La inteligencia artificial se ha convertido en nuestro compañero imprescindible en el mundo empresarial. Herramientas como ChatGPT están transformando la manera en que los profesionales del marketing digital y el análisis de datos optimizamos nuestros procesos y obtebenis insights valiosos. Gracias a la IA podemos automatizar tareas repetitivas, analizar grandes volúmenes de datos en tiempo récord y sacar todo el potencial de los equipos alivíándoles de las tareas más tediosas y con menor valor.
Sin embargo, este avance tecnológico trae consigo nuevos desafíos, especialmente en lo que respecta a la privacidad y seguridad de los datos. A medida que nos familiarizamos más con estas herramientas, es fácil caer en la tentación de compartir información sensible sin considerar las implicaciones legales y éticas.
En este post, abordaremos la importancia de proteger la información al interactuar con ChatGPT. Nuestro objetivo es ayudarte a evitar riesgos legales y mantener la confidencialidad de tus datos y los de tu empresa, sin renunciar a los beneficios que la inteligencia artificial puede ofrecer.
TL;DR:
- Separemos 2 tipos de datos: «Personales» (donde incluimos además claves y credenciales) y «Sensibles». Con los primeros no deberíamos trabajar nunca ni dárselos a ningún software, con los segundos (estrategias, ingresos, actividad) si que tenemos opciones.
- El riesgo está en el posible entrenamiento que chatGPT puede hacer de su modelo usando nuestras conversaciones y nuestros datos.
- En cuentas Free y Plus podemos deshabilitar esta posibilidad en la configuración, pero por defecto viene activa, lo cual es inseguro para una empresa.
- Las cuentas Teams y Enterprise no entrenan el modelo nunca y por lo que son seguras.
- Los customGPT y los archivos que les subimos son seguros, pero si los hacemos públicos ya no lo serán.
- La API y los agentes son seguros y sus peticiones no se usan para entrenar el modelo.
El auge de las IA en las empresas y la importancia de proteger los datos
La IA es una gran acelerador de todo tipo de análisis. Esto, que ya hemos asumido en tareas como el análisis de mercado y la segmentación de clientes, también puede suceder con otras funciones más críticas, como la elaboración de estrategias de marketing o la gestión financiera. Todo dato puede ser dado a las IAs para trabajarlo en segundos de formas que antes requerían gran cantidad de horas.
A medida que las empresas adoptan estas tecnologías, es común que cada vez más los empleados compartan datos sensibles con las IA para resolver sus problemas cotidianos. Por ejemplo, un analista de marketing podría subir un archivo CSV con datos de ventas para obtener insights más rápidos. O alguien de RRHH podría subir datos de nóminas o perfiles de trabajadores. Y aunque esto suene bien en la teoría, en la práctica puede comprometer información confidencial y violar la regulaciones de privacidad que existen.
La realidad es que estos sistemas no son perfectos en cuanto a seguridad. Los datos que ingresamos pueden ser almacenados y, en algunos casos, utilizados para entrenar futuros modelos de IA. Esto significa que información sensible podría quedar expuesta o ser accesible a terceros. Por ello, es crucial entender cómo proteger los datos al usar ChatGPT y otras herramientas similares.
Datos sensibles al usar IA
Antes de profundizar en cómo interactuar de forma segura con ChatGPT, es importante identificar qué tipo de datos son sensibles y por qué es peligroso compartirlos sin precaución alguna. De entre los datos que podríamos subirle a una IA permíteme que los clasifique en dos grandes grupos: los datos personales y los datos confidenciales de la empresa.
1. Datos personales y de acceso: Riesgos legales y ejemplos comunes
Los datos personales se definen legalmente como cualquier información que pueda identificar a una persona de forma inequívoca. Esto incluye:
- Nombres y apellidos: Información básica que permite identificar a una persona.
- Números de identificación: Como DNI, pasaporte o número de seguridad social.
- Direcciones de correo electrónico y números de teléfono: Datos de contacto directo.
- Direcciones IP: Pueden rastrear la actividad en línea de un individuo.
- Información financiera: Números de tarjetas de crédito o cuentas bancarias.
Compartir este tipo de información sin el consentimiento explícito del individuo es ilegal según regulaciones como el GDPR en Europa. Las sanciones pueden ser severas, incluyendo multas cuantiosas y daños a la reputación de la empresa.
