La privacidad es una de las mayores preocupaciones que deberíamos considerar al utilizar la inteligencia artificial (IA), sobre todo cuando manejamos datos sensibles. En la Administración Pública la protección de datos debería ser una prioridad, pues la mayoría de empresas de IA, que se encuentran fuera de la Unión Europea, establecen unas políticas de privacidad muy laxas, pudiendo utilizar nuestros datos casi a su antojo.
Así es, con frecuencia trabajamos con modelos de lenguaje en la nube a través de sus páginas web sin darnos cuenta de que los documentos y la información que subimos pueden ser usados por las empresas de inteligencia artificial para entrenar sus modelos o para otros fines. En este artículo explicaré las políticas de privacidad de cuatro de las plataformas de IA más populares: ChatGPT, Gemini, Notebook LM y Microsoft Copilot; para conocer cómo manejan nuestros datos y qué podemos hacer para reducir el riesgo de filtraciones.
Políticas de privacidad de ChatGPT
Comenzamos con la más popular, ChatGPT de OpenAI, que recaba la información que le damos, como el nombre, correo y, por supuesto, los prompts con toda la información que aportamos, tanto las instrucciones como los archivos. También se comparten datos técnicos: IP, tipo de dispositivo, navegador, zona horaria y cómo navegamos dentro del servicio.
¿Y cómo utiliza OpenAI esos datos? Según sus políticas de privacidad, pueden utilizarlos para los siguientes fines:
- Prestar y mejorar el servicio
- Investigar y desarrollar nuevas funciones
- Comunicarse contigo, por ejemplo, avisos de cambios
- Mantener la seguridad y prevenir fraudes
- Cumplir obligaciones legales.
No obstante, también indican que podemos acceder, corregir, borrar, portar, limitar u oponernos al tratamiento de los datos, e incluso retirar el consentimiento. En cuanto a la posible transferencia de los datos, estos no se venden a anunciantes, pero sí pueden compartirse con proveedores de la nube, pasarelas de pago y soporte, filiales de OpenAI, autoridades si la ley lo exige y administradores de tu cuenta empresarial. Tampoco hay que perder de vista que, en caso de fusión o venta de la compañía, podrían transferirse los datos.
Algo muy curioso que indican en su política es que pueden disociar los datos personales, es decir, anonimizarlos para que no nos identifiquen, con fines estadísticos y de mejora de servicio.
Dónde y durante cuánto tiempo se conservan los datos
Los datos que OpenAI recopila se almacenan fuera de la Unión Europea, en Estados Unidos, lo cual ya de por sí debería preocuparnos, aunque prometen usar las normas de la UE para transferencia de datos. En cuanto al tiempo de conservación, los guardan durante el necesario para sus fines empresariales. Ciertamente, esta información y las expresiones (prometen y tiempo necesario) no nos ayudan mucho a confiar en esta empresa, si bien no resultan del todo extrañas en las políticas de privacidad de otras compañías de inteligencia artificial o de redes sociales, por ejemplo.
No obstante, indican, los chats temporales se mantienen 30 días y sus datos no se usan para entrenar los modelos ni se mantienen en la memoria de ChatGPT. Para activar un chat temporal hay que pulsar el pequeño icono con forma de bocadillo en líneas punteadas que se encuentra arriba, a la derecha de la pantalla de la web.
Hasta ahí las malas noticias, pues la buena es que OpenAI nos permite desactivar el uso de nuestros datos para entrenamiento en la opción “Controles de datos” dentro de Configuración, y que debería ser la primera acción que realicemos al empezar a usar el modelo.
Políticas de privacidad de Gemini
Vamos ahora con Gemini, de Google, que también recopila y utiliza nuestros datos: chats, imágenes, documentos o grabaciones de Gemini, así como ubicación, IP, etc.
Toda esta información la usan para:
- Prestar el servicio y responder a consultas
- Mejorar y desarrollar productos de Google y sus modelos de IA
- Mantener la seguridad y detectar abusos
- Investigar y crear nuevas funciones, como en Google Cloud.
Respecto a la transferencia de datos, Google afirma que no vende información personal y, en cuanto a conversaciones y metadatos, estos podrían compartirse con revisores humanos seleccionados, servicios de Google conectados (como Maps), autoridades si la ley lo exige, o aplicaciones y servicios de terceros que nosotros conectemos con nuestro perfil en Google, regidos por sus propias políticas.
