El uso de ChatGPT en la empresa y la privacidad de datos son dos elementos relacionados. El uso de la IA conlleva riesgos y responsabilidades legales, por lo que se debe:
- Conocer la base jurídica del tratamiento de imágenes.
- Cumplir con los principios y obligaciones del RGPD.
- Incluir medidas para proteger la privacidad en la empresa.
¿Cuál es la base jurídica del tratamiento de imágenes en protección de datos?
El uso de la IA está firmemente ligada al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos Personales y Garantías de Derechos Digitales (LOPDGDD). Para garantizar el cumplimiento de la normativa vigente y de un código ético en la empresa es necesario:
- Evaluar los posibles riesgos del tratamiento.
- Cuidar los derechos de imagen.
- Establecer políticas internas que garanticen el cumplimiento de un código ético en la empresa y de la normativa vigente.
¿Qué obligaciones establece el RGPD para el tratamiento de imágenes?
Cuando una empresa sube una imagen a ChatGPT puede estar tratando datos personales de terceros. Esto ocurre si en ellas aparecen personas identificables, en cuyo caso resulta necesario cumplir con las obligaciones del RGPD y de la LOPDGDD. Dichas obligaciones se traducen generalmente en las siguientes:
- Verificar si existe consentimiento válido de las personas implicadas para el tratamiento de sus imágenes.
- Establecer la base de legitimación para el tratamiento, siendo fundamental el consentimiento expreso o la relación contractual.
- Adoptar medidas de seguridad.
- Respetar los derechos del interesado: acceso, rectificación, supresión, oposición, información, restricción del tratamiento, portabilidad de los datos y no sujeción a una decisión basada únicamente en el tratamiento automatizado.
¿Cuáles son los principios del RGPD relativos al tratamiento de imágenes?
El RGPD, así como la normativa española en materia de protección de datos, la LOPDGDD, están íntimamente relacionados con el derecho de imagen, por lo que cuando se utiliza ChatGPT en la empresa, afecta a la privacidad de los datos.
De este modo, además de las obligaciones legales mencionadas, resulta necesario cumplir con los principios relativos al tratamiento, recogidos en el artículo 5 del RGPD.
Licitud, lealtad y transparencia
Estos principios significan que se debe informar de manera clara y fácil de entender acerca de cómo se va a tratar su información personal. Por tanto, el tratamiento de datos personales:
- Debe estar basado en una causa legal.
- Se debe utilizar de forma honesta.
Por ejemplo, si se va a utilizar su foto para procesar una imagen en ChatGPT, el interesado debe ser informado con total transparencia.
Minimización de datos
Los datos deben limitarse a lo estrictamente necesario de acuerdo con la finalidad para la que son tratados.
Por ejemplo, si la empresa ha informado al empleado de que va a subir su foto al apartado de “quiénes somos” de la página web corporativa, dicha información no se puede hacer extensiva a utilizar esa foto con finalidades de marketing en redes sociales o a subirla a ChatGPT. Se necesitaría contar con una base de legitimación adecuada.
Datos exactos y actualizados
La empresa debe tomar las medidas necesarias para que los datos inexactos sean eliminados o rectificados, siempre en relación con los fines para los que se están tratando.
Conservación durante el tiempo estrictamente necesario
La información debe mantenerse de modo que se permita la identificación de los interesados durante el tiempo estrictamente necesario para la finalidad del tratamiento. Además, las imágenes que se conserven deben tener relación con una finalidad vigente.
Integridad y confidencialidad
La empresa debe garantizar una seguridad adecuada a los datos personales. En este punto es fundamental que se tengan en cuenta los riesgos de subir una foto a ChatGPT.
Por ejemplo, la empresa deberá revisar su política de privacidad, velando por la protección de los derechos de las personas físicas.
¿Cómo utilizar ChatGPT en la empresa y mantener la privacidad de datos?
Utilizar ChatGPT en la empresa, influirá en la privacidad de los datos si permitimos que se utilicen para entrenar la IA. Por ejemplo, si dejamos que mejore sus servicios o que desarrolle nuevas funcionalidades. Es necesario tener en cuenta que si no se desactiva este permiso, estaremos llevando a cabo una cesión de datos.
