ChatGPT, DeepSeek y similares: otro enorme agujero en la privacidad del ciudadano

Como si de un nuevo juguete se tratase, el amante de la tecnología se lanza de cabeza hacia el último grito disruptivo. Al lanzar su versión más popular, OpenAI convirtió ChatGPT en una fabulosa trampa: las frenéticas consultas del público (particulares y empresas) permitían y permiten entrenar a la máquina a partir de esas interacciones y de los millones de cofres de conocimiento repartidos por internet.

En un artículo publicado en enero de este año, la Universidad de Carolina del Norte explica el mecanismo: «Todas las compañías de inteligencia artificial peinan la web en busca de información o compran a terceros paquetes de datos. Estos últimos pueden ser de cualquier naturaleza y pueden proceder de cualquier fuente imaginable, desde un silo público hasta una app». 

Esta aparente impunidad se traduce en la filtración de asuntos tan sensibles como un historial médico o en la posibilidad de que el origen de lo captado provenga directamente de la ciberdelincuencia y el hackeo, materializándose una invasión tan grotesca que cabe la posibilidad, como ocurrió en EEUU, de que una corporación como Target descubra que una joven está embarazada antes que ella misma.  

La grieta más novedosa no es la única grieta. Conocida es la estrategia de Meta y otros conglomerados de la industria del ocio digital por retratar a cada usuario en función de sus opiniones, likes, ubicaciones y amistades. Mayordomos de voz como Alexa o Google Assistant también pueden dejar al descubierto las intimidades más insospechadas. En Alemania, por ejemplo, un cliente de Amazon solicitó información sobre sus datos personales almacenados por la firma estadounidense, obteniendo, en cambio, acceso a 1.700 grabaciones de audio de un individuo desconocido. 

¿Dónde está el cortafuegos?

Bruselas disponía de una oportunidad de oro para prevenir esta invasión a través de su AI Act, la ley de inteligencia artificial llamada a convertirse en referencia mundial bajo una premisa conocida: no hay otro rincón del mundo donde los derechos del ciudadano estén mejor protegidos frente a los abusos tecnológicos. 

Sin embargo, la letra no tan pequeña del texto normativo desvela importantes agujeros. La UE se ha plegado, al parecer presionada por Francia, a una serie de prácticas dudosas que autorizan la vigilancia de personas en espacios públicos, espiar a refugiados en zonas fronterizas o recurrir a algoritmos policiales como los que ya utiliza España (Veripol para descubrir denuncias falsas, Viogen para anticipar casos de violencia de género).

El problema, según Investigate Europe, es que, en la práctica, esos agujeros también servirán de paraguas «a empresas privadas –y posiblemente a terceros países– que proporcionen la tecnología basada en IA a la policía y las fuerzas del orden. El texto estipula expresamente que la vigilancia en dichos supuestos está permitida independientemente del tipo de entidad que lleve a cabo esas actividades». 

La vía británica

En Reino Unido se plantea un debate casi contracultural, dada la hegemonía del laissez faire propio de la cultura anglosajona. La propuesta del Gobierno, aún en fase de estudio, pasa por permitir a las empresas de IA extraer todo aquello que precisen de su interacción con clientes y usuarios salvo que estos se pronuncien explícitamente en contra del atraco. Vendría a ser una reedición de la actual dinámica de navegación por internet, donde lo primero que salta a la vista es el muro de las cookies y la necesidad de pronunciarse sobre cuánto queda uno expuesto a las mismas. 

Capas sobre la base

De cualquier modo, el uso y el abuso no excluyen la excepción. Decenas de startups españolas (Maisa y Maite son dos buenos ejemplos) combinan diferentes LLMs (grandes modelos de lenguaje) y colocan sobre ellos una capa propia de IA donde la privacidad queda estrechamente ligada a la prestación del servicio. En estos casos, la posibilidad de entrenar al modelo con los datos del cliente se veta expresamente.