abril 21, 2023

Protección de datos empresariales: ChatGPT

¿Qué se puede hacer para proteger los datos empresariales en el mundo de la IA?

Tras la publicación del hilo sobre la seguridad de los datos empresariales y mi breve conclusión sobre qué acciones se podrían tomar para proteger esos datos empresariales ante la explosión de la IA, se me ha ocurrido plantear a ChatGPT la misma cuestión.

Juzguen ustedes:

Artículo de Legisconsulting

Datos empresariales (V): Protección (y aprendizaje)

ChatGPT

Pregunta:

Escríbeme un artículo sobre cómo podría una empresa proteger sus datos empresariales ante la recopilación de datos por parte de una inteligencia artificial de los datos publicados por la empresa, datos publicados por los empleados y relaciones de los empleados entre sí o con terceros en redes sociales. Datos que combinados pueden mostrar a terceros y a la competencia las estrategias de la empresa y posible futuras acciones de la misma. Y con ello complicar su viabilidad. ¿Qué pautas debería implementar la empresa para protegerse?

Respuesta:

La recopilación de datos por parte de la inteligencia artificial es una práctica cada vez más extendida en el mundo empresarial. A través de esta técnica, se pueden recopilar y analizar grandes cantidades de información de diferentes fuentes para obtener conocimientos valiosos que pueden ayudar a las empresas a tomar mejores decisiones comerciales. Sin embargo, también puede ser una amenaza para la privacidad y la seguridad de los datos empresariales.

Cuando se recopilan datos empresariales, se pueden obtener información sobre las estrategias, planes, futuras acciones y otras informaciones confidenciales de la empresa. Estos datos pueden ser combinados con información sobre empleados y relaciones en las redes sociales para mostrar a terceros y a la competencia las estrategias de la empresa y sus posibles futuras acciones, lo que puede complicar su viabilidad.

Por lo tanto, es importante que las empresas tomen medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. A continuación, se presentan algunas pautas que las empresas pueden implementar para protegerse:

  1. Política de privacidad y seguridad de datos: La empresa debe tener una política clara de privacidad y seguridad de datos que establezca las normas para el tratamiento de datos empresariales y personales. Esta política debe ser comunicada a los empleados y a cualquier tercero que tenga acceso a los datos de la empresa.
  2. Control de acceso: La empresa debe implementar medidas para limitar el acceso a los datos empresariales a aquellos empleados que necesitan tener acceso a ellos para realizar sus funciones. Además, se deben establecer medidas de seguridad para controlar el acceso a los datos empresariales desde fuera de la empresa.
  3. Encriptación de datos: La encriptación de los datos empresariales es una medida efectiva para protegerlos contra el acceso no autorizado. Los datos encriptados son inútiles para aquellos que no tienen la clave de descifrado.
  4. Monitorización del tráfico de red: La empresa debe supervisar el tráfico de red para detectar cualquier actividad sospechosa, como la transferencia de grandes cantidades de datos fuera de la red de la empresa.
  5. Sensibilización y formación de empleados: La empresa debe sensibilizar y formar a sus empleados sobre los riesgos asociados a la recopilación de datos y la importancia de proteger los datos empresariales. Los empleados deben ser conscientes de que la información que publican en las redes sociales o en otros lugares en línea puede ser utilizada para recopilar datos sobre la empresa.
  6. Actualización de software y hardware: La empresa debe mantener actualizados sus sistemas de hardware y software para protegerse contra las amenazas de seguridad más recientes.

En conclusión, las empresas deben tomar medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. La implementación de medidas de seguridad adecuadas, junto con la sensibilización y formación de los empleados, puede ayudar a reducir los riesgos y proteger los datos empresariales de la empresa.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

julio 13, 2021

Control de la Inteligencia Artificial (IA)

(AI) could be the “worst event in the history of our civilization” unless society finds a way to control its development.