Otro aspecto que resulta relevante es comprobar si la información va a utilizarse con fines comerciales o asegurarnos de otros aspectos menos visibles. Por ejemplo, que las imágenes que se suben a plataforma no incluyan metadatos como la ubicación en la que se realizó la foto.
¿Cuándo se realiza una transferencia internacional de datos al utilizar ChatGPT?
Por otro lado, otro punto importante a considerar es si, al procesar una imagen con ChatGPT, se está realizando una transferencia internacional de datos. De acuerdo con lo que se señala en la política de privacidad de la empresa OpenAI, efectivamente se lleva a cabo dicha transferencia.
Esto ocurre porque en dicha política de privacidad se indica que el tratamiento de datos personales se realiza a través de servidores ubicados en diversas jurisdicciones. En ellas, se incluyen sus instalaciones y servidores en Estados Unidos.
¿Cómo actuar si se realiza una transferencia internacional de datos?
Al utilizar ChatGPT en la empresa e interferir en la privacidad de datos mediante el uso de imágenes, este flujo de información personal hacia un tercer país no europeo como es Estados Unidos conlleva realizar dos acciones fundamentales:
- Se debe avisar de forma transparente a los afectados.
- Deben adoptarse medidas de seguridad adecuadas.
Un ejemplo de medida de seguridad adecuada es la adhesión a determinadas cláusulas o la realización de evaluaciones de impacto. En Legal Veritas podemos ayudarte, ¡contacta con nosotros!
¿Qué otros riesgos supone el uso de ChatGPT en la empresa para la privacidad de datos?
Otros posibles riesgos del uso de ChatGPT en la empresa son las brechas de seguridad en un tercer país o la reputación empresarial si se producen. Sin embargo, pueden reducirse si se adoptan medidas técnicas y organizativas que se adecúen y puedan prevenirlos.
Por ejemplo, cuando hay transferencia de datos internaciones son bastante útiles los protocolos de anonimización de datos. Pero en la subida de una imagen a ChatGPT, dicha anonimización no es posible si la persona física es reconocible en la foto. Una cuestión diferente sería, por ejemplo, si saliera de espaldas.
¿Cómo adecuar la política interna de la empresa?
El cumplimiento de la normativa sobre protección de datos es uno de los puntos más importantes en la política interna de una empresa. En ella, se debe incluir:
- El alcance y ámbito de aplicación del tratamiento de datos.
- La garantía del respeto a los derechos de los interesados.
- La comunicación a todos los empleados.
¿Qué elementos debe contener la política interna de la empresa?
Si tu empresa procesa imágenes con ChatGPT en la que aparecen empleados, es necesario que se incluya en la política interna de forma clara, transparente y comprensible. Además, será necesario incluir:
- La finalidad.
- El ámbito de aplicación.
- La delimitación del alcance.
- La base de legitimación adecuada.
- Las medidas de seguridad procedentes.
Así pues, crear una política interna adecuada se traduce en un sello de calidad y crea un espacio seguro, afianzando la reputación y evitando posibles sanciones económicas.
¿Necesitas asesoramiento?
En Legal Veritas estarás dejando el cumplimiento de la normativa de protección de datos en manos de expertos. Te ayudamos y asesoramos para que implementes todas las medidas de seguridad necesarias y que tu empresa incorpore las directrices esenciales para generar confianza tanto interna como externamente.
El contenido de este artículo es informativo y no debe tomarse como asesoramiento jurídico, ya que cada caso debe ser evaluado individualmente. Si necesita orientación específica para el tratamiento de imágenes en su empresa, acude a expertos con un alto nivel de conocimiento en materia de privacidad.
Preguntas Frecuentes (FAQ)
Un dato personal es cualquier tipo de información relativa a una persona física que, directa o indirectamente, permita que sea identificable. Por ejemplo, su nombre y apellidos o su DNI.
La cesión de datos es un tipo de tratamiento de datos personales en el que se transfieren dichos datos de una entidad a otra. Debe realizarse previa base de legitimación, como el consentimiento explícito.
Las transferencias internacionales de datos consisten en un flujo de información de las personas físicas desde España hacia un tercer país que no esté incluido en el Espacio Económico Europeo, por ejemplo, Estados Unidos.
Fuentes y recursos
- RGPD: Reglamento UE 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de datos personales
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- Política de Privacidad de Open AI
- AEPD: Transferencias Internacionales de Datos
Deja una respuesta