La IA entra a les nostres xarxes socials i preocupa els experts en protecció de dades 

Actualització: Una publicació original d’aquest article es va modificar el 18 de juliol per incorporar-hi la resposta de Meta.

Els nous assistents d’intel·ligència artificial estrenats a aplicacions com WhatsApp o Google recentment han apropat més la integració quasi omnipotent de la IA en el nostre dia a dia, però també han alimentat els dubtes sobre el seu impacte en la protecció de dades dels usuaris.

Meta, propietària de Facebook, Instagram i WhatsApp, va anunciar al març que estrenava a Europa Meta AI, el seu assistent d’IA, que permet, per exemple, que es pugui parlar amb un xatbot per WhatsApp com si fos una conversa. Un mes després, a l’abril, feia públic que utilitzarà aquestes interaccions per entrenar els seus models d’intel·ligència artificial. A més, imatges, comentaris i reaccions que siguin públiques a Instagram o Facebook també es faran servir per alimentar-los. 

Meta va anunciar al març que empraria les interaccions enregistrades al xatbot de WhatsApp per entrenar els seus models d’intel·ligència artificial

L’empresa propietat de Mark Zuckerberg va deixar clar que les converses fora del seu xatbot no aniran a parar als seus models d’IA i va fer èmfasi en el fet que compleix amb el Reglament General de Protecció de Dades (RGDP) de la Unió Europea (UE). Els usuaris tenien fins al 27 de maig per oposar-s’hi a través d’un formulari web i, si no, Meta sobreentenia que s’hi estava d’acord. 

Tanmateix, algunes organitzacions van expressar la seva preocupació. Per exemple, l’organisme holandès de protecció de dades qüestionava la legalitat del model d’exclusió voluntària, i és que s’assumeix que les persones que no van omplir el formulari d’objecció donen el seu consentiment. L’organització austríaca Noyb, que vetlla pels drets digitals dels europeus, va amenaçar d’emprendre mesures legals contra l’empresa i va criticar que Meta no demani el consentiment perquè es basa en un “interès legítim” per absorbir les dades dels seus usuaris.  

La Unió Europea permet utilitzar a la IA les dades personals?

El Reglament General de Protecció de Dades (RGPD) de la UE “només permet tractar dades personals, també per entrenar models d’IA, quan existeix una base jurídica vàlida de l’article 6”, explica a Verificat Itxaso Domínguez de Olazábal, assessora política d’EDRI, una associació a favor dels drets digitals a la UE. 

Les empreses utilitzen normalment dues bases d’aquest article per justificar la recopilació de dades: quan l’usuari dona el seu consentiment o quan hi ha un “interès legítim” del responsable. Aquest interès legítim es pot adduir, per exemple, quan un establiment grava als seus clients sense el seu consentiment per raons de seguretat.

Meta opta per aquesta segona via perquè no demana el consentiment per emprar les dades de l’usuari, sinó que el considera atorgat si la persona no demana oposar-s’hi. L’empresa defensa que una opinió de desembre de la RGPD valida la seva aproximació, però diverses entitats que treballen a favor de la protecció de dades de la ciutadania no consideren que les seves intencions s’emmarquin en l’interès legítim. 

És el cas del Comitè Europeu de Protecció de Dades (EDPB, en anglès), l’organisme independent que vetlla per la correcta aplicació del RGDP, que va emetre un comunicat aquell desembre del 2024 aclarint que recórrer a l’interès legítim en el context de la IA, per regla general, “no és lícit, llevat que no es compleixin condicions molt estrictes”, afegeix Domínguez de Olazábal.

Les empreses utilitzen dues bases del RGPD de la Unió Europea per justificar la recopilació de dades: quan l’usuari dona el seu consentiment o quan hi ha un “interès legítim” del responsable

Entre aquestes, hi ha el “principi de minimització de dades”, és a dir, l’empresa només pot demanar dades estrictament imprescindibles per un objectiu concret, i han de tenir un tractament necessari i proporcional. 

Per a l’experta en dret digital de la UE, la decisió de Meta de recaptar dades per entrenar la IA, “excedeix el necessari” i vulnera aquest principi. “El tractament és ampli i indefinit, amb límits poc clars sobre l’ús de les dades o sobre si es podran suprimir un cop absorbides pel model. A més, Meta no ofereix als usuaris cap mecanisme efectiu d’oposició, requisit indispensable quan s’al·lega interès legítim”.

Les alarmes van tornar a sonar fa poc, aquest cop als Estats Units, quan alguns usuaris van alertar que Facebook els hi estava demanant accés complet al rodet d’imatges dels seus mòbils. La sol·licitud anava acompanyada d’un missatge que deia que s’utilitzarien les imatges per suggerir versions editades amb IA, segons va informar el mitjà especialitzat en tecnologia TechCrunch. Meta va negar després haver fet servir les imatges personals dels seus usuaris per entrenar els seus models. 

Verificat ha intentat contactar amb Meta per conèixer en què basen la seva interpretació de la GDPB, però en el moment de publicar aquest article no havia rebut resposta.

El cas de Bumble

Per altra banda, el maig passat, Noyb va interposar una denúncia contra l’aplicació de cites Bumble a l’autoritat de protecció de dades austríaca, presumptament per haver infringit la llei europea de protecció de dades. Segons l’organització, Bumble no va preguntar als seus usuaris si estaven d’acord que s’enviés informació personal dels seus perfils a la companyia OpenAI, propietària de ChatGPT. Amb aquella informació, segons Noyb, Bumble oferia respostes creades amb IA per “trencar el gel” de la primera conversa. 

Lisa Steinfeld, advocada de Noyb especialista en protecció de dades, explica a Verificat que estan començant a veure “un patró en la manera com el sector gestiona les sol·licituds del subjecte de les dades”. Afegeix que “quan algú demana accedir o esborrar les seves dades, sovint (aquestes empreses) al·leguen que no poden fer-ho, però no queda clar si realment no poden o si no volen. A més, la manca de transparència és comuna: són opacs i és difícil saber si, com i amb quina base legal es processen les dades en relació amb la IA”.

En el cas de Bumble, on hi ha informació tan delicada com l’orientació sexual, la regulació europea prohibeix que s’utilitzi, excepte si s’ha demanat “un consentiment de l’usuari lliurement atorgat, específic, informat i inequívoc”, afegeix Steinfeld. Un portaveu de l’aplicació li va dir al mitjà Euractiv que: “No es comparteixen dades de categoria especial, inclosa l’orientació sexual, amb OpenAI.”

Tant el cas de Meta com el de Bumble evidencien el nou món que s’obre pel tractament de dades dels usuaris a una escala que no s’havia vist abans i que ja havia fet saltar alarmes amb ChatGPT, d’OpenAI. Altres empreses com Google o Microsoft han estès també models semblants d’assistents d’IA als seus productes. A diferència de l’ús de dades per a publicitat que fins ara s’havia fet, “l’escala i l’abast de la IA implica que les persones perden el control sobre l’ús de la seva informació, ja que l’entrenament d’IA ingereix textos complets, imatges i interaccions dins de ‘caixes negres’ amb una visibilitat i uns recursos molt limitats per a l’usuari”, conclou Domínguez de Olazábal.