Añadimos a este grupo, por considerarlos del mismo nivel de importancia todo lo lo que son datos de acceso:
- Usuarios y contraseñas: De cualquier aplicación.
- Tokens y credenciales: Que debemos cuidarnos de no enviar en nuestros ejemplos de código.
- Endpoints y direcciones del backend: Que no tendrían que ser un problema de por si, pero que es mejor que no trasciendan.
Parece difícil que una persona por su propia cuenta copie este tipo de datos a una IA, pero en ciertos entornos esto puede no ser tan extraño. Un ejemplo común podría ser un trabajador de servicio al cliente que copia y pega el historial de compras de un cliente en ChatGPT para generar recomendaciones personalizadas. Aunque la intención es mejorar el servicio, está compartiendo datos personales de una persona sin su autorización. No hay malicia, pero difícilmente podría haber sido más ilegal a hacerlo.
La IA es un facilitador que multiplica la velocidad y optimiza los procesos, pero debemos ser cautelosos con la información que proporcionamos. Al igual que no te dejarías los CV de los candidatos de tu empresa a la vista de todo el mundo, no puedes copiar este tipo de datos a una IA sin saber lo que va a suceder con ellos.
La mejor práctica es evitar por completo ingresar datos personales en sistemas de IA a menos que se tenga una certeza absoluta de que se cumplen con las regulaciones de privacidad.
2. Datos confidenciales: Económicos, estratégicos y de reputación
Además de los datos personales, las empresas manejan información confidencial que, si se filtra, puede tener consecuencias graves. Estos datos se pueden dividir en tres subgrupos:
- Datos económicos: Información sobre ingresos, gastos, inversiones, salarios y beneficios. Por ejemplo, detalles sobre inversiones en marketing, costos de producción o márgenes de beneficio. Compartir estos datos podría dar ventaja a la competencia y afectar la posición financiera de la empresa.
- Datos estratégicos: Planes de marketing, desarrollo de nuevos productos, estrategias de expansión y alianzas estratégicas. Revelar esta información podría comprometer la ventaja competitiva de la empresa. Por ejemplo, si se filtran detalles sobre un producto que aún no se ha lanzado, la competencia podría adelantarse.
- Datos de desarrollos propios: Piezas de código de la empresa, prototipos, planos, plantillas y demás material que forma parte de la inteligencia y el I+D de la empresa. De conocerse esto podría eliminar la ventaja competitiva que esta tiene.
- Información de reputación: Datos que, de hacerse públicos, podrían dañar la imagen de la empresa. Esto incluye conflictos internos, decisiones controvertidas, prácticas cuestionables o cualquier información que pueda provocar una crisis reputacional. Por ejemplo, detalles sobre despidos masivos o problemas legales internos.
En definitiva, es vital reconocer qué información es prudente compartir y cuál no. Compartir datos confidenciales con la IA sin las precauciones adecuadas es como dejar la puerta abierta a competidores y al público en general.
3. Consejos clave iniciales: Anonimizar y limitar el acceso según el tipo de dato
Proteger los datos sensibles no es solo una obligación legal, sino que es necesario para proteger a tu empresa y evitar «sustos».
La separación entre tipologías de datos debe ser el primer punto clave al que acudir: No debes tener el mismo cuidado con los datos del primer grupo que los del segundo.
- Es imposible encontrar un escenario en el que los datos personales no deban protegerse. Con este tipo de datos el problema no es solo si los datos podrían llegar a ser públicos o leídos. Sino que con ellos hay un componente tanto legal como ético a tener en cuenta: No deberías pasarle a un tercero nunca un dato personal, por seguro que sea el sistema.
- En cambio con los datos confidenciales tenemos muchas más opciones. Aquí no se trata de que estemos haciendo nada «malo», sino que es más bien «poco conveniente». Si claro, por revelar secretos de tu empresa puedes meterte en un lio, pero no es ese el motivo principal por el que debes tener cuidado, sino el simple hecho de que es información que nadie fuera de la empresa debería conocer. Esto cambia las cosas bastante, pues con que se nos garantice al 100% que eso no va a suceder, ya si que podríamos trabajar.
