implementar formación interna en alfabetización digital
Además de las medidas que hemos presentado hasta ahora, es importante aumentar la alfabetización en seguridad de los empleados de la empresa mediante la realización de formaciones internas.
Como se vio en el caso de Samsung Electronics, a pesar de las advertencias de seguridad internas, el ingreso de información confidencial llevó a una fuga de información. No solo es deseable prevenir las fugas de información desde el sistema, sino que también es recomendable implementar formaciones internas sobre el conocimiento de ChatGPT y la alfabetización digital en IT.
Respuesta ante una fuga de información en ChatGPT
En caso de que ocurra una fuga de información, es crucial llevar a cabo una investigación de los hechos y tomar medidas correctivas de manera inmediata.
Si se trata de una fuga de información personal, es obligatorio reportarla a la Comisión de Protección de Información Personal bajo la Ley de Protección de Información Personal japonesa. Además, es necesario notificar a la persona afectada sobre el incidente. Si la fuga de información personal infringe los derechos o intereses de la otra parte, se puede incurrir en responsabilidad civil por daños y perjuicios. Además, si se roba o se proporciona información personal con un propósito ilegítimo, también se puede incurrir en responsabilidad penal.
En el caso de una fuga de secretos comerciales o información técnica, la Ley de Prevención de la Competencia Desleal japonesa permite solicitar medidas como la eliminación de la información al receptor de la fuga. Si la fuga de secretos comerciales o información técnica permite que la otra parte obtenga un beneficio injusto, se puede incurrir en responsabilidad civil por daños y perjuicios. Además, si se adquieren o utilizan secretos comerciales o información técnica mediante medios ilegítimos, también se puede incurrir en responsabilidad penal.
Si se filtra información violando el deber de confidencialidad profesional, se puede incurrir en responsabilidad penal bajo el Código Penal o bajo otras leyes. Además, si la fuga de información causada por la violación del deber de confidencialidad profesional daña a la otra parte, se puede incurrir en responsabilidad civil por daños y perjuicios.
Por lo tanto, es necesario responder rápidamente de acuerdo con el contenido de la información filtrada y es importante tener un sistema preparado de antemano para ello.
Artículo relacionado: Qué divulgación de información debe hacer una empresa en caso de fuga de información[ja]
Artículo relacionado: ¿Qué sucede si hay una fuga de información personal? Explicación de las medidas administrativas que debe tomar una empresa[ja]
Conclusión: Preparación ante el riesgo de fuga de información de ChatGPT
En este artículo, hemos explicado los riesgos de fuga de información asociados con ChatGPT y las medidas que se deben tomar al respecto. En el negocio de la inteligencia artificial, que utiliza herramientas en constante evolución como ChatGPT, es recomendable consultar con abogados experimentados y conocedores de los riesgos legales para establecer de antemano un sistema interno que responda a dichos riesgos.
No solo en caso de fugas de información, sino también para la evaluación de la legalidad de modelos de negocio basados en IA, la creación de contratos y términos de uso, la protección de derechos de propiedad intelectual y el manejo de la privacidad, colaborar con abogados que poseen conocimientos y experiencia tanto en IA como en derecho le brindará tranquilidad.
Presentación de las medidas de nuestra firma
Monolith Law Office es un despacho de abogados con una amplia experiencia en IT, especialmente en Internet y derecho. Los negocios de IA conllevan numerosos riesgos legales, y el apoyo de abogados especializados en cuestiones legales relacionadas con la IA es esencial. Nuestra firma ofrece un avanzado soporte legal para negocios de IA, incluyendo ChatGPT, a través de un equipo de abogados y profesionales como ingenieros, que abarca la creación de contratos, la evaluación de la legalidad de modelos de negocio, la protección de derechos de propiedad intelectual y la gestión de la privacidad. Los detalles se encuentran en el artículo a continuación.
Áreas de práctica de Monolith Law Office: Asuntos legales de IA (incluyendo ChatGPT)[ja]
Category: IT
Tag: ITTerms of Use