Stephen Hawkings

Índice:

  • Que es la IA
  • A quien se aplicará en Reglamento
  • Actividades regladas de IA
    • Riesgo inaceptable
    • Alto riesgo
    • Riesgo limitado
    • Riesgo mínimo
  • Apéndice normativo

Resulta paradójico que diga algo así una persona como el profesor Hawkings que pasó sus últimos 20 años comunicándose a través de un sensor colocado en la mejilla con el que activaba un ordenador con un algoritmo predictivo basado en sus libros y conferencias que le permitía hablar con cierta fluidez.

Y aunque la Inteligencia Artificial (IA) suene a Ciencia Ficción, a un futurible aún lejano y distante, nada hay más lejos de la realidad.

Ese aspirador que conoce mi casa mejor que yo porque ha creado (literalmente) un plano de la misma al milímetro; Los filtros de SPAM de mi correo que deciden qué es de mi interés y qué no lo es; Los ‘teleoperadores’ con los que chateamos o hablamos por teléfono que no son más que una máquina (chatbots) sin que tan siquiera lo notemos porque a veces hasta hacen bromas; Los anuncios que me salen en el ordenador o en el teléfono justo de lo que me interesa comprar; Las noticias que me aparecen por defecto y que son, curiosamente, las que más se ajustan a mis opiniones y que me hacen pensar si se pueden ‘orientar‘ esas opiniones; Los Asistentes Virtuales de casa o del teléfono que ‘asisten‘, pero también ‘espían‘ analizando todo lo que buscamos, decimos o hacemos a partir de lo que decimos con la excusa de poder ‘asistirnos’ en la más estricta intimidad de nuestro hogar; O los vídeos de famosos diciendo o haciendo cosas increíbles, pero falsas (deepfake) que pueden ser una broma de programas de entretenimiento, pero en temas serios ¿podemos creer lo que vemos?.

Y estos son solo los usos diarios de la IA. Y solo por ello, se ha entendido que es importante una regulación necesaria para preservar la intimidad, la libertad, la autonomía de cada persona, sus derechos y su seguridad.

Que es IA

Artículo3 A los efectos del presente Reglamento, se entenderá por:

1)«Sistema de inteligencia artificial (sistema de IA)»: el software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa.

A quien se aplicará el Reglamento y sus restricciones

Artículo2 Ámbito de aplicación

1.El presente Reglamento es aplicable a:

a)los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si dichos proveedores están establecidos en la Unión o en un tercer país;

b)los usuarios de sistemas de IA que se encuentren en la Unión;

c)los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.

Actividades regladas de IA

Al ser imposible alcanzar a prever todas las aplicaciones concretas de la IA, la clasificación de las mismas que la Comisión hace en su propuesta se basa en el ‘riesgo’ que su uso conlleva, clasificándolas como de:

Riesgo inaceptable: Se prohibirán los sistemas de IA que se consideren una clara amenaza para la seguridad, los medios de vida y los derechos de las personas. Esto incluye los sistemas o aplicaciones de IA que manipulan el comportamiento humano para eludir el libre albedrío de los usuarios (por ejemplo, los juguetes que utilizan asistencia de voz y fomentan el comportamiento peligroso de los menores) y los sistemas que permiten el «scoring social» por parte de los gobiernos.

Alto riesgo: Los sistemas de IA identificados como de alto riesgo incluyen la tecnología de IA utilizada en:

