La IA entra en nuestras redes sociales y preocupa a expertos en protección de datos

*Actualización*: Una publicación original de este artículo se modificó el 18 de julio para incorporar la respuesta de Meta.

Los nuevos asistentes de inteligencia artificial estrenados en aplicaciones como WhatsApp o Google recientemente han acercado más la integración casi omnipotente de la IA en nuestro día a día, pero también han alimentado las dudas sobre su impacto en la protección de datos de los usuarios.

Meta, propietaria de Facebook, Instagram y WhatsApp, anunció en marzo que estrenaba en Europa Meta AI, su asistente de IA, que permite, por ejemplo, que se pueda hablar con un chatbot en WhatsApp como si fuese una conversación. Un mes después, en abril, hacía público que se serviría de estas interacciones para entrenar sus modelos de inteligencia artificial. Además, imágenes, comentarios y reacciones que sean públicas en Instagram o Facebook también se utilizarán para alimentarlos.

Meta anunció en abril que utilizaría las interacciones registradas en el chatbot de WhatsApp para entrenar a sus modelos de inteligencia artificial

La empresa propiedad de Mark Zuckerberg dejó claro que las conversaciones fuera de su chatbot no irán a sus modelos de IA y pusieron énfasis en el hecho de que cumple con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Los usuarios tenían hasta el 27 de mayo para oponerse a través de un formulario web y, en caso contrario, Meta sobreentendía que se estaba de acuerdo.

Sin embargo, algunas organizaciones expresaron su preocupación. Por ejemplo, el organismo holandés de protección de datos cuestionaba la legalidad del modelo de exclusión voluntaria, y es que se asume que las personas que no rellenaron el formulario de objeción dan su consentimiento. La organización austríaca Noyb, que vela por los derechos digitales de los europeos, amenazaron con emprender medidas legales contra la empresa y criticó que Meta no pida el consentimiento porque se basa en un «interés legítimo» para absorber los datos de sus usuarios.

¿La Unión Europea permite a la IA usar datos personales?

El Reglamento General de Protección de Datos (RGPD) de la UE «solamente permite tratar datos personales, también para entrenar modelos de IA, cuando existe una base jurídica válida del artículo 6«, explica a Verificat Itxaso Domínguez de Olazábal, asesora política de EDRI, una asociación a favor de los derechos digitales.

Las empresas utilizan normalmente dos bases de este artículo para justificar la recopilación de datos: cuando el usuario da su consentimiento o cuando hay un «interés legítimo» del responsable. Este interés legítimo se puede aducir, por ejemplo, cuando un establecimiento graba a sus clientes sin su consentimiento por razones de seguridad.

Meta opta por esta segunda vía porque no pide explícitamente el consentimiento para utilizar los datos del usuario, sino que lo considera otorgado si la persona no solicita oponerse. La empresa defiende que una opinión del pasado diciembre de la RGPD valida su aproximación, pero varias entidades que trabajan a favor de la protección de datos de la ciudadanía no consideran que sus intenciones se enmarquen en el interés legítimo.

Es el caso del Comité Europeo de Protección de Datos (EDPB, en inglés), el organismo independiente que vela por la correcta aplicación de la RGDP, que emitió un comunicado el mismo diciembre de 2024 aclarando que recurrir al interés legítimo en el contexto de la IA, por norma general, «no es lícito, a no ser que no se cumplen condiciones muy estrictas», añade Domínguez de Olazábal.

Las empresas usan dos bases del RGPD para justificar la recopilación de datos: cuando el usuario da su consentimiento o cuando hay un «interés legítimo» del responsable

Entre estas, se encuentra el «principio de minimización de datos», es decir, la empresa solamente puede pedir datos estrictamente imprescindibles para un objetivo concreto, y deben tener un trato necesario y proporcional.

Para la experta en derecho digital de la UE, la decisión de Meta de recaudar datos para entrenar la IA, «excede lo necesario» y vulnera dicho principio. «El trato es amplio e indefinido, con límites poco claros sobre el uso de los datos o sobre si se podrán suprimir una vez absorbidos por el modelo. Además, Meta no ofrece a los usuarios ningún mecanismo efectivo de oposición, requisito indispensable cuando se alega interés legítimo».

Las alarmas volvieron a sonar hace poco, en Estados Unidos, cuando algunos usuarios alertaron de que Facebook les estaba pidiendo acceso completo al carrete de imágenes de sus móviles. La solicitud estaba acompañada de un mensaje que decía que se utilizarían las fotografías para sugerir versiones editadas con IA, según informó el medio especializado en tecnología TechCrunch. Meta negó después haber utilizado las imágenes personales de sus usuarios para entrenar a sus modelos.

Verificat va preguntar a Meta quina part específica de la llei europea invoca per entrenar la seva IA i si un cop utilitzades les dades d’un usuari es podien esborrar, i la tecnològica va respondre amb l’enllaç a la nota de premsa on presenta la seva IA a Europa.

El caso de Bumble

Por otro lado, el pasado mes de mayo, Noyb interpuso una denuncia en la autoridad de protección de datos austríaca contra la aplicación de citas Bumble, presuntamente, por haber infringido la ley europea de protección de datos. Según la organización, Bumble no preguntó a sus usuarios si estaban de acuerdo con mandar información personal de sus perfiles a la compañía OpenAI, propietaria de ChatGPT. Con aquella información, según Noyb, Bumble ofrecía respuestas creadas con IA para «romper el hielo» de la primera conversación.

Lisa Steinfeld, abogada de Noyb especializada en protección de datos, explica a Verificat que están empezando a ver «un patrón en la forma en que el sector gestiona las solicitudes del interesado». Añade que «cuando alguien pide acceder o borrar sus datos, a menudo [estas empresas] alegan que no pueden hacerlo, pero no queda claro si realmente no pueden o no quieren. Además, la falta de transparencia es común: los sistemas de IA son opacos y es difícil saber si, cómo y con qué base legal se están procesando los datos en relación con la IA».

En el caso de Bumble, donde hay información tan delicada como la orientación sexual, la regulación europea prohíbe que se use, excepto si se ha pedido «consentimiento del usuario otorgado libremente, específico, informado e inequívoco», añade Steinfeld. Un portavoz de la aplicación dijo al medio Euractiv que: «No se comparten datos de categoría especial, incluida la orientación sexual, con OpenAI».

Tanto el caso de Meta como el de Bumble evidencian el nuevo mundo que se abre para el tratamiento de datos de los usuarios a una escala que no se había visto antes y que ya había hecho saltar las alarmas con ChatGPT, de OpenAI. Otras empresas como Google o Microsoft han extendido también modelos parecidos de asistentes de IA a sus productos. A diferencia del uso de datos para publicidad hecho hasta ahora, «la escala y alcance de la IA implica que las personas pierdan el control sobre el uso de su información, ya que el entrenamiento de IA ingiere textos completos, imágenes e interacciones dentro de ‘cajas negras’ con una visibilidad y unos recursos muy limitados para el usuario», concluye Domínguez de Olazábal.