Como consecuencia de la declaración conjunta firmada por reguladores de una docena de organismos internacionales de vigilancia de la privacidad, incluida la ICO del Reino Unido, la OPC de Canadá y la OPPCD de Hong Kong, ha instado a las principales plataformas de redes sociales a proteger las publicaciones públicas de los usuarios contra el scraping, advirtiendo que enfrentan la responsabilidad legal de hacerlo en la mayoría de los mercados.
«En la mayoría de las jurisdicciones, la información personal que está ‘disponible públicamente’, ‘accesible públicamente’ o ‘de naturaleza pública’ en Internet, está sujeta a leyes de privacidad y protección de datos», comentan. “Por lo tanto, las personas y empresas que recopilan dicha información personal son responsables de garantizar que cumplen con estas y otras leyes aplicables. Sin embargo, las empresas de redes sociales y los operadores de otros sitios web que alojan información personal de acceso público (SMC y otros sitios web) también tienen obligaciones de protección de datos con respecto a la extracción de datos por parte de terceros desde sus servicios online. Estas obligaciones generalmente se aplicarán a la información personal, ya sea que esa información sea de acceso público o no. La extracción masiva de datos personales puede constituir una violación de datos denunciable en muchas jurisdicciones”.
El momento de la declaración, que también fue firmada por reguladores de privacidad en Australia, Suiza, Noruega, Nueva Zelanda, Colombia, Jersey, Marruecos, Argentina y México, todos ellos miembros del grupo de trabajo de cooperación internacional para la aplicación de la ley de la Asamblea Global de Privacidad, coincide con el revuelo actual en torno a los modelos de IA generativa, que normalmente requieren grandes cantidades de datos para el entrenamiento y podría alentar a más entidades a explorar Internet en un intento por adquirir conjuntos de datos, y subirse al carro de la IA generativa.
Ejemplos de alto perfil de tales sistemas, como el gran modelo de lenguaje ChatGPT de OpenAI, se han basado (al menos en parte) en datos publicados onlne para entrenar sus sistemas, y una demanda colectiva presentada contra la compañía estadounidense en junio, que sobre la cual la CNN Business informó alega que extrajo en secreto “cantidades masivas de datos personales de Internet”.
Entre los riesgos a la privacidad que destacan los reguladores se encuentra el uso de extracción de datos para ataques cibernéticos dirigidos como ingeniería social y phishing; fraude de identidad; y para el seguimiento, elaboración de perfiles y vigilancia de personas, como el uso de datos para poblar bases de datos de reconocimiento facial y proporcionar acceso no autorizado a las autoridades, un claro golpe a Clearview AI, que se ha enfrentado a una serie de controles por parte de reguladores internacionales, incluidos varios en toda la UE, por el uso de datos extraídos para impulsar una herramienta de identificación de reconocimiento facial que vendió a las autoridades y otros usuarios.
También advierten que los datos extraídos pueden usarse con fines políticos o de recopilación de inteligencia no autorizados, incluso por parte de gobiernos extranjeros o agencias de inteligencia. Además también pueden utilizarse para generar marketing directo o spam no deseado.
No citan directamente el entrenamiento de modelos de IA como uno de estos riesgos «clave» para la privacidad, pero las herramientas de IA generativa que han sido entrenadas con los datos de las personas sin su conocimiento o consentimiento podrían reutilizarse para varios de los casos de uso maliciosos que citan. incluso para hacerse pasar por personas para ataques cibernéticos dirigidos, fraude de identidad o para monitorear/vigilar a personas.
Además de hacerse pública la declaración, los reguladores señalan que se envió una copia directamente a la empresa matriz de YouTube, Alphabet; ByteDance, matriz de TikTok; Meta (propietaria de Instagram, Facebook y Threads); Microsoft (LinkedIn); Sina Corp (Weibo); y X (también conocida como la plataforma anteriormente conocida como Twitter), por lo que las principales plataformas de redes sociales globales están claramente al frente y al centro mientras los organismos de control internacionales consideran los riesgos de privacidad que plantea la extracción de datos.
Por supuesto, algunas plataformas ya han tenido importantes escándalos de datos relacionados con el robo de datos, como el escándalo de uso indebido de datos de Cambridge Analytics de 2018 que afectó a Facebook después de que un desarrollador de su plataforma pudo extraer datos de millones de usuarios sin su conocimiento o consentimiento como resultado de los permisos laxos que aplicó la empresa; o la multa de 275 millones de dólares impuesta por el Reglamento General de Protección de Datos (GDPR) a Facebook el año pasado en relación con un incidente de extracción de datos que afectó a 530 millones de usuarios como resultado de un diseño de producto inseguro. Este último incidente también está sujeto a una demanda por parte de un grupo irlandés de derechos digitales que cuestiona la conclusión de la DPA de que no hubo violación de seguridad.
Si bien la declaración conjunta de los reguladores contiene una señal clara de la necesidad de ser proactivos a la hora de proteger la información de los usuarios contra el scraping, no hay una advertencia proporcionalmente clara que acompañe el mensaje de que no actuar y proteger los datos de las personas dar lugar a medidas coercitivas, lo que supone el riesgo de diluir un poco el impacto de la declaración.
En cambio, los organismos de control instan a las plataformas a «considerar cuidadosamente la legalidad de los diferentes tipos de extracción de datos en las jurisdicciones que les aplican e implementar medidas para proteger contra la extracción ilegal de datos».
“Las técnicas para extraer valor de datos de acceso público surgen y evolucionan constantemente. La seguridad de los datos es una responsabilidad dinámica y la vigilancia es primordial”, comentan adicionalmente. «Dado que ninguna salvaguarda protegerá adecuadamente contra todos los posibles daños a la privacidad asociados con la extracción de datos, los SMC y otros sitios web deben implementar controles técnicos y de procedimiento de múltiples capas para mitigar los riesgos».
Las medidas recomendadas para limitar los riesgos de extracción de datos de los usuarios que se mencionan en la carta incluyen haber designado equipos/roles internos centrados en los riesgos de extracción de datos; ‘limitar la tasa’ del número de visitas por hora o día de una cuenta a otros perfiles de cuenta y limitar el acceso si se detecta actividad inusual; y monitorear la rapidez y agresividad con la que una nueva cuenta comienza a buscar otros usuarios y a tomar medidas para responder a una actividad anormal.
También sugieren que las plataformas tomen medidas para detectar scrapers mediante la identificación de patrones en la actividad de los bots, como tener sistemas para detectar actividades sospechosas en direcciones IP.
Tomar medidas para detectar bots, como implementar CAPTCHA y bloquear la dirección IP donde se identifica la actividad de extracción de datos, es otra recomendación, aunque los bots pueden resolver los CAPTCHA, por lo que ese consejo ya parece obsoleto.
Otras medidas recomendadas son que las plataformas tomen las acciones legales apropiadas contra los scrapers, como el envío de cartas de ‘cese y desista’; exigir la eliminación de información eliminada; obtener confirmación de la eliminación; y tomar otras acciones legales para hacer cumplir los términos y condiciones que prohíben la extracción de datos.
Las plataformas también pueden tener el requisito de notificar a las personas afectadas y a los reguladores de privacidad según las leyes existentes sobre violación de datos, advierten estos organismos de control.
Se anima a los gigantes de las redes sociales a quienes se envió una copia de la carta a responder con comentarios dentro de un mes que demuestren cómo cumplirán con las expectativas de los reguladores.
A las personas se les pide «pensar a largo plazo»
La carta también incluye algunos consejos para que las personas tomen medidas para ayudar a protegerse contra los riesgos del scraping, incluida la sugerencia de que los usuarios de la web presten atención a las políticas de privacidad de las plataformas; pensar detenidamente sobre lo que eligen compartir en línea; y hacer uso de cualquier configuración que les permita controlar la visibilidad de sus publicaciones.
«En última instancia, animamos a las personas a pensar a largo plazo», añaden. “¿Cómo se sentiría una persona años después acerca de la información que comparte hoy? Si bien los SMC y otros sitios web pueden ofrecer herramientas para eliminar u ocultar información, esa misma información puede vivir para siempre en la web si ha sido indexada o eliminada y luego compartida”.
La carta también insta a las personas que estén preocupadas de que sus datos hayan sido extraídos “ilegalmente o indebidamente” a que se comuniquen con la plataforma o sitio web en cuestión y, si no obtienen una respuesta satisfactoria, les sugiere que presenten una queja ante la autoridad de protección de datos correspondiente. Por lo tanto, los reguladores están alentando a los usuarios a estar más atentos al scraping, lo que, en última instancia, podría conducir a un aumento en las investigaciones y controles en esta área.
La docena de reguladores internacionales que firman la declaración conjunta provienen todos de mercados fuera de la Unión Europea. Pero, como se señaló anteriormente, los reguladores de protección de datos de la UE ya están activos en los riesgos de extracción de datos a través de medidas adoptadas en virtud del RGPD del bloque.
También están siguiendo de cerca la evolución de los servicios de inteligencia artificial generativa, por lo que las preocupaciones planteadas en la carta parecen en general alineadas con cuestiones que ya están en el radar de las autoridades de protección de datos del bloque.
En particular, el organismo de control de la privacidad de Italia impuso a ChatGPT una orden local de detención de procesamiento a principios de este año, lo que provocó una breve interrupción del servicio mientras OpenAI se apresuraba con divulgaciones y controles. El chatbot Bard AI de Google tardó más en lanzarse en la UE que en otras regiones después de que su principal regulador de privacidad de la UE en Irlanda planteara preocupaciones similares. Pero las DPA de la UE están coordinando simultáneamente la mejor manera de aplicar las normas locales de protección de datos a estos novedosos chatbots de IA, incluso en lo que respecta a la cuestión crucial de la legalidad del procesamiento de datos utilizado para entrenar los modelos a la luz del marco del GPRD. Por lo tanto, las decisiones sobre la legalidad fundamental de herramientas como ChatGPT siguen pendientes en la UE.
A principios de este año, la DPA de Francia, la CNIL, también advirtió que la protección contra el robo de datos será un elemento clave de un plan de acción de IA que anunció en mayo.