El nivel de seguridad que quieras aplicar dependerá de cada empresa y de cada caso pero en definitiva nos encontramos con que hay información que no queremos enviar a las IA vs información de la que solo necesitamos tener la seguridad de que no queremos que salga nunca de nuestra charla con estas IAs.
Entraremos en las opciones que tenemos para conseguir lo segundo más adelante, pero de momento, a modo general veamos qué podemos hacer para evitar enviar los datos que no deseamos enviar e las IAs.
A continuación, se detallan consejos y estrategias para asegurar que la información que manejas esté protegida al interactuar con ChatGPT u otras herramientas de inteligencia artificial. Estas son las medidas que debes tomar sí o si con los datos personales y dependiendo de la política de tu empresa igual también con algunos de tus datos confidenciales.
Anonimización de la información
La anonimización consiste en modificar los datos personales de manera que los individuos no puedan ser identificados directa o indirectamente. Esto es crucial al compartir información inicialmente personal con sistemas de IA. Algunas prácticas recomendadas incluyen:
- Eliminar identificadores directos: Quita nombres, apellidos, números de identificación (como DNIs), direcciones de correo electrónico, números de teléfono y cualquier otro dato que pueda identificar a una persona.
- Sustituir datos por códigos: En lugar de utilizar nombres reales, asigna códigos o pseudónimos que no puedan ser rastreados hasta el individuo. Por ejemplo, «Cliente123» en lugar de «Juan Pérez».
- Modificar direcciones IP: Las direcciones IP pueden ser consideradas datos personales. Una práctica común es eliminar los últimos dígitos para que no sean rastreables a un dispositivo específico. Por ejemplo, cambiar «192.168.1.100» a «192.168.XXX.XXX».
- Encriptación y hash de datos: Utiliza algoritmos de hash como SHA-256 para codificar datos sensibles. Aunque esto enmascara la información, es importante recordar que puede no ser suficiente para cumplir con ciertas regulaciones, por lo que es preferible evitar compartir estos datos si no es absolutamente necesario.
Al anonimizar los datos, aseguras que la información personal no pueda ser utilizada indebidamente, incluso si es interceptada o almacenada por terceros.
Utilizar datos agregados y estadísticas
Trabajar con datos agregados es una excelente manera de obtener insights sin comprometer la privacidad individual. Algunas formas de hacerlo incluyen:
- Clusterización / Clasificación por grupos: Segmenta a los usuarios en categorías basadas en características comunes, como ubicación geográfica, rango de edad, nivel de gasto o preferencias de productos.
- Datos promedio y medianas: En lugar de compartir datos individuales, utiliza promedios, medianas o porcentajes. Por ejemplo, «El gasto promedio mensual es de $500» en lugar de «El Cliente123 gastó $500 este mes».
- Análisis de tendencias generales: Enfócate en patrones y tendencias que no requieran datos específicos de individuos. Esto puede ser igualmente valioso para la toma de decisiones estratégicas.
El uso de datos agregados no solo protege la privacidad, sino que también puede simplificar el análisis al centrarse en la imagen general en lugar de detalles minuciosos.
Limitar el acceso y establecer protocolos claros
Controlar quién tiene acceso a la información confidencial es fundamental para prevenir filtraciones y mal uso de los datos. No se trata solo de que tu no lo hagas, es que debes garantizar que nadie más (por junior que sea) pueda cometer estos errores. Para ello, considera las siguientes medidas:
- Definir roles y permisos: Establece niveles de acceso basados en las responsabilidades de cada empleado. Solo el personal autorizado debería manejar datos sensibles.
- Protocolos de seguridad: Implementa políticas claras sobre cómo y dónde se puede compartir la información. Esto incluye el uso de herramientas aprobadas y métodos seguros de transferencia de datos.
- Auditorías y seguimiento: Realiza auditorías periódicas para asegurarte de que las políticas se están siguiendo. Utiliza sistemas de registro para monitorear quién accede a qué datos y cuándo.
- Contraseñas y autenticación: Utiliza medidas de seguridad como autenticación de dos factores y contraseñas robustas para proteger el acceso a sistemas y archivos confidenciales.
Limitar el acceso reduce el riesgo de que información sensible sea compartida accidentalmente o utilizada indebidamente por personal no autorizado.
