Hace unos días Meta, la empresa matriz de Facebook, comunicó que usará los datos de sus usuarios para entrenar a su inteligencia artificial (IA). A partir del 26 de junio podrá utilizar el contenido compartido en sus redes -como publicaciones o fotos con descripciones- para desarrollar su IA generativa.
La noticia ha causado polémica no solo en redes sociales, también ha sido tema de conversaciones y sobremesas por la preocupación ante la falta de privacidad.
La compañía señala que podrá incluso procesar información sobre personas que no tienen un perfil en ninguna de las aplicaciones de Meta pero que aparecen en imágenes o textos de otros usuarios.
La compañía también indicó que podrá procesar información sobre personas que no tienen un perfil en sus aplicaciones pero que aparecen en imágenes o textos de otros usuarios.
A propósito de esta noticia y a la luz de la política de privacidad de Meta, surgen dudas y especulaciones, por eso Empantallados.com habló con la experta Laura Davara, Abogada experta en Protección de datos, Redes Sociales y Menores, para que nos ayude a esclarecer cuestiones sobre legalidad, privacidad y otras preguntas que se derivan de esta noticia.
¿Es legal que Meta use los datos de sus usuarios para entrenar su inteligencia artificial sin su consentimiento explícito, basado en la normativa actual de protección de datos (como el GDPR en Europa)?
Hay que tener en cuenta que, para cualquier tratamiento de datos personales, el RGPD (GDPR por sus siglas en inglés) es necesario contar con una base legitimadora. El RGPD prevé seis -y solo seis- bases legitimadoras que son: consentimiento, relación contractual, obligación legal, interés vital, interés público e interés legítimo. Y en la última versión de la política de privacidad -versión que todavía no ha entrado en vigor pues entrará en vigor, según indica la propia política de privacidad, el próximo 26 de junio de 2024- META indica lo siguiente: “Nos comprometemos a ser transparentes sobre las bases legales que utilizamos para tratar la información. Creemos que el uso de esta información se corresponde con los intereses legítimos de Meta, nuestros usuarios y otras personas. En la Región europea y Reino Unido, nos basamos en intereses legítimos cuando recopilamos y tratamos información personal incluida en orígenes públicos y cedidos bajo licencia, así como la información que las personas comparten en los productos y servicios de Meta para crear y mejorar la IA de la plataforma. En otras jurisdicciones donde proceda, nos regimos por la base jurídica aplicable a la hora de recoger y tratar estos datos”
Es importante tener en cuenta que para poder legitimar un tratamiento de datos personales -relacionado con IA o no- en el interés legítimo es necesario que META haya hecho un juicio de ponderación en el que, tras analizar los intereses legítimos que persigue y el derecho de protección de los interesados, haya concluido y pueda demostrar -en pro del principio de Accountability– que sus intereses prevalecen sobre los derechos de los interesados.
¿Qué derechos tienen los usuarios de Meta respecto al uso de sus datos para entrenamiento de IA y cómo pueden ejercer estos derechos para rechazar dicho uso?
Los derechos son los que prevé la normativa de protección de datos, conocidos bajo las siglas ARSOPOL que responden a: acceso, rectificación, supresión, olvido, portabilidad, oposición y limitación. En concreto, la propia política de privacidad disponible en Instagram según explico aquí permite el derecho a oponerse al tratamiento de datos con fines de entrenamiento de IA.
Yo, personalmente, lo hice el mismo día que salió. Y mi experiencia fue rápida y eficaz: envié el formulario, me exigieron un código para confirmar mi identidad y a los pocos minutos recibí la confirmación de que mis datos no se utilizarían con fines de IA.
Sin embargo, con todo el revuelo que se ha generado en cuanto hemos dado a conocer la noticia, me consta que el sistema ha sufrido un poco de “colapso”, si se me permite la expresión. Y, en los últimos días ha estado dando algunos errores y no permitía enviar el formulario a la primera, sino que había que insistir. Pero, al final, por lo que me han comentado clientes, alumnos y amigos, lo han conseguido. No obstante, no es un derecho propio ni exclusivo de la IA ni, por supuesto, de META. Son derechos que tenemos todos los interesados -con ese nombre denomina la normativa a las personas físicas titulares de datos personales- respecto al tratamiento que todas las entidades hacen de nuestros datos. Creo que son derechos que se desconocen y que muchas veces somos los propios usuarios los que no le damos importancia a nuestra privacidad. Aunque, también les digo, hemos mejorado mucho. Pero creo que, a nivel formación y concienciación, creo que queda muchísimo por hacer. Cada vez que oigo “La privacidad ha muerto”, yo lo niego y muestro mi desconformidad pero sí que me pregunto ¿estamos matando a la privacidad?
¿Qué implicaciones legales tiene el uso de información de personas que no tienen un perfil en ninguna de las aplicaciones de Meta pero que aparecen en imágenes o textos de otros usuarios?