  • Infraestructuras críticas (por ejemplo, el transporte), que podrían poner en riesgo la vida y la salud de los ciudadanos;
  • La formación educativa o profesional, que puede determinar el acceso a la educación y el curso profesional de alguien (por ejemplo, la calificación de los exámenes);
  • Componentes de seguridad de los productos (por ejemplo, aplicación de la IA en la cirugía asistida por robots);
  • Empleo, gestión de los trabajadores y acceso al autoempleo (por ejemplo, software de clasificación de CV para los procedimientos de contratación);
  • Servicios privados y públicos esenciales (por ejemplo, puntuación de créditos que niega a los ciudadanos la oportunidad de obtener un préstamo);
  • Aplicación de la ley que puede interferir con los derechos fundamentales de las personas (por ejemplo, evaluación de la fiabilidad de las pruebas);
  • Gestión de la migración, el asilo y el control de fronteras (por ejemplo, verificación de la autenticidad de los documentos de viaje);
  • Administración de justicia y procesos democráticos (por ejemplo, aplicación de la ley a un conjunto concreto de hechos).

Los sistemas de IA de alto riesgo estarán sujetos a estrictas obligaciones antes de poder comercializarlos:

  • Sistemas adecuados de evaluación y mitigación de riesgos;
  • Alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y los resultados discriminatorios;
  • Registro de la actividad para garantizar la trazabilidad de los resultados;
  • Documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades puedan evaluar su conformidad;
  • Información clara y adecuada al usuario;
  • Medidas adecuadas de supervisión humana para minimizar el riesgo;
  • Alto nivel de solidez, seguridad y precisión.
  • En particular, todos los sistemas de identificación biométrica a distancia se consideran de alto riesgo y están sujetos a requisitos estrictos. Su uso en vivo en espacios de acceso público con fines policiales está prohibido en principio. Las limitadas excepciones están estrictamente definidas y reguladas (como cuando es estrictamente necesario para buscar a un niño desaparecido, para prevenir una amenaza terrorista específica e inminente o para detectar, localizar, identificar o procesar a un autor o sospechoso de un delito grave). Esta utilización está sujeta a la autorización de un órgano judicial u otro órgano independiente y a límites adecuados en cuanto a tiempo, alcance geográfico y bases de datos consultadas.

Riesgo limitado, es decir, sistemas de IA con obligaciones específicas de transparencia: Cuando se utilizan sistemas de IA, como los chatbots, los usuarios deben ser conscientes de que están interactuando con una máquina para poder tomar una decisión informada de continuar o retroceder.

Riesgo mínimo: La propuesta legal permite el libre uso de aplicaciones como los videojuegos con IA o los filtros de spam. La gran mayoría de los sistemas de IA entran en esta categoría. El proyecto de Reglamento no interviene aquí, ya que estos sistemas de IA representan un riesgo mínimo o nulo para los derechos o la seguridad de los ciudadanos.

Referencia normativa Propuesta de Reglamento :

  • Aplicaciones de IA de “alto riesgo” (Arts. 5 a 40): se considera que ciertas aplicaciones de la IA pueden suponer serios riesgos para los ciudadanos, por lo que:
    • establece determinados requisitos (Art. 8ss),
    • exige información a los usuarios (Art. 13)
    • o se exige ‘vigilancia humana’ de la actividad automatizada(Art. 14)  en determinados casos, como por ejemplo, el uso de IA para identificación biométrica o para el funcionamiento de infraestructuras críticas.
  • Aplicaciones de IA prohibidas: Art. 5.1
  • Aplicaciones de IA sujetas a autorización: Art. 30
  • Aplicaciones de IA con requisitos específicos: Art. 41 , por ejemplo caso de uso de  “chatbot” o sistemas de “deepfake”.

«El éxito en la creación de la inteligencia artificial podrá ser el evento más grande en la historia de la humanidad. Desafortunadamente también sería el último, a menos de que aprendamos cómo evitar los riesgos«

Stephen Hawkings

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 6, 2021

‘Fichados’ en los bares: directrices de la AEPD

Filed under: Actualidad,Covid-19,Protección de Datos,RGPD,Uncategorized — Etiquetas: , , — legisconsulting @ 12:13

Límites y directrices para los hosteleros ante las acciones que, como el registro de clientes, están implementando o implementarán diversas comunidades autónomas como medidas de control ante el Covid-19 para las personas que visitan sus establecimientos.

