Bienvenido a la primera entrega de Privacy Perspectives. Este es un nuevo espacio para profundizar en el material del Boletín Mensual de Privacidad, y para otro material que no encaja del todo en el Boletín Mensual de Privacidad. Cada artículo incluye un enlace directo a la fuente, algunos comentarios para contextualizar y, a veces, una opinión personal.
- EDPB no da tregua a la IA
- Youtube se desentiende de los anuncios políticos
- ¿Cómo protegen las aplicaciones los datos de salud de las mujeres?
- El seguimiento de coches y los agentes hipotecarios
- Los SDK y la FTC
- Cómo el GPS cambió los datos de localización
EDPB no da tregua a la IA
La Ley de Inteligencia Artificial está acaparando la atención de los medios de comunicación, y con razón: es la primera ley de este tipo y es probable que marque la pauta de la política de inteligencia artificial en todo el mundo, al igual que hizo el GDPR con la legislación sobre privacidad. Pero la gente de la privacidad también está debatiendo otras noticias relacionadas con la IA que pasaron desapercibidas para los medios de comunicación en general: el Consejo Europeo de Protección de Datos (EDPB) publicó su informe sobre el trabajo del grupo de trabajo ChatGPT.
En 2023, el organismo italiano de control de la privacidad prohibió ChatGPT durante un mes por motivos de privacidad. Esto llevó a la EDPB (es decir, el comité en el que se sientan todos los reguladores de la privacidad) a iniciar una investigación más amplia a través del llamado "grupo de trabajo ChatGPT". El resultado es un informe que expone los puntos en común encontrados por los reguladores europeos.
El informe es muy importante porque los problemas de ChatGPT son en gran medida comunes a todos los modelos fundacionales: por ejemplo, alucinan, no se les puede hacer olvidar datos y se entrenan sobre todo con datos raspados sin consentimiento. Todos ellos son problemas graves que los reguladores tendrán que abordar en un futuro próximo, y su planteamiento afectará mucho a los modelos fundacionales en el mercado de la UE.
El informe no se anda con rodeos y afirma con toda claridad que los reguladores esperan el pleno cumplimiento por parte de los proveedores de IA y que la imposibilidad técnica no es excusa para el incumplimiento. En otras palabras, la JEPD no está dispuesta a dar tregua a OpenAI (ni a otros agentes) alegando que el cumplimiento del RGPD es técnicamente imposible.
El informe subraya que la aplicación de salvaguardias puede contribuir al cumplimiento. Pero debemos ser realistas: muchas de las salvaguardias que son habituales en otros sectores simplemente no funcionan para la IA, al menos en el estado actual de la técnica. Si los datos de entrenamiento son toda la Web abierta, cosas como el anonimato y la limpieza de datos sensibles simplemente no son posibles, como tampoco lo es ningún trabajo serio para mejorar la calidad de los datos.
Los reguladores individuales pueden muy bien apartarse de la postura de la EDPB, ya que el informe no tiene carácter vinculante. Y, por supuesto, no se sabe cuál será la postura del Tribunal de Justicia cuando finalmente se ocupe de la IA y el RGPD.
No obstante, si prevalece la línea del informe, los modelos fundacionales podrían tener problemas en el mercado de la UE.
Youtube se desentiende de los anuncios políticos
Una investigación de Access Now y Global Witness pone de relieve que YouTube está haciendo poco o nada para hacer frente a la desinformación electoral en la India.
Los dos grupos subieron 48 anuncios de vídeo que contenían información electoral manifiestamente falsa en tres idiomas, incluido el inglés, que debería ser el más fácil para Google. Todos ellos pasaron la revisión de YouTube. La única razón por la que no se emitieron es que Access Now los retiró de antemano.
¿Quizá los despidos masivos del equipo de confianza y seguridad de Google no fueron tan buena idea después de todo?
¿Cómo protegen las aplicaciones los datos de salud de las mujeres?
En su artículo para The Pulse, Matt Fisher cubre y resume un estudio reciente sobre la privacidad en las aplicaciones de salud móvil para mujeres en el mercado estadounidense. Alerta: las prácticas de privacidad son terribles en todo el sector. En gran medida, esto se debe al hecho de que muchas aplicaciones de salud móvil no están cubiertas por la HIPAA, una ley estadounidense del sector sanitario que protege la información sobre la salud.