En este punto, en primer lugar, si me permiten, voy a reformular la pregunta ¿Somos conscientes de que no podemos utilizar datos de terceros? Muchas veces sin mala intención -por no decir, en prácticamente todos los casos sin mala intención- compartimos en redes sociales fotos, vídeos y audios en los que, además de nuestros datos (nuestra imagen, nuestra voz etc.) aparecen también datos personales de terceros (amigos, familiares, compañeros de trabajo…). Más allá de la excepción doméstica que prevé la propia normativa de protección de datos, creo que es importante ser conscientes -y hacer conscientes- de que los datos son de su titular -por obvio que parezca-. Los datos de un tercero no son míos. Yo, en todo caso y si se dan las debidas circunstancias, tendré derecho a tratarlos. Parece que ahora con la IA nos hemos hecho un poco más conscientes del valor que tienen nuestros datos personales pero esto viene de muuuuuucho antes. Como siempre dice mi padre -el Prof. Davara- tenemos que llevar la privacidad en nuestro ADN. Y si llevamos la privacidad en el ADN, estoy convencida de que respetaremos tanto la nuestra como la de nuestros familiares, amigos y compañeros de trabajo. Con IA y sin IA.
Y, respondiendo a la pregunta exacta, si un tercero que no tiene cuenta, por ejemplo, en Instagram, detecta que alguien -sea META o sea un tercero, está haciendo uso de su imagen sin base legitimadora (por no repetirme, me remito a lo explicado en la primera pregunta) puede, por supuesto, tanto ejercer el derecho de supresión como denunciar ante la Agencia Española de Protección de datos. La AEPD ya ha impuesto numerosas sanciones tanto a particulares como a entidades por tratar datos sin base legitimadora, entre las que se encuentra: publicar la imagen de alguien en Instagram -por poner un ejemplo- sin haber recabado el consentimiento para ello, no siendo de aplicación ninguna otra base legitimadora. Insisto, cuando llevamos a cabo un tratamiento de datos personales, es necesario hacerlo cumpliendo con todo lo exigido por la normativa y ese cumplimiento pasa, entre otras cosas, porque el tratamiento sea legítimo y se cumpla tanto con el deber de información como con los demás principios previstos en el RGPD.
¿Cómo debe estructurarse un proceso de consentimiento y opt-out para que sea conforme con las leyes de protección de datos y qué problemas legales puede tener el proceso actual de Meta?
Tanto el RGPD como la LOPDGDD son muy claros a este respecto. Se exige que el consentimiento sea expreso, mediante clara acción afirmativa. Sensu contrario, no son válidas como maneras de recabar el consentimiento ni las casillas premarcadas, ni el silencio o la inacción del titular de los datos. Yo lo llamo el consentimiento “de las bodas”; ese famoso “sí quiero”. Y, por supuesto, debe ser un consentimiento informado. La información que se proporcione debe cumplir con todos los requisitos que establece el artículo 13 del RGPD. Debe ser clara, sencilla y transparente, de manera que el usuario sepa claramente para qué se van a utilizar sus datos personales y, por supuesto, cómo puede ejercitar sus derechos en protección de datos.
¿Existen restricciones específicas sobre el uso de ciertos tipos de datos (como datos biométricos, sensibles o privados) para el entrenamiento de IA y cómo se aplican estas restricciones a la política de Meta?
Sí. La normativa habla de “categorías especiales de datos” -en la normativa española ya derogada por la LOPDGDD se hablaba de “datos especialmente protegidos” y coloquialmente se les denomina “datos sensibles”-. Pero, más allá de la denominación, la normativa establece límites para el tratamiento de dichos datos, en general, no solo para el entrenamiento de IA. Es decir, el RGPD establece como norma general la prohibición del tratamiento de “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”. Como toda regla general, cuenta con excepciones, tanto en el propio RGPD como en la LOPDGDD. Ya le adelanto que ninguna excepción es “entrenar a la inteligencia artificial”. Pero eso no implica que ninguna de las excepciones sea aplicable. Es necesario estudiar cada caso concreto pero lo que sí le digo es que el tratamiento de categorías especiales de datos requiere mucha mayor cautela que el tratamiento de datos personales que no son considerados por la normativa como “categorías especiales de datos”.
Además, habrá que tener en cuenta lo que establece el Reglamento de inteligencia artificial aprobado por la UE pero que todavía no ha sido publicado en el DOUE y, por tanto, todavía ni ha entrado en vigor ni es de obligado cumplimiento.
¿Qué diferencias en la regulación de protección de datos pueden afectar a Meta en diferentes jurisdicciones (por ejemplo, entre Estados Unidos, Europa y otros países) al implementar esta política?
Lo primero y con total transparencia desconozco las normativas de todos los países del mundo. Yo les puedo hablar de las consecuencias que puede tener en la Unión Europea. Sin duda, el RGPD es uno de los marcos más exigentes y respetuosos con la privacidad a nivel mundial debido, entre otras cosas, a la “tradición y experiencia legislativa” que tenemos. De hecho, el RGPD es el espejo en el que muchos estados se miran para desarrollar y/o actualizar sus normativas en materia de protección de datos. Además, y tal y como he comentado, en un futuro próximo será necesario tener en cuenta, también, lo dispuesto por el Reglamento de inteligencia artificial.
El propio META, por ejemplo, indica claramente en la política de privacidad de WhatsApp “Si vives en la Región Europea, WhatsApp Ireland Limited te proporciona los Servicios de conformidad con estas Condiciones del servicio y la Política de privacidad”; “Si vives en el Reino Unido, WhatsApp LLC te proporciona los Servicios de conformidad con estas Condiciones del servicio y la Política de privacidad” y Si vives fuera de la Región Europea o el Reino Unido, WhatsApp LLC («WhatsApp», «nuestro/a[s]», «nosotros» o «nos») te proporciona nuestros Servicios de conformidad con estas Condiciones del servicio y la Política de privacidad”