Formación y concienciación del equipo
La tecnología por sí sola no es suficiente; el factor humano es crítico en la protección de datos. Asegúrate de que tu equipo esté bien informado y capacitado:
- Programas de formación: Organiza talleres y cursos sobre seguridad de datos, privacidad y uso responsable de la IA. Esto debería incluir actualizaciones periódicas sobre nuevas amenazas y regulaciones.
- Políticas internas claras: Documenta y comunica las políticas de la empresa en relación con el manejo de datos y el uso de herramientas de IA. Asegúrate de que todos los empleados entiendan sus responsabilidades.
- Fomento de una cultura de seguridad: Promueve un ambiente donde los empleados se sientan responsables de la protección de datos y estén cómodos reportando posibles riesgos o incumplimientos.
- Simulaciones y pruebas: Realiza ejercicios prácticos para evaluar la preparación del equipo ante situaciones de riesgo, como intentos de phishing o manejo de datos sensibles.
Ejemplos prácticos de aplicación de estas técnicas
Para ilustrar cómo aplicar estos consejos, veamos algunos escenarios comunes:
- Análisis de clientes: Si necesitas que la IA te ayude a segmentar tu base de clientes, utiliza datos agregados y códigos anónimos. En lugar de proporcionar listas con nombres y direcciones, ofrece categorías como «Clientes de 25-35 años en Madrid con alto volumen de compras».
- Optimización de campañas de marketing: Al analizar el rendimiento de campañas, comparte métricas generales y evita detalles específicos de transacciones individuales.
- Resolución de problemas técnicos: Si estás usando la IA para diagnosticar un problema, asegúrate de que los datos de registro o logs no contengan información personal o sensible antes de compartirlos.
- Colaboración con terceros: Al trabajar con proveedores o consultores externos, establece acuerdos de confidencialidad y limita el acceso a la información estrictamente necesaria.
Estos ejemplos muestran que es posible aprovechar las capacidades de la IA sin comprometer la privacidad ni la seguridad.
Sin embargo, lo cierto es que esta «seguridad» juega en nuestra contra.
Todo esto, sin duda, garantiza que los datos sensibles no acaben donde no deberían acabar. Pero por otro lado puede ser un grandísimo limitante para trabajar con la IA. Se supone que la IA debe agilizar nuestro trabajo… ¿Tengo que ir anonimizándolo todo antes de dárselo? ¿Por qué no puedo pasar costes y beneficios por campaña que es lo que realmente necesito analizar? ¿No hay algo más ágil y directo?
Lo cierto es que, como decíamos antes, para algunos de estos datos (sobretodo los confidenciales) establecer estas limitaciones puede ser muy poco eficiente. Resulta mucho más provechoso adquirir otro enfoque hacia esta tecnología (la IA) y aprender a usarla para que no sea peligrosa.
Descarga de responsabilidad: Si puedes hacer esto o no, dependerá de la cultura y creencias de tu empresa. Esta claro que lo que viene a continuación habrá empresas que no lo permitirán (sobre todo por desconocimiento) así que asegúrate de cada paso que das es algo que tienes permitido hacer con el responsable de los datos de tu organización.
Vamos a ver cómo trabajar con ChatGPT para que nuestros datos no puedan filtrarse.
Cómo interactuar con ChatGPT de forma segura
Ahora que hemos identificado los tipos de datos sensibles, es crucial entender cómo interactuar con ChatGPT de manera que se proteja esta información. La herramienta ofrece diferentes modalidades de uso y configuraciones que afectan directamente la privacidad y seguridad de los datos compartidos.
Distintos tipos de uso de los datos que puede hacer ChatGPT
Lo primero que tenemos que diferenciar son 2 usos distintos que hace chatGPT de los datos. El primero es el del entrenamiento. ChatGPT en varios escenarios usa los datos de las interacciones con los usuarios para entrenar su propio modelo.
Es decir, usa lo que le enviamos como base de datos para entrenar su modelo. Esto sucede tanto a nivel de usabilidad (ver que respuestas son buenas y cuales malas) como para alimentar su base de conocimientos. Es decir, aunque en su entrenamiento oficial no viniesen datos de un evento específico, si varias personas le hablan de ese evento, puede llegar a ofrecer información sobre él.
Y eso tes un gran riesgo para la empresa. Si en una conversación otro usuario puede acceder a lo que nosotros le dijimos, podría llegar a saber detalles confidenciales si se los hacemos llegar. Esta es la parte más crítica de la privacidad al usar ChatGPT. La que más debemos vigilar.
