El estudio, realizado por investigadores de la Universidad de Stanford y la Universidad de Washington, se centró en el modelo ChatGPT, un chatbot basado en el popular modelo de lenguaje GPT-3. Los investigadores crearon un conjunto de datos de 1000 conversaciones entre humanos y ChatGPT, y analizaron la capacidad del modelo para inferir la edad, el género, la ubicación, la educación, el estado civil y el estado de ánimo de los usuarios.

Los resultados fueron sorprendentes. El modelo fue capaz de inferir correctamente el género del usuario en el 63% de los casos, la edad en el 51%, la ubicación en el 42%, la educación en el 41%, el estado civil en el 40% y el estado de ánimo en el 39%. Además, el modelo fue capaz de hacer estas inferencias a partir de pistas sutiles o indirectas, como el uso del lenguaje, las referencias culturales o las opiniones expresadas.

¿Qué implicaciones tiene esto para la privacidad y la seguridad de los usuarios? Los investigadores advierten que esta capacidad de los chatbots podría ser explotada por actores maliciosos, como estafadores o anunciantes, que podrían usar la información personal inferida para manipular o persuadir a los usuarios. Por ejemplo, un chatbot podría ofrecer un producto o servicio personalizado basado en la edad o la ubicación del usuario, o podría adaptar su tono o estilo para ganarse su confianza o simpatía.

Los investigadores recomiendan que se tomen medidas para proteger la privacidad y la seguridad de los usuarios que interactúan con los chatbots. Algunas posibles soluciones son informar a los usuarios sobre los riesgos potenciales, limitar el acceso a los datos personales por parte de los modelos de IA, o diseñar chatbots que respeten los principios éticos y legales.

¿Cómo puedes proteger tu privacidad cuando hablas con un chatbot?

Los investigadores recomiendan que sigas algunas medidas básicas, como:

– Informarte sobre los riesgos potenciales y los derechos que tienes como usuario.
– Limitar la cantidad y el tipo de información personal que compartes con el chatbot.
– Verificar la fuente y la credibilidad del chatbot antes de interactuar con él.
– Desconfiar de las ofertas o promesas demasiado buenas para ser verdad.
– Reportar cualquier comportamiento sospechoso o inapropiado del chatbot.

Los chatbots de IA pueden ser herramientas útiles y divertidas, pero también pueden suponer una amenaza para tu privacidad y seguridad. Por eso, es importante que seas consciente y responsable cuando los uses.

La entrada Los chatbots de IA deducen información personal a partir de lo que escribes se publicó primero en Adaptación RGPD.

La seudonimización se puede realizar de diferentes formas, como por ejemplo:

– Sustituir los nombres y apellidos por iniciales o códigos alfanuméricos.
– Enmascarar o eliminar parte de los números de identificación, como el DNI o el NIF.
– Aplicar algoritmos de cifrado o hash a los datos, de forma que solo se puedan recuperar con una clave o un código.
– Agrupar o categorizar los datos, reduciendo el nivel de detalle o precisión.

La seudonimización no es lo mismo que la anonimización, ya que esta última implica que los datos no se puedan relacionar con ninguna persona, ni siquiera con una clave o un código. La anonimización es más difícil de conseguir y suele implicar una pérdida de información o utilidad de los datos.

La seudonimización es una medida de seguridad que ayuda a cumplir con la normativa de protección de datos, como el Reglamento General de Protección de Datos (RGPD) o la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Estas normas establecen que los datos personales deben tratarse de forma lícita, leal y transparente, respetando los principios de minimización, exactitud, limitación del plazo de conservación y responsabilidad proactiva.

Para realizar una seudonimización correctamente, es importante tener en cuenta los siguientes aspectos:

– La seudonimización debe aplicarse tanto a los datos almacenados como a los transmitidos o compartidos con terceros.
– La seudonimización debe ser proporcional al riesgo y al objetivo del tratamiento de los datos. No se debe seudonimizar más de lo necesario ni menos de lo adecuado.
– La seudonimización debe ser reversible, es decir, que se pueda recuperar la identidad de las personas cuando sea necesario, por ejemplo, para fines legales o contractuales.
– La seudonimización debe garantizar la calidad y la integridad de los datos, evitando errores, inconsistencias o pérdidas de información.
– La seudonimización debe documentarse y registrarse, indicando los métodos utilizados, las claves o códigos empleados y las personas autorizadas para acceder a los datos.

La seudonimización es una herramienta útil para proteger los datos personales, pero no es suficiente por sí sola. También es necesario aplicar otras medidas de seguridad, como el control de accesos, la encriptación, el borrado seguro o la evaluación de impacto. Además, es imprescindible informar a las personas afectadas sobre el tratamiento de sus datos y obtener su consentimiento cuando sea necesario.

La entrada La seudonimización en la protección de datos se publicó primero en Adaptación RGPD.

Las empresas están obligadas a prevenir e identificar las prácticas de acoso y, en su caso, erradicar estas situaciones de sus organizaciones. En este sentido es recomendable la elaboración de protocolos con medidas a adoptar, entre las que deben incluirse las específicas para la protección de datos de carácter personal.

Canal Prioritario y Pacto Digital de la AEPD
Dentro de los compromisos recogidos en su Marco de Actuación de Responsabilidad Social, la Agencia puso en marcha el Canal Prioritario para la retirada urgente de contenidos sexuales o violentos publicados sin consentimiento en Internet. Una herramienta de gran utilidad para las personas afectadas en primer término, pero también para las empresas. Más de 300 organizaciones firmantes del Pacto Digital de la AEPD ya la difunden entre sus empleados y la incluyen dentro de sus protocolos de actuación ante situaciones de acoso.

Consideraciones ante supuestos de acoso
Los datos personales relativos a las víctimas de acoso en el trabajo y de las mujeres supervivientes de la violencia de género, en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada por parte de las empresas y organizaciones en las que trabajan.

En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo, pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.

Fuente: AEPD

Puede ver más información en el siguiente enlace

La protección de datos como garantía en las políticas de prevención del acoso: recomendaciones

La entrada Protección de la privacidad en el entorno laboral de las víctimas de acoso y mujeres supervivientes a la violencia de género se publicó primero en Adaptación RGPD.