Como bien señala Matt, la HIPAA puede resultar confusa para quienes no son abogados. Que los datos entren en el ámbito de la HIPAA depende no sólo de su naturaleza, sino también del contexto en el que se recogieron. Simplificando mucho, los datos sanitarios recogidos fuera del sistema sanitario no entran en el ámbito de la HIPAA por muy sensibles que sean.
Así, "Alice's menstrual cycle stopped" es información sanitaria protegida cuando Alice se lo cuenta a su médico, pero no cuando lo teclea en su aplicación mhealh. Esto es contraintuitivo y, por tanto, confuso para Alice. Puede pensar erróneamente que la información siempre está cubierta por la HIPAA y creer que sus datos están más seguros de lo que realmente están.
Cabe señalar que la privacidad de los datos sanitarios ha sido increíblemente importante desde el caso Dobbs contra Jackson. Tras la sentencia, los residentes de ciertos Estados corren el riesgo de ser procesados y encarcelados por buscar asistencia sanitaria, y las aplicaciones mhealth son un tesoro de pruebas potencialmente incriminatorias. La FTC está haciendo todo lo posible por controlar los daños, pero no habrá una solución real hasta que Estados Unidos proteja los datos sanitarios con una ley federal de privacidad.
El seguimiento de coches y los agentes hipotecarios
Cuando se habla de los perjuicios de la vigilancia, la gente suele pensar en futuras distopías y escenarios de historias de espías. La realidad suele ser más mundana: piense menos en "1984" y más en "un ex peligroso que le acosa".
Un excelente artículo publicado conjuntamente por The Markup y CalMatters explica cómo el rastreo de coches posibilita el maltrato doméstico al permitir al maltratador localizar al conductor. Como bien señala el autor, los coches suelen ser un salvavidas para las víctimas de malos tratos, lo que hace que el acoso desde el coche sea aún más problemático. A veces, ni siquiera una orden de alejamiento basta para detener el rastreo.
The Markup también investigó el uso del píxel de Meta por parte de agentes hipotecarios estadounidenses y descubrió que muchos de ellos -incluidos algunos pesos pesados- comparten datos financieros de los usuarios con Facebook sin su consentimiento o incluso sin que ellos lo sepan.
Meta prohíbe a las empresas enviar información sensible a través de su píxel y afirma que utiliza herramientas automatizadas para bloquear el envío de información sensible. Dicho esto, los resultados de la investigación de The Markup sugieren que Meta probablemente no está aplicando sus políticas de forma demasiado estricta.
Los SDK y la FTC
Andrew Folks analiza en profundidad algunas de las cuestiones legales de los kits de desarrollo de software (SDK) y ofrece una visión general de la reciente aplicación de la FTC contra el rastreo ilegal de SDK.
Los kits de desarrollo de software (SDK) son un conjunto de herramientas de creación de software. Normalmente, los propietarios de un SDK incorporan tecnología de rastreo en el código y lo ponen a disposición de terceros desarrolladores. Como resultado, los desarrolladores pueden utilizar el SDK de forma gratuita y los propietarios del SDK obtienen datos del usuario final.
Los SDK son la catástrofe de la privacidad de la que casi nadie habla. Casi todo el mundo tiene este software espía en sus teléfonos. Esto sucede incluso en el mercado de la UE y a pesar del estricto consentimiento de inclusión voluntaria que exige la Directiva sobre privacidad electrónica para este tipo de rastreo. De hecho, muchas empresas eluden la ley exigiendo el consentimiento para que la aplicación funcione.
Cómo el GPS cambió los datos de localización
En su artículo sobre las recientes multas de la FCC a las operadoras de telefonía móvil, Cobun Zweifel-Keegan ofrece una interesante visión general de cómo el GPS cambió el valor económico de los datos de localización. En pocas palabras, el GPS creó nuevas y rentables fuentes de ingresos para los operadores de comunicaciones, pero también generó nuevas expectativas de privacidad entre los clientes.