En otro orden de importancia muy distinto tenemos el guardado de datos que hace ChatGPT en su sistema: Nuestras conversaciones antiguas (si las almacenamos) o los archivos que le hemos subidos al crear GPTs personalizados, están en las maquinas de OpenAI, pero esto se parece más a guardar tus archivos en Google Drive que a un problema de privacidad real. OpenAI se reserva el derecho a revisar nuestro histórico durante 30 días para detectar abusos de la herramienta, pero no hace ningún otro uso de esta información.
Diferencias entre las herramientas de ChatGPT:
ChatGPT es conocido sobre todo por el uso de su chat directo pero esta no es la única herramienta con la que trabaja. Para los usuarios más avanzados chatGPT ofrece más opciones que el chat que todos conocemos. Veamos que uso puede hacer de los datos según cual sea la que usemos:
- 1. El chat, en cualquiera de sus modelos:
Este sistema es el más peligroso de todos. En el chat es donde chatGPT puede aprovechar nuestros datos para entrenarse.
Lo hace siempre que tengamos la opción de «mejorar el modelo de datos para todos» activo y solo en las cuentas en las que le está permitido hacerlo. Pero hacerlo, por defecto, lo hace. Así que estos chats es donde más cuidado debes tener para trabajar. - 2. Los CustomGPT:
Los customGPT son chats que «programamos» a nuestra medida. Son RAGs a los que les podemos subir información e instrucciones a medida para que se comporten como deseamos.
Con estos chats sucede lo siguiente:
a. La información que usamos para «entrenarlos», los documentos que les subimos y las instrucciones que les damos, no se usan para el entrenamiento de chatGPT.
b. Sin embargo el uso que hacen los usuarios de estos chats puede abrir otro tipo de brechas de seguridad si no tenemos cuidado. Es decir, yo puedo estar seguro de que chatGPT directamente no ha usado mis archivos, pero si que podría exponer como respuesta a su chat información de estos archivos. - 3. La API:
La API es el sistema que tiene ChatGPT para permitirnos programar aplicaciones en usando su sistema. Mediante esta API también podemos crear chats personalizados o incluso aplicaciones mucho más complejas que nada tienen que ver con un chat.
Bien, pues en cuanto a la API tenemos más suerte que con los chats ya que las interacciones con la API NO se usan para entrenar a chatGPT. Por lo tanto si tenemos usos de ChatGPT con la API no tenemos que tener miedo a que nuestros datos transciendan. - 4. Los Agentes:
Los agentes son la mezcla entre los CustomGPTs y la API. Nos permiten también subir archivos e instrucciones, pero luego solo se pueden usar mediante la API. Por lo tanto son el entorno más seguro posible para las personalizaciones: Ni lo que se sube entrena a chatGPT ni tampoco lo hacen las conversaciones que se tengan con ellos vía API.
Diferencias entre cuentas de ChatGPT: Free, Plus, Teams y Enterprise
ChatGPT ofrece varios tipos de cuentas que podemos usar. La mayoría de la gente solo conoce la cuenta Gratuita (Free) y la de pago (Plus), pero existen además dos versiones dedicadas a la empresa que son muy interesantes de cara a la privacidad de datos.
- ChatGPT Free y ChatGPT Plus: En estas cuentas, por defecto, todas las conversaciones se utilizan para entrenar al modelo por defecto salvo que desactives la opción «Mejorar el modelo para todos». Esto significa que cualquier información que compartas podría ser almacenada y analizada para mejorar el rendimiento de la IA. Además, OpenAI retiene los datos durante 30 días y puede revisarlos para detectar abusos o violaciones de sus políticas.
- ChatGPT Teams y Enterprise: Estas cuentas están diseñadas para uso empresarial y ofrecen mayores garantías de privacidad. Las conversaciones no se utilizan para entrenar al modelo nunca, y se ofrecen opciones de personalización en cuanto a la retención y manejo de datos. La cuenta Enterprise, por ejemplo, permite personalizar las políticas de retención de datos y ofrece cifrado avanzado en todso estos datos.