Cuánto tiempo conserva Google nuestros datos
Otro tema delicado a la hora de trabajar con los datos personales es la su conservación en el tiempo, amén del lugar. Google almacena los datos 18 meses (configurable a 3 ó 36 meses), mientras que las conversaciones revisadas por humanos se mantienen hasta 3 años. También se puede limitar la exposición de la información personal a través de la opción “Actividad”, que es el historial de uso de Gemini. No obstante, aunque hayamos desactivado la actividad, las conversaciones se guardan 72 horas para procesar comentarios.
Respecto al lugar de ubicación de los datos Google no lo especifica, pero es de suponer que, al igual que OpenAI, se guarden en EE.UU.
Políticas de privacidad de NotebookLM
Por su parte, Notebook LM es algo diferente, pues no es un modelo de IA sino un entorno web que utiliza Gemini. Esta herramienta procesa el contenido que proporcionamos —documentos (PDF, presentaciones, URLs), notas, preguntas, conversaciones y resúmenes de audio generados con IA— así como los metadatos operativos (fecha de creación, recuento de consultas) necesarios para el funcionamiento de la aplicación.
Google indica que puede usar estos datos para prestar y mejorar NotebookLM, por ejemplo, en la calidad de respuestas, detección de abusos, depuración y atención al cliente (mediante muestras revisadas sólo en cuentas personales), y para cumplir términos de servicio y políticas de uso. Por contra, y siempre según su web, no emplean estos datos para entrenar modelos: las fuentes subidas, consultas realizadas y respuestas no se usan con ese fin.
Sin embargo, en cuentas personales, nuestros datos, las consultas y respuestas pueden revisarse por humanos para resolver problemas, tomar medidas frente a usos inadecuados o mejorar el servicio; esto no ocurre en cuentas Workspace ni Workspace para educación.
Tampoco olvidemos que Google siempre puede recopilar datos como ubicación, IP o navegador, etc. Para finalizar con este modelo, y según indica Google en sus políticas de privacidad, no venden datos a terceros ni los usan para publicidad, aunque no especifican el tiempo de retención.
Políticas de privacidad de Microsoft Copilot
Por último, Microsoft Copilot recopila nuestra huella digital y los prompts que generamos, usándolos para mejorar su modelo y otros productos. La versión Microsoft 365 Copilot, sin embargo, no emplea estos datos para entrenamiento.
En cuanto a la transferencia de datos, Microsoft puede compartirlos con filiales y proveedores bajo cláusulas de confidencialidad y con autoridades, aunque asegura que no vende datos.
Sobre retención de los datos, los guardan el tiempo necesario según finalidad, cumplimiento legal o reclamaciones. No obstante, Copilot permite desactivar el historial de conversaciones, consultar lo que recuerda de nosotros y borrar el historial.
Conclusión
Hasta aquí un resumen de las políticas de privacidad de algunos de los principales modelos de IA. Lo que está claro es que nuestra privacidad y la de nuestros clientes, usuarios o ciudadanos no puede darse por sentada; en las organizaciones públicas, su protección debe ser una prioridad.
Dicho esto quiero compartiros una reflexión: cuando usamos aplicaciones comerciales que tratan datos personales (recursos humanos, tributos, etc.) exigimos a los proveedores confidencialidad, que los datos estén seguros, etc. Está claro que los modelos de IA de uso más común, sobre todo vía web, no ofrecen garantías suficientes y sus creadores aconsejan no proporcionar datos confidenciales. Pero si contratamos una aplicación de IA específica, debemos exigir que los datos permanezcan en España o la UE y cumplan la normativa de privacidad.
Por tanto, al usar IA, cuidemos la protección de datos, especialmente de terceros. Lo ideal será usar modelos en local, que no es excesivamente caro y ofrece total privacidad.
Grupo de Telegram sobre IA en la Administración
Te invito a suscribirte al canal y unirte al grupo de Telegram IAdministracion, donde compartimos conocimiento y experiencia sobre el uso de la inteligencia artificial en la Administración Pública.
Las políticas de privacidad en detalle
A continuación dejo el enlace a las páginas de cada empresa analizada, así como de otras de uso general, con sus políticas de privacidad:
- OPENAI
- ANTROPHIC (CLAUDE)
- GOOGLE (GEMINI, AI STUDIO)
- GOOGLE (NotebookLM)
- MICROSOFT COPILOT
- PERPLEXITY