Buenas Prácticas Uso IA-DPD
A. CONTEXTO DE LA INTELIGENCIA ARTIFICAL
La inteligencia artificial1 (IA), y en particular la IA generativa2, se utiliza cada vez más en tareas como redactar, resumir información, generar ideas o incluso crear imágenes y otros contenidos. Va formando parte de nuestro día a día tanto en el ámbito personal como en nuestro puesto de trabajo.
En la Administración Pública, estas herramientas pueden resultar de utilidad para apoyar determinadas tareas, que hagan más efectivo y productivo el servicio público pero ésto también implica riesgos relevantes en materia de protección de datos, confidencialidad y seguridad de la información.
En la Diputación de Cádiz nos encontramos en una fase de transición hacia futuras soluciones corporativas de esta herramienta. En este contexto, y siendo conscientes de que en la práctica pueden estar utilizándose herramientas externas sin ninguna supervisión o normas previas, esta Delegación de Protección de Datos considera necesario ofrecer pautas claras, útiles y aplicables, que permitan su utilización de forma segura, responsable y garantizando en todo momento el cumplimiento normativo.
B. RIESGOS PRINCIPALES DEL USO DE IA GENERATIVA
Los principales riesgos que debemos tener en cuenta en el uso de la IA generativa en nuestro puesto de trabajo, además de la falta de garantías de seguridad:
· Pérdida de control: La información introducida puede ser tratada por terceros proveedores y almacenada fuera de la organización (incluso fuera de la Unión Europea).
· Uso indebido o excesivo de datos personales: Pueden verse afectados datos personales o información interna, con impacto en la confidencialidad.
· Respuestas incorrectas, poco fiables o desactualizadas (incluidas posibles alucinaciones o sesgos), pudiendo inducir a error en el desempeño de nuestras funciones.
La IA es una herramienta de apoyo, pero no sustituye el criterio humano ni el pensamiento crítico del personal.
Por ello, debe utilizarse con responsabilidad, garantizando en todo momento la confidencialidad y minimización de los datos tratados.
1 La IA incluye distintos tipos como pueden ser: automatización, análisis de datos, asistentes o chatbots como los que responden preguntas, sistemas biométricos ,... La IA generativa es sólo uno de ellos.
2 Existen distintas herramientas como pueden ser ChatGPT, Copilot o Gemini entre las más conocidas. Es importante tener en cuenta que no todas ofrecen el mismo nivel de seguridad ni tienen los mismos usos.
C. RECOMENDACIONES BÁSICAS EN EL USO DE LA IA GENERATIVA
Con carácter general, y con independencia de la herramienta utilizada, se recomienda:
1. Evitar introducir datos personales reales
Primera reflexión antes de introducir información en estas herramientas: ¿Esto se lo diría a una persona externa a la organización?.
Si se continúa con la consulta a la IA generativa, es necesario evitar especialmente:
· Datos personales de la ciudadanía o propios del personal (por ejemplo nombre, DNI, teléfono, dirección o datos de salud).
· Información confidencial o reservada (por ejemplo correos internos, documentos de trabajo no públicos, claves o credenciales).
· Contenido de expedientes o documentación administrativa total o parcial (por ejemplo resoluciones, solicitudes o contratos). Incluso si la información es pública, si contiene datos personales deberá anonimizarse previamente.
· Imágenes de personas1 (fotografías, retratos, etc.) (por ejemplo fotos propias o de terceras personas, caricaturas o ediciones).
2. Para resolver supuestos concretos: utilizar datos ficticios2 o anonimizados
Las herramientas de IA permiten obtener resultados equivalentes utilizando supuestos simulados, sin necesidad de emplear datos reales.
Para ello:
· Reformular el caso utilizando datos ficticios (cambiar nombres, cifras o contexto manteniendo el problema a resolver).
Es decir, inventar completamente los datos del caso para evitar cualquier referencia a personas reales. Esta es la opción más segura.
· Si se parte de información real, aplicar siempre una anonimización efectiva, eliminando cualquier dato o combinación de datos que permita identificar, directa o indirectamente, a unapersona.
3. Verificación, supervisión humana y decisiones automatizadas3
Las respuestas generadas por la IA deben ser siempre revisadas, comprobadas y contrastadas, especialmente con la normativa aplicable. La IA no sustituye el criterio técnico o jurídico del personal y debe utilizarse en todo caso bajo supervisión humana.
Las respuestas de la IA no constituyen por sí mismas decisiones automatizadas. No obstante, su uso sin una intervención humana real y efectiva, especialmente cuando se incorporan directamente a actuaciones administrativas, puede dar lugar a decisiones automatizadas sin las garantías exigidas, en particular cuando produzcan efectos jurídicos o afecten significativamente a los derechos o intereses de las personas.
En todo caso, la responsabilidad sobre el uso de la herramienta y los resultados obtenidos corresponde siempre a la persona empleada pública.
1 Las imágenes de personas (ej.: fotos para caricaturas o edición) son datos personales y pueden identificar a una persona. Evitar su uso sin anonimización.
2 Datos ficticios: inventados (ej.: “Juan Sinmiedo”). Son los más seguros.
3 El RGPD reconoce el derecho a no ser objeto de decisiones automatizadas sin intervención humana y establece garantías para las personas.
CONCLUSIÓN FINAL
La IA generativa es una herramienta útil, pero no es segura por defecto.
Su uso adecuado depende de la actuación responsable de cada persona, del respeto a la normativa aplicable y de la aplicación efectiva de los principios de protección de datos y de las medidas de seguridad de la información.
Este documento constituye una guía básica de uso de la IA, especialmente en relación con la protección de datos y la seguridad de la información, que seguirá completándose y reforzándose progresivamente mediante acciones de formación e información.
Compartir en Delicious
Compartir en Facebook
Compartir en LinkedIn
Compartir en Twitter