Datos personales
Los resultados negativos de la implementación de la IA se concentran en dos ejes de riesgo crítico: la **violación de la privacidad** y las **acciones legales (demandas) contra el fabricante**. En el ámbito de la **violación de la privacidad**, el riesgo se origina en la metodología de entrenamiento de los modelos de IA, la cual a menudo implica el rastreo y la recopilación masiva de datos personales de internet (*web scraping*) sin el consentimiento explícito de los usuarios. Esta práctica ha provocado numerosas demandas colectivas (por ejemplo, contra OpenAI y Google) que alegan el uso indebido de información privada, desde comentarios en redes sociales y publicaciones de blogs hasta datos biométricos, infringiendo leyes de protección de datos. En cuanto a la **demanda contra el fabricante**, el principio fundamental que emerge es que la responsabilidad legal por los daños causados por la IA recae directamente sobre las empresas y las personas que la desarrollan y despliegan, no sobre el sistema algorítmico en sí. Las acciones legales son variadas e incluyen: - **Infracción de derechos de autor**: Por utilizar material protegido para el entrenamiento de los modelos o porque el contenido generado por la IA copia o se asemeja a obras protegidas. - **Violación de leyes de privacidad**: Como resultado del *scraping* de datos o el uso de información personal en contravención de normativas locales e internacionales. - **Difamación y falsa información**: Si el sistema de IA genera contenido inexacto, falso o difamatorio, la empresa que lo publica asume la responsabilidad. - **Negligencia**: En casos de resultados perjudiciales, como la difusión de imágenes explícitas no consentidas generadas por IA (*deepfakes*).
ENTIDAD
2 - IA
INTENCIÓN
2 - Involuntario
TIEMPO
3 - Otro
ID del riesgo
mit1269
Linea de dominio
2. Privacidad y Seguridad
2.1 > Compromiso de la privacidad por filtración o inferencia de información sensible
Estrategia de mitigacion
1. **Establecer un Marco Integral de Cumplimiento Legal y Ético:** Implementar protocolos rigurosos de diligencia debida (due diligence) que aseguren la base legal para la recolección de datos, incluido el consentimiento explícito de los titulares para la información personal obtenida mediante *web scraping*. Paralelamente, garantizar la observancia de los derechos de autor y la propiedad intelectual en los conjuntos de datos de entrenamiento para mitigar el riesgo de acciones legales por infracción. 2. **Aplicar los Principios de Privacidad desde el Diseño (PbD) y Minimización de Datos:** Integrar la privacidad como un requisito fundamental en las fases iniciales de desarrollo del sistema de IA. Esto implica limitar la recopilación y el procesamiento de datos exclusivamente a lo estrictamente necesario para la finalidad del modelo, priorizando técnicas de preservación de la privacidad como el aprendizaje federado, el cifrado homomórfico o el uso de datos sintéticos. 3. **Implementar un Sistema de Gobernanza y Auditoría Continua:** Mantener un inventario de datos y un control de versiones de modelos exhaustivo para asegurar la trazabilidad. Realizar auditorías periódicas y monitorización en tiempo real para detectar y corregir proactivamente sesgos algorítmicos, inexactitudes o filtraciones de información, manteniendo así la explicabilidad y la responsabilidad del sistema.