Es este un tema sobre el que ya se pronunció la AEPD con el fin del Estado de Alarma de hace ya un casi un año y que, salvo por el tema de la vacunación, entonces inexistente, fijaba una serie de ‘directrices’ que ante el inminente fin del presente Estado de alarma y las posibles acciones que puedan tomar , siguen estando plenamente vigentes.

Directrices, exigencias y límites para hosteleros y clientes según la AEPD:

  • Los datos recogidos NO están catalogados como «categorías especiales«(*) del RGPD.
  • El ‘Registro de clientes’ debe ser obligatorio por ley (Art. 6.1.c).
  • O si la base legal para del ‘Registro de Clientes’ es el Consentimiento del cliente, el que este no lo preste no puede implicar nunca que se le impida el acceso.
  • En todo caso, el cliente debe recibir una información «clara, sencilla y accesible» sobre el uso de los datos que se le solicitan.
  • Los datos recabados por el establecimiento se podrán ceder a las autoridades sanitarias (Art.6.1d).
  • Los datos recogidos deben ser los estrictamente imprescindibles para el fin de control de la enfermedad que se persigue (número teléfono, datos del día y hora). Así la AEPD afirma textualmente que :
    • La recogida de datos como nombre y apellidos sería innecesaria para el fin que se busca.
    • Y la identificación mediante DNI sería desproporcionada.
  • Finalidad que se busca: la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera).
  • Los datos recogidos se usarán única y exclusivamente para luchar contra el virus. Resístanse a la tentación de usar esos números de teléfono para otros fines, sean cuales sean.
  • Los datos recabados se conservarán exclusivamente durante el plazo en que dentro del marco la lucha contra el virus se entienda como razonable para detectar brotes, que es la finalidad que se busca.

(*) Son categoría especiales catos sobre: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD); y datos relativos a condenas e infracciones penales (Art. 10 del RGPD).

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 23, 2021

Aportar valor o destruirlo, una historia personal.

Una historia real de cómo un abogado puede aportar soluciones o como puede destruir el negocio de su cliente.

Querido lector, discúlpeme por contar una historia real estrictamente personal, como no podría ser de otra manera, ya que si fuera profesional no podría hacerla pública.

Por razones que no vienen al caso me he visto envuelto en unas obras de cierta envergadura a realizar en una Comunidad de Propietarios para las que, como es habitual, he contactado con varias empresas con el fin de solicitar presupuestos.  Y de los presupuestos recibidos, me he fijado en uno, en primer lugar por el detalle y desglose de los conceptos y en segundo lugar porque era conocedor que esta empresa ya había realizado trabajos para la Comunidad de Propietarios.

Esos detalles contenidos en el presupuesto me permitían acercarme a los costes reales, así que, a pesar de estar haciendo todo esto a nivel personal y por consiguiente de forma gratuita, no puedo evitar dedicar cierto tiempo a hacer un estudio del coste de mercado de los medios auxiliares necesarios, así como de los materiales. Obviamente de forma aproximada porque no soy un profesional de la construcción.

Del estudio de los presupuestos y de los cálculos descubro —además de que los márgenes son francamente elevados—, que hay un elevado sobrecoste sobre el precio de mercado especialmente en los medios auxiliares necesarios para realizar el trabajo. Así que, dado el positivo historial previo de trabajos de la empresa en la comunidad, me pongo en contacto con ellos a fin de que me den explicaciones e intentar reducir el importe.

