El uso de chatbots con IA puede provocar brechas de seguridad

El pasado mes de agosto de 2024, la Autoridad Neerlandesa de Protección de Datos (Autoriteit Persoonsgegevens) alertó de haber recibido varias notificaciones por infracciones causadas al compartir datos personales con chatbots que utilizan inteligencia artificial (IA). Concretamente, las infracciones reportadas a la Autoridad fueron cometidas por empleados que compartieron con un chatbot datos de terceros, como clientes o pacientes, propiciando así un acceso no autorizado a los datos personales de éstos.  

Ventajas del uso de chatbots con IA

El uso de chatbots —programas informáticos basados en IA, capaces de mantener conversaciones en tiempo real con usuarios— se ha expandido en multitud de sectores y cada vez son más las empresas que recurren a esta tecnología para interactuar con clientes, potenciales clientes o proveedores. Asimismo, se ha generalizado el uso de chatbots por parte de empleados para realizar ciertas tareas, como responder emails o resumir archivos de gran tamaño.

Las ventajas del uso de chatbots son claras: si se trata de un chatbot implementado por la propia empresa, esta tecnología permite dar respuesta inmediata a clientes, potenciales clientes o proveedores, así como responder a numerosos usuarios simultáneamente y durante 24 horas al día, o gestionar pedidos de forma autónoma. Si, por el contrario, los empleados utilizan chatbots externos como ChatGPT o Copilot, esto les permite simplificar tareas, ahorrar tiempo y costes y, en general, gestionar de forma más eficiente el tiempo de trabajo.

Sin embargo, a pesar de las ventajas expuestas, el uso de chatbots con IA puede conllevar altos riesgos en materia de protección de datos personales, en concreto, en relación con la confidencialidad de los datos.

Reporte de la Autoridad Neerlandesa de Protección de Datos

Tal como se adelantaba al inicio, el pasado mes de agosto de 2024, la Autoridad Neerlandesa de Protección de Datos publicó un reporte en el que informaba de haber recibido múltiples notificaciones de brechas de seguridad causadas por trabajadores que compartieron datos personales de usuarios con chatbots, posibilitando así accesos no autorizados a los datos a las empresas proveedoras de los servicios de chatbot.

En el mencionado informe, la Autoridad hace hincapié en que la mayoría de las empresas proveedoras de servicios de chatbot almacenan todos los datos recibidos, de forma que éstos pasan a formar parte de los servidores y bases de datos de la empresa. En la práctica totalidad de las ocasiones, esto sucede sin que el titular de los datos o la persona que los ha introducido en el chatbot sean conocedores del uso que se les dará, o sin que ni siquiera sepan que los datos serán almacenados.

De esta manera, las empresas de chatbots tienen acceso a datos personales como nombres y apellidos, documentos nacionales de identidad, domicilios o datos de contacto, que luego almacenan y, en ciertos casos, utilizan para entrenar a la IA.

En ocasiones, la información compartida puede comprender datos considerados sensibles por el Reglamento General de Protección de Datos, que describe esta categoría en su artículo 9.1 (“datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”). Así, una de las brechas de seguridad a las que la Autoridad Neerlandesa de Protección de Datos se refiere en su reporte —y que considera especialmente grave— tuvo lugar cuando un empleado de un centro médico introdujo datos relativos a la salud de los pacientes en un chatbot.

Por ello, a fin de evitar brechas de seguridad, la Autoridad Neerlandesa de Protección de Datos considera crucial que la empresa regule el uso de chatbots basados en IA, determinando si está o no permitido y, en caso afirmativo, qué datos se pueden introducir en un chatbot y cuáles se deben excluir estrictamente.

Recomendaciones de la AEPD para usuarios en la utilización de chatbots

La Agencia Española de Protección de Datos no es ajena al riesgo que entraña el uso de esta tecnología, tanto por parte de particulares como en el ámbito profesional. En septiembre de 2023 publicó una serie de recomendaciones para usuarios que utilicen chatbots, entre las cuales cabe destacar: 

• Revisar que el proveedor de chatbot cuente con política de privacidad y aviso legal, en los que se informe sobre el tratamiento de datos, la posible cesión a terceros, el ejercicio de los derechos de protección de datos y, en su caso, el uso de las conversaciones para entrenar la IA.
• No aceptar que se soliciten datos no necesarios, ni que se solicite el consentimiento sin definir para qué se van a utilizar los datos o sin que se permita retirarlo en cualquier momento.
• No proporcionar datos personales de terceros si hay dudas sobre el tratamiento que va a realizar el chatbot.

Estas recomendaciones resultan aplicables a empresas, en su condición de usuarios de chatbots desarrollados por proveedores externos. Asimismo, han de ser tenidas en consideración por aquellas empresas que decidan implementar sus propios chatbots.

Recomendaciones para el uso de chatbots en el ámbito empresarial

Por lo expuesto previamente, tanto si una empresa hace uso de chatbots de terceras empresas, como si decide desarrollar uno propio, resulta crucial implementar una serie de medidas que garanticen la seguridad de los datos personales de usuarios:

• Regular internamente el uso que los trabajadores pueden hacer de chatbots de terceros. Si se permite la utilización de estas herramientas, la empresa debe definir con precisión qué datos pueden ser introducidos en los chatbots y cuáles deben excluirse.
• Valorar cuál es la base de legitimación para el tratamiento de datos: si se cuenta con el consentimiento del usuario, si el tratamiento es necesario para la ejecución de un contrato o precontrato, para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del interesado, para el cumplimiento de una misión realizada en interés público, o para la satisfacción de intereses legítimos.
• En caso de contratar a un proveedor de servicios de chatbot (p.ej. para desarrollar un chatbot de atención al cliente 24 horas), la contratante debe asegurarse de que la empresa desarrolladora de chatbot cumpla una serie de condiciones:

• Que cuente con política de privacidad y aviso legal e informe sobre el tratamiento de datos llevado a cabo.
• Que cuente con un procedimiento que permita a los usuarios ejercer sus derechos de protección de datos.
• Que el sistema sea capaz de limitar la información de entrada (filtrando la información esencial para la prestación del servicio) o, en su defecto, permita la supresión posterior de información no necesaria.

• Asegurarse de que los datos tratados sean necesarios, se conserven por un plazo prudencial para la finalidad para la que fueron recabados, y se haya informado a los interesados del tratamiento que se llevará a cabo.
• En caso de detectar un mal uso por parte de los empleados (p. ej. un empleado extrae información confidencial para insertarla en un chatbot), la empresa debe tener implementado un procedimiento interno de actuación y evitar que se produzca una brecha de seguridad.

Conclusiones

En conclusión, aunque el uso de chatbots con IA ofrece numerosas ventajas, especialmente en términos de eficiencia, también presenta significativos riesgos en cuanto a la protección de datos personales, que han de ser tenidos en cuenta por las empresas que quieran utilizar esta tecnología.

La reciente alerta de la Autoridad Neerlandesa de Protección de Datos y las recomendaciones de la AEPD subrayan la necesidad de regular internamente el uso de chatbots con IA, tanto si se utiliza un chatbot desarrollado por terceras empresas, como si se implementa uno propio. En ambos casos, la empresa debe tener en cuenta el almacenamiento y el uso de los datos que efectuará el proveedor de chatbot.

El estricto cumplimiento de las medidas y recomendaciones expuestas permitirá a las empresas aprovechar las múltiples ventajas que ofrecen los chatbots con IA, al tiempo que se garantiza la seguridad y confidencialidad de los datos personales de los usuarios.

Pablo Tena Sanz, con la colaboración de Ángela Pérez Camblor