Detalle, Qué pasa con tus datos dependiendo de dónde los uses:
A continuación, se presenta una tabla que resume las opciones de privacidad según el tipo de cuenta y funcionalidad:
Plan | Entrenamiento de datos (Conversaciones con usuarios) | Retención temporal de datos (30 días, incluye conversaciones) | Privacidad de archivos subidos | Control interno sobre datos | Acceso interno a conversaciones de empleados | Cumplimiento de normativas (SOC 2, GDPR, etc.) | Adecuado para datos sensibles | Personalización de políticas de datos |
---|---|---|---|---|---|---|---|---|
ChatGPT Free, por decto | Sí | Sí | No garantizada | Básico | Posible | No | No | No |
ChatGPT Free (desmarcando mejorar el modelo) | No | Sí | No garantizada, pero no lo hace | Básico | No | No | No | No |
ChatGPT Plus | Sí | Sí | No garantizada | Básico | Posible | No | No | No |
ChatGPT Plus (desmarcando mejorar el modelo) | No | Sí | No garantizada, pero no lo hace | Básico | No | No | No | No |
Peticiones a la API | No | Sí | Garantizada | Total | No | Sí | Sí | Parcial |
Custom GPTs Privados | No | Sí | Garantizada | Total | No | Sí | Sí | Parcial |
Custom GPTs Públicos | Depende del creador | Sí | Depende del creador | Parcial | Depende del creador | Parcial | Parcial | Depende del creador |
Agentes API | No | Sí | Garantizada | Total | No | Sí | Sí | Parcial |
ChatGPT Teams | No | Sí | Garantizada | Moderado | No | Sí (Moderado) | Moderado | Moderado |
ChatGPT Enterprise | No | Personalizable | Garantizada con cifrado | Avanzado | No | Sí (Avanzado) | Sí (Máximo) | Avanzado |
ChatGPT EDU | No | Sí | Garantizada | Moderado | No | Sí (Moderado) | Moderado | Parcial |
Si manejas datos sensibles, las cuentas Teams o Enterprise son las más adecuadas. Estas ofrecen mayores garantías y opciones de personalización, permitiendo cumplir con normativas como el GDPR y establecer políticas internas más estrictas.
Control de tus chats
En cuanto al mundo empresarial, en teoría también sería una opción válida, pero a mi personalmente me parece una medida muy débil dentro de la empresa. Necesitas confiar en que todos los usuarios dentro de la empresa hayan deshabilitado los chats para trabajar y además sin forma alguna de comprobar si eso es cierto o no. Todos sabemos que siempre hay miembros más «olvidadizos» en todas las organizaciones por lo que esto es dejar una brecha a la privacidad.
La elección entre un tipo de cuenta y otra, aparte de de afectarnos en el precio que pagamos, nos puede aportar garantías de privacidad y controles del uso que se hace de la cuenta. Empresas grandes que tienen que cumplir con ciertos protocolos de privacidad se verán prácticamente obligadas a usar una cuenta Enterprise: Es la única que le da garantías y certificados como los que necesitan obtener. En cambio para Pymes y agencias más modestas un cuenta Teams saldrá mucho más económica sin poner al usarla en riesgo los datos propios o de tus clientes por ningún tipo de descuido.
En resumen:
- Cuentas Free y Plus: Por defecto si pueden comprometer tus datos. Pero con un simple click puedes desactivarlo.
- Cuentas Teams: Por defecto ya no comprometen tus datos, pero no tendrás garantías certificadas ni control del uso de chatGPT.
- Cuentas Enterprise: No comprometen tus datos, te aportan garantías y te permiten controlar la retención de datos.
CustomGPT y los riesgos de privacidad según su visibilidad
Como decíamos antes, los CustomGPT son chats personalizados donde puedes configurar comportamientos específicos y subir archivos para mejorar la interacción. Esto los convierte en herramientas muy poderosas, pero también implican riesgos si no se configuran correctamente.
Es importante entender los niveles de visibilidad de los CustomGPT. Esta privacidad la defines tu mismo al crearlos y define quien va a poder acceder a ellos:
- Privados: Solo accesibles para ti. Los archivos subidos no se utilizan para entrenar al modelo y no son accesibles para otros usuarios. Esta es la opción más segura si manejas datos sensibles.
- Ocultos: No aparecen en búsquedas públicas, pero pueden ser accedidos si alguien tiene el enlace directo. Existe el riesgo de que personas no autorizadas accedan a tus datos si el enlace se comparte accidentalmente.
- Públicos: Accesibles para cualquier usuario. Si subes archivos con información confidencial y no configuras adecuadamente los permisos, otros usuarios podrían acceder a esa información. Además, existen métodos para que usuarios externos extraigan la información de tus archivos mediante consultas específicas (pequeños hacks).
En contraposición, si haces un CustomGPT público, podrías estar compartiendo información confidencial sin darte cuenta. Por ejemplo, si subes documentos estratégicos pensando que solo tú los usarás, pero el CustomGPT es público, otros podrían acceder y extraer datos sensibles.
Esto da para otro post entero, pero en definitiva, es vital ser precavido. Siempre revisa la configuración de visibilidad y evita subir datos sensibles a CustomGPTs que no sean estrictamente privados.
Mejoras con APIs y agentes: Control y personalización sin comprometer datos
El uso de APIs y agentes ofrece una alternativa más segura y controlada para interactuar con ChatGPT:
- APIs: Las peticiones realizadas a través de la API no se utilizan para entrenar al modelo. Esto significa que puedes desarrollar aplicaciones o interfaces personalizadas que interactúen con ChatGPT sin que tus datos sean almacenados para entrenamiento. Además, tienes mayor control sobre la retención y manejo de datos.
- Agentes: Son similares a los CustomGPT pero operan a través de la API. Puedes configurar agentes con archivos y reglas específicas, y al usarlos vía API, las conversaciones no entrenan al modelo. Esto ofrece una capa adicional de seguridad y personalización.
Es un sistema que simplemente funciona y agiliza las cosas, ofreciendo una alternativa segura para manejar datos confidenciales. Por ejemplo, puedes desarrollar una herramienta interna que permita a tus empleados interactuar con la IA sin preocuparse por la exposición de datos, ya que todo se maneja dentro de tu entorno controlado.
Además, con las APIs puedes establecer medidas de seguridad adicionales, como autenticación de usuarios, registro de actividad y restricciones de acceso basadas en roles. Esto te permite cumplir con políticas internas y regulaciones externas de manera más efectiva.
Soluciones prácticas
Ahora que hemos identificado los riesgos y las herramientas disponibles, veamos algunas soluciones prácticas para proteger tus datos al trabajar con ChatGPT.
Creación de interfaces seguras con APIs y Agentes
Desarrollar una interfaz personalizada que interactúe con ChatGPT a través de la API puede ser la solución ideal, especialmente si no estás listo para invertir en una cuenta Enterprise:
- Control total: Puedes establecer políticas de manejo de datos que se ajusten a tus necesidades y regulaciones aplicables.
- Auto-anonimización: Puedes programar cambios en los datos antes de ser enviados a chatGPT y recuperar el valor original al recibir la respuesta. Por ejemplo puedes cambiar el nombre de las tablas al pedir una query en SQL, pero que el usuario vea el nombre de tabla que realmente introdujo.
- Seguridad adicional: Implementa autenticación, autorización y otras medidas de seguridad para proteger la información.
- Personalización: Adapta la herramienta para que se integre perfectamente con tus procesos y flujos de trabajo existentes. Ya no solo creando Agentes para que actúen como un customGPT sino añadiendo capas de personalización extra desde el frontal de tu herramienta.
Si bien no podemos decir que exista un ganador absoluto en términos de seguridad, esta opción ofrece ventajas significativas. Permite a las empresas pequeñas y medianas acceder a las capacidades de la IA sin comprometer la privacidad ni incurrir en altos costos.
Conclusión
En definitiva, es nuestra responsabilidad asegurarnos de que el uso de las IAs sea seguro para nuestras empresas y nuestros clientes. Los riesgos al compartir datos sensibles con ChatGPT existen, pero con las prácticas adecuadas podemos minimizarlos.
Formar a los equipos y establecer políticas claras es fundamental. No se trata solo de cumplir con las leyes, sino de proteger los activos más valiosos de tu empresa: su información y reputación.
La IA es un acelerador que debemos ir incorporando a nuestras empresas, pero siempre debemos priorizar la seguridad y el cumplimiento legal por encima de todo. Por suerte esto no es algo complejo. Un sencillo protocolo y la definición de que cuentas y vías de uso habilitar es todo lo que necesitamos para trabajar con garantías.