Desde hace unos días se ha hecho eco la noticia de que META (engloba Facebook, Instagram, Whatssap y Theards) podrá utilizar nuestros datos de carácter personal publicados en sus distintas Redes Sociales para entrenar su modelo de Inteligencia Artificial Generativa:
“La Inteligencia Artificial Generativa (IAG) es una rama de la inteligencia artificial que se enfoca en la generación de contenido original a partir de datos existentes. Esta tecnología utiliza algoritmos y redes neuronales avanzadas para aprender de textos e imágenes, y luego generar contenido nuevo y único.”
Recientemente, el 21 de mayo de 2024, el Consejo de la Unión Europea aprobó finalmente el Reglamento de Inteligencia Artificial (IA), el cual define Sistema de Inteligencia Artificial como aquel que opera con elementos de autonomía y que, basándose en datos y entradas obtenidos de humanos o máquinas, infiere como alcanzar unos objetivos propuestos, usando para ello técnicas basadas en el aprendizaje-máquina o en lógica y conocimiento, y genera como salida contenidos, predicciones, recomendaciones o decisiones que influyen en el entorno con el que el sistema interactúa. El Reglamento establece una jerarquía de riesgos en función del uso de la IA y sobre las categorías detectadas, establece una serie de obligaciones.
Sentadas las bases del presente artículo, vamos a centrarnos en el cumplimiento de la normativa actual en materia de protección de datos por parte de META, siendo esta:
- A nivel Europa: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de, 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (RGPD).
- A nivel España: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Hemos de partir de la base de que para llevar a cabo el entrenamiento de la IA generativa META necesitará una ingente cantidad de datos de carácter personal, pues solo de esta manera podrá entrenar sus modelos de manera eficaz y, motivo por el cual, se utilizan datos de distintos orígenes, como información pública en internet, información cedida bajo licencia o la información que comparten los usuarios en los productos y servicios de META. Esta información puede incluir publicaciones o fotos con sus correspondientes pies de foto.
Por otra parte, META en sus políticas informa de que incluso aunque el usuario no utilice sus productos y servicios o no tenga una cuenta, es posible que también procese cierta información sobre éste para desarrollar y mejorar su IA. Por ejemplo, esto podría ocurrir si aparece en cualquier lugar en una imagen en sus productos o servicios que haya compartido alguien que los usa, pongamos que publico como usuario una imagen con un menor y con mi madre, los cuales no tienen cuenta de RRSSS, por el hecho de que yo no me haya opuesto se podría utilizar esta imagen de un tercero para entrenar la IA.
A este respecto, la normativa en materia de protección de datos indica que para todo tratamiento de datos de carácter personal (como seria este caso la imagen o información publicadas en pies de foro) se ha de contar con una base de legitimación, dichas bases de legitimación se encuentran recogidas en el Artículo 6 del RGPD:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
META actualmente está amparando el tratamiento de datos de carácter personal de sus usuarios para el entrenamiento de su IAG en la satisfacción de sus propios intereses legítimos (Art. 6.1.f. RGPD), no está del todo claro que pueda encajarse dicho tratamiento en esta base de legitimación, de hecho el Tribunal de Justicia Europea denegó a META este argumento en lo referente a utilizar los datos de los usuarios para la publicidad hace no mucho, además, tal y como indica el Grupo de Trabajo del Articulo 28 en su Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE:
“Un interés legítimo debe estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado. Además, el interés en juego debe también ser «perseguido por el responsable del tratamiento». Esto exige un interés real y actual, que se corresponda con actividades presentes o beneficios que se esperen en un futuro muy próximo. En otras palabras, los intereses que sean demasiado vagos o especulativos no serán suficientes.”
Por lo tanto, para realizar un tratamiento que no vulnere la normativa de protección de datos, META debería de acudir a otras bases de legitimación, siendo en este caso la más optima, el consentimiento del interesado (Art. 6. 1.a. RGPD), un consentimiento explicito y mediante una clara acción afirmativa por parte del interesado (Art. 4.11. RGPD) Por ejemplo, mediante unas casillas en las que el usuario pudiese marcar: SI CONSIENTO ( ) NO CONSIENTO ( ). No obstante, lo que está haciendo META es utilizar un consentimiento tácito, si yo no me opongo a ese tratamiento, da por hecho que lo consiento, lo cual no es un consentimiento valido conforme al RGPD.
¿Qué riesgos tiene para el usuario que META utilice sus datos para el entrenamiento de su IAG?
Encontraremos riesgos como:
- Violación de la privacidad/intimidad: Los datos pueden verse expuestos o ser usados de manera indebida, revelando información privada del interesado sin su consentimiento. Además, como ya hemos indicado con anterioridad META no deja claro en su información si utilizara los datos de terceros publicados en nuestro perfil, por lo que en este caso no solo estaría vulnerando el derecho a la intimidad del propietario del perfil, sino de terceros que aparezcan en este.
- Riesgos de seguridad: Los datos personales pueden ser vulnerables a ciberataques, como suplantación de identidad o incluso phishing dirigidos.
- Pérdida de control de los datos: El usuario NO puede controlar como se utilizan sus datos, para que finalidades se usan o quien tiene acceso a ellos.
¿Cómo puedo oponerme al tratamiento de mis datos para la IAG de META?
Es importante destacar que Meta no es transparente en la actualización de sus políticas en lo relativo a la IAG, de hecho, organizaciones como la Organización de Consumidores y Usuarios (OCU) ya han denunciado a META ante la Agencia Española de Protección de Datos (AEPD) por esta falta de transparencia, puesto que sus políticas informativas son complicadas de identificar/encontrar para un usuario normal y además para ejercitar su oposición se requiere de siete acciones por parte del interesado:
- Perfil usuario
- Menú
- Configuración (Facebook)/información (Instagram)
4. Política de Privacidad
5. Aviso IA, el cual aparecerá al abrir la política de privacidad
6. Pinchar formulario de oposición (derecho a oponerte)
7. Rellenar los campos obligatorios (país, email y motivos oposición) y enviar
Finalmente, una vez enviado este formulario, recibiremos un código en nuestro email, el cual deberemos de insertar en el formulario y posteriormente dar al botón enviar, una vez realizado esto deberemos de recibir en nuestra cuenta de correo electrónico un mensaje de confirmación de nuestra oposición.
Es muy importante que el usuario tenga en cuenta que META ha marcado un plazo, solamente tendremos hasta el próximo 26 de junio para oponernos al tratamiento de datos de carácter personal para su IAG.