Para ello,en busca del mejor acuerdo y para que sea todo lo más calro posible, envío un correo a la empresa señalando concretamente:

  1. Que el tipo aplicable al IVA según los trabajos a realizar es del 10% en lugar del 21%.
  2. Que el coste de los medios auxiliares sobre el precio de mercado es muy elevado.
  3. Que tal como está planteado el presupuesto, se está cargando a la Comunidad en concepto de IVA el 21% la factura de terceros por los medios auxiliares que, al ser incluida íntegra, hay que sumar un 10% del total aplicable a la factura (21%+10%). Y que a pesar de ser esto estrictamente legal, sugiero que hay otras formas de plantearlo para evitar ese sobrecoste.
  4. Incluso, a fin de mostrar los beneficios, incluso fiscales,  para la empresa remito detalle del resultado final del IVA a final del trimestre en que se deducirán más de lo que tendrán que ingresar, con lo que les sale un resultado positivo que, incluso insistiendo en que se trata de algo estrictamente legal, ello da margen para rebajar el presupuesto sin afectar a sus márgenes.  

Nada más recibir el correo me llama por teléfono el responsable de la empresa y de forma muy educada me justifica verbalmente el sobrecoste en ‘los riesgos’ que asume, sobre todo en la contratación de los medios auxiliares. A lo que propongo: 1.-) que sea la comunidad quien asuma esos ‘riesgos’ dado que ello es perfectamente posible planteando parte de los medios lo como «suplidos» en lugar de cómo «gastos»; 2.-) que a la vista del resultado fiscal del IVA, tendría también margen para rebajar el importe final; y 3.-) que si a su asesor, como profesional que es, se le ocurre alguna otra opción para rebajar la factura sin tocar los márgenes de la empresa, que estaría encantado de estudiarla.

Pero como soy consciente de que son conceptos que no tiene porqué conocer un trabajador le sugiero que lo consulte con su asesor y que directamente le reenvíe mi correo.

Hoy he recibido una escueta respuesta de su asesor a todo lo planteado—del que por respeto a un colega omitiré los datos—que copio textualmente porque entiendo que sobran los comentarios:

Si el material que yo pago es al 21% y repercuto al 10%,  evidentemente puede que me salga menos IVA a pagar o incluso que me devuelvan a la hora de hacer el trimestre, PERO ESO NO ES ASUNTO SUYO, es el propio funcionamiento del IVA y si sale a devolver o a pagar menos es porque antes se lo he pagado yo a mis proveedores. En definitiva, si hay desfase o no ( con Ud dice en su correo), es un asunto que a Ud. no le incumbe.

La función del abogado es aportar soluciones

Se puede decir cualquier cosa y se debe decir de forma distinta si se trata de un trabajador, un empresario o un abogado con 25 años de ejercicio. Pero siempre y en todo caso, se debe hacer de forma respetuosa y educada, sea lo que sea lo que se diga y a quien uno se dirija.

Cada cliente es distinto y único.

Los intereses de mi cliente son siempre los míos, aún cuando, como en mi caso en este proceso, ni siquiera cobre por ello al ser un tema personal y excepcional.

Sobre todo y por encima de todo, nuestra función debe ser aportar siempre Valor Añadido para el cliente en nuestras actuaciones de asesoría. Soluciones que a mí, como a la mayoría de los colegas que conozco, me hacen sentir especialmente satisfecho cuando me exigen un plus de esfuerzo y creatividad.

Pero siempre, siempre, siempre en beneficio del cliente. Si él pierde, como es el caso de esta empresa, yo pierdo.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 26, 2015

¡Bitcoin ya es moneda!

Filed under: Comercio Electrónico,Economía,Medios de pago,Uncategorized — Etiquetas: , , , — legisconsulting @ 14:38

Una sentencia del TJUE determina que lo es y plantea un escenario de profunda inseguridad jurídica para entidades y usuarios.

El caso es algo más complejo porque el TJUE ha fallado que al operarse como moneda Bitcoin es una moneda y por lo tanto las transacciones sobre el mismo están exentas de IVA. Pero más allá del tema del IVA, al determinar que es una moneda y no un ‘bien digital’ como es considerado en EEUU y era considerado en algunos lugares de Europa, las entidades dedicadas a su compraventa pasarán a estar obligadas a cumplir como entidades financieras. O dicho de otro modo, las entidades que operan con ellas deberán cumplir todos los requisitos de autorización previa, control, exigencias de dirección, depósitos y reservas que la normativa Europea exige a las entidades que ‘tratan’ con dinero.

