Datos de Usuario de IA Generativa
Muchas herramientas de inteligencia artificial generativa exigen un inicio de sesión para el acceso y, de manera habitual, retienen una amplia gama de información del usuario, incluyendo datos de contacto, dirección IP, y todos los insumos, productos o "conversaciones" generadas dentro de la aplicación. Esta dinámica plantea una profunda implicación ética en términos de consentimiento informado: el servicio, aunque publicitado como "gratuito", se costea mediante la apropiación y el uso sistemático de los datos del usuario para el entrenamiento y perfeccionamiento constante de los modelos subyacentes. Si bien este proceso tiene un vínculo inherente con la seguridad, las directrices de buenas prácticas en el sector de la IA dictan, idealmente, que el uso de la herramienta no requiera autenticación y que el contenido generado por el usuario no sea retenido ni utilizado bajo ningún concepto tras la finalización de su interacción activa.
ENTIDAD
1 - Humano
INTENCIÓN
2 - Involuntario
TIEMPO
2 - Post-despliegue
ID del riesgo
mit490
Linea de dominio
2. Privacidad y Seguridad
2.1 > Compromiso de la privacidad por filtración o inferencia de información sensible
Estrategia de mitigacion
- Implementar un marco de gobernanza de datos que priorice el Principio de Consentimiento Informado Explícito y el Principio de Lealtad (conforme a regulaciones de privacidad de datos), asegurando la total transparencia sobre qué datos de las interacciones con el usuario (inputs/outputs) serán retenidos y utilizados para el reentrenamiento del modelo. - Aplicar rigurosamente el Principio de Proporcionalidad y Limitación de la Conservación, que dicta la supresión inmediata o anonimización irreversible de la información de entrada del usuario una vez finalizada la interacción activa, impidiendo su uso posterior para el mejoramiento o reentrenamiento del modelo, salvo consentimiento expreso y separado. - Establecer Controles de Acceso y Segregación de Entornos (basados en el Principio del Mínimo Privilegio), asegurando que los datos sensibles recopilados por la IA Generativa (como direcciones IP o información de contacto) sean cifrados y almacenados en entornos funcionalmente separados y aislados del *dataset* de entrenamiento, restringiendo el acceso solo a personal autorizado y auditado.