Y no es poca cosa, esas entidades en principio no estarían legitimadas a día de hoy para desarrollar su actividad salvo que ya sean  Entidades de Pago, Entidades de Dinero Electrónico o, simplemente Bancos. Al tiempo que los usuarios asumen sin garantías el riesgo de las consecuencias de las posibles sanciones sobre estas entidades.

Veremos Banco de España o sus homólogos asumen ya la sentencia y empiezan a controlar/sancionar o dan un plazo de ‘gracia‘ con algún artificio legal.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 18, 2013

Cámaras y LOPD: cazador cazado

Filed under: Protección de Datos,Uncategorized — Etiquetas: , , — legisconsulting @ 12:14

La AGPD establece que la grabación de vídeos para ser utilizadas como base de una denuncia es contraria a la ley y susceptible de ser castigada con una sanción.

Partiendo de una consulta sobre si es posible grabar a empleados públicos en su puesto de trabajo con el fin de denunciarles por el incumplimiento de sus obligaciones, la AGPD dicta un informe que, a pesar de no ser novedoso, sí resulta muy clarificador sobre los límites a las grabaciones en un sentido que va mucho más allá que el que plantea tal consulta.

Límites a la grabación

En caso de grabar a una persona física, existe una limitación que parte de la propia Constitución que busca proteger el derecho a la propia imagen de las personas. Limitación a la que el Tribunal Constitucional atribuye mayor relevancia si la grabación se realiza en el lugar de trabajo.

Así, las grabaciones realizadas de personas físicas identificadas o identificables entran dentro del marco de protección de la LOPD. Y ello con la única excepción recogida en la Directiva europea de las grabaciones realizadas “por una persona física en el ejercicio de actividades exclusivamente personales o domésticas” afectando a la “esfera más íntima de la persona”. Entendiendo como tales sólo las correspondientes a la vida privada o familiar de los particulares.

Y considerando que ni un lugar de trabajo, ni una oficina o establecimiento público puede formar parte de la esfera personal o doméstica más estricta, para cualquier grabación serán de aplicación todas las exigencias de información y autorización expresa previas de la LOPD.

En definitiva, que una grabación sólo podrá efectuarse –o casi– sin las exigencias que para ella exige la LOPD si se realiza por un sujeto en el salón de su propia casa y de sus niños.

Uso de la grabación

La LOPD dedica buena parte de su contenido al tratamiento de los datos –las grabaciones en este caso– y a su almacenamiento. Situaciones para las que la ley establece una serie de exigencias y requisitos. Pero también excluye de tales exigencias a las grabaciones realizadas exclusivamente en el ámbito privado.

Así, quedaran excluidas de tales exigencias sólo si la utilización de la grabación se realiza exclusivamente dentro del ámbito “de las relaciones familiares o de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”

Podemos grabar el cumpleaños de las niñas, pero sólo para verlo en casa con los amigos­–o casi–. Nada de exhibirlo en el cine del barrio por guapas que estuvieran las niñas.

Cazador cazado

O lo que es lo mismo, denunciante denunciado.

Lo que viene a decir la AEPD es que las grabaciones sólo se pueden realizar en el ámbito estrictamente doméstico y ser utilizadas en el mismo ámbito. Y ni un puesto de trabajo, ni una oficina, ni un tan siquiera un juzgado en que presentáramos una denuncia pertenecen a tal ámbito.

Quien realice una grabación de alguien para denunciarle por incompetente, ya avisa la AGPD que se puede encontrar con una denuncia por incumplimiento de las numerosísimas exigencias de la Ley de Protección de datos. Y con una importante sanción.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook