\n<\/p>\n
Una declaraci\u00f3n conjunta firmada por reguladores de una docena de organismos internacionales de vigilancia de la privacidad, incluida la ICO del Reino Unido, la OPC de Canad\u00e1 y la OPPCD de Hong Kong, ha instado a las principales plataformas de redes sociales a proteger las publicaciones p\u00fablicas de los usuarios contra el scraping, advirtiendo que enfrentan la responsabilidad legal de hacerlo en la mayor\u00eda de los mercados.<\/p>\n
\u00abEn la mayor\u00eda de las jurisdicciones, la informaci\u00f3n personal que est\u00e1 ‘disponible p\u00fablicamente’, ‘accesible p\u00fablicamente’ o ‘de naturaleza p\u00fablica’ en Internet, est\u00e1 sujeta a leyes de privacidad y protecci\u00f3n de datos\u00bb, escriben. \u201cPor lo tanto, las personas y empresas que recopilan dicha informaci\u00f3n personal son responsables de garantizar que cumplen con estas y otras leyes aplicables. Sin embargo, las empresas de redes sociales y los operadores de otros sitios web que alojan informaci\u00f3n personal de acceso p\u00fablico (SMC y otros sitios web) tambi\u00e9n tienen obligaciones de protecci\u00f3n de datos con respecto a la extracci\u00f3n de datos por parte de terceros de sus sitios. Estas obligaciones generalmente se aplicar\u00e1n a la informaci\u00f3n personal, ya sea que esa informaci\u00f3n sea de acceso p\u00fablico o no. La extracci\u00f3n masiva de datos personales puede constituir una violaci\u00f3n de datos denunciable en muchas jurisdicciones\u201d.<\/p>\n
El momento de la declaraci\u00f3n, que tambi\u00e9n fue firmada por reguladores de privacidad en Australia, Suiza, Noruega, Nueva Zelanda, Colombia, Jersey, Marruecos, Argentina y M\u00e9xico, todos miembros del grupo de trabajo de cooperaci\u00f3n internacional para la aplicaci\u00f3n de la ley de la Asamblea Global de Privacidad, coincide con El revuelo actual en torno a los modelos de IA generativa, que normalmente requieren grandes cantidades de datos para el entrenamiento y podr\u00eda alentar a m\u00e1s entidades a navegar por Internet en un intento por adquirir conjuntos de datos, se sube al tren de la IA generativa.<\/p>\n
Ejemplos de alto perfil de tales sistemas, como el gran modelo de lenguaje ChatGPT de OpenAI, se han basado (al menos en parte) en datos publicados en l\u00ednea para entrenar sus sistemas, y una demanda colectiva presentada contra la compa\u00f1\u00eda estadounidense en junio, sobre la cual inform\u00f3 CNN Business. , alega que extrajo en secreto \u201ccantidades masivas de datos personales de Internet\u201d.<\/p>\n
Entre los riesgos a la privacidad que destacan los reguladores se encuentra el uso de extracci\u00f3n de datos para ataques cibern\u00e9ticos dirigidos como ingenier\u00eda social y phishing; fraude de identidad; y para el seguimiento, la elaboraci\u00f3n de perfiles y la vigilancia de personas, como el uso de datos para poblar bases de datos de reconocimiento facial y proporcionar acceso no autorizado a las autoridades, un claro golpe a Clearview AI, que se ha enfrentado a una serie de controles por parte de reguladores internacionales (incluidos varios en toda la UE). ) por el uso de datos extra\u00eddos para impulsar una herramienta de identificaci\u00f3n de reconocimiento facial que vendi\u00f3 a las autoridades y otros usuarios.<\/p>\n
Tambi\u00e9n advierten que los datos extra\u00eddos pueden usarse con fines pol\u00edticos o de recopilaci\u00f3n de inteligencia no autorizados, incluso por parte de gobiernos extranjeros o agencias de inteligencia. Y utilizarse para generar marketing directo o spam no deseado.<\/p>\n
No citan directamente el entrenamiento de modelos de IA como uno de estos riesgos \u00abclave\u00bb para la privacidad, pero las herramientas de IA generativa que han sido entrenadas con los datos de las personas sin su conocimiento o consentimiento podr\u00edan reutilizarse para varios de los casos de uso maliciosos que citan. incluso para hacerse pasar por personas para ataques cibern\u00e9ticos dirigidos, fraude de identidad o para monitorear\/vigilar a personas.<\/p>\n
Adem\u00e1s de hacerse p\u00fablica la declaraci\u00f3n, los reguladores se\u00f1alan que se envi\u00f3 una copia directamente a la empresa matriz de YouTube, Alphabet; ByteDance, matriz de TikTok; Meta (propietaria de Instagram, Facebook y Threads); Microsoft (LinkedIn); Sina Corp (Weibo); y X (tambi\u00e9n conocida como la plataforma anteriormente conocida como Twitter), por lo que las principales plataformas de redes sociales globales est\u00e1n claramente al frente y al centro mientras los organismos de control internacionales consideran los riesgos de privacidad que plantea la extracci\u00f3n de datos.<\/p>\n
Por supuesto, algunas plataformas ya han tenido importantes esc\u00e1ndalos de datos relacionados con el robo de datos, como el esc\u00e1ndalo de uso indebido de datos de Cambridge Analytica de 2018 que afect\u00f3 a Facebook despu\u00e9s de que un desarrollador de su plataforma pudo extraer datos de millones de usuarios sin su conocimiento o consentimiento como resultado. de permisos laxos que aplic\u00f3 la empresa; o la multa de 275 millones de d\u00f3lares impuesta por el Reglamento General de Protecci\u00f3n de Datos (GDPR) a Facebook el a\u00f1o pasado en relaci\u00f3n con un incidente de extracci\u00f3n de datos que afect\u00f3 a 530 millones de usuarios como resultado de un dise\u00f1o de producto inseguro. (Este \u00faltimo incidente tambi\u00e9n est\u00e1 sujeto a una demanda por parte de un grupo irland\u00e9s de derechos digitales que cuestiona la conclusi\u00f3n de la DPA de que no hubo ninguna violaci\u00f3n de seguridad).<\/p>\n
Si bien la declaraci\u00f3n conjunta de los reguladores contiene una se\u00f1al clara de la necesidad de ser proactivos a la hora de proteger la informaci\u00f3n de los usuarios contra el scraping, no hay una advertencia proporcionalmente clara que acompa\u00f1e el mensaje de que no actuar y proteger los datos de las personas dar lugar a medidas coercitivas, lo que supone el riesgo de diluir un poco el impacto de la declaraci\u00f3n.<\/p>\n
En cambio, los organismos de control instan a las plataformas a \u00abconsiderar cuidadosamente la legalidad de los diferentes tipos de extracci\u00f3n de datos en las jurisdicciones que les aplican e implementar medidas para proteger contra la extracci\u00f3n ilegal de datos\u00bb.<\/p>\n
\u201cLas t\u00e9cnicas para extraer valor de datos de acceso p\u00fablico surgen y evolucionan constantemente. La seguridad de los datos es una responsabilidad din\u00e1mica y la vigilancia es primordial\u201d, escriben tambi\u00e9n. \u00abDado que ninguna salvaguarda proteger\u00e1 adecuadamente contra todos los posibles da\u00f1os a la privacidad asociados con la extracci\u00f3n de datos, los SMC y otros sitios web deben implementar controles t\u00e9cnicos y de procedimiento de m\u00faltiples capas para mitigar los riesgos\u00bb.<\/p>\n
Las medidas recomendadas para limitar los riesgos de extracci\u00f3n de datos de los usuarios que se mencionan en la carta incluyen haber designado equipos\/roles internos centrados en los riesgos de extracci\u00f3n de datos; ‘limitar la tasa’ del n\u00famero de visitas por hora o d\u00eda de una cuenta a otros perfiles de cuenta y limitar el acceso si se detecta actividad inusual; y monitorear la rapidez y agresividad con la que una nueva cuenta comienza a buscar otros usuarios y a tomar medidas para responder a una actividad anormal.<\/p>\n
Tambi\u00e9n sugieren que las plataformas tomen medidas para detectar raspadores mediante la identificaci\u00f3n de patrones en la actividad de los bots, como tener sistemas para detectar actividades sospechosas en direcciones IP.<\/p>\n
Otra recomendaci\u00f3n es tomar medidas para detectar bots, como implementar CAPTCHA y bloquear la direcci\u00f3n IP donde se identifica la actividad de extracci\u00f3n de datos (aunque los bots pueden resolver CAPTCHA, por lo que ese consejo ya parece obsoleto).<\/p>\n
Otras medidas recomendadas son que las plataformas tomen las acciones legales apropiadas contra los scrapers, como el env\u00edo de cartas de ‘cese y desista’; exigir la eliminaci\u00f3n de informaci\u00f3n eliminada; obtener confirmaci\u00f3n de la eliminaci\u00f3n; y tomar otras acciones legales para hacer cumplir los t\u00e9rminos y condiciones que proh\u00edben la extracci\u00f3n de datos.<\/p>\n
Las plataformas tambi\u00e9n pueden tener el requisito de notificar a las personas afectadas y a los reguladores de privacidad seg\u00fan las leyes existentes sobre violaci\u00f3n de datos, advierten los organismos de control.<\/p>\n
Se anima a los gigantes de las redes sociales a quienes se envi\u00f3 una copia de la carta a que respondan con comentarios dentro de un mes que demuestren c\u00f3mo cumplir\u00e1n con las expectativas de los reguladores.<\/p>\n
La carta tambi\u00e9n incluye algunos consejos para que las personas tomen medidas para ayudar a protegerse contra los riesgos del scraping, incluida la sugerencia de que los usuarios de la web presten atenci\u00f3n a las pol\u00edticas de privacidad de las plataformas; pensar detenidamente sobre lo que eligen compartir en l\u00ednea; y hacer uso de cualquier configuraci\u00f3n que les permita controlar la visibilidad de sus publicaciones.<\/p>\n
\u00abEn \u00faltima instancia, animamos a las personas a pensar a largo plazo\u00bb, a\u00f1aden. \u201c\u00bfC\u00f3mo se sentir\u00eda una persona a\u00f1os despu\u00e9s acerca de la informaci\u00f3n que comparte hoy? Si bien los SMC y otros sitios web pueden ofrecer herramientas para eliminar u ocultar informaci\u00f3n, esa misma informaci\u00f3n puede vivir para siempre en la web si ha sido indexada o eliminada y luego compartida\u201d.<\/p>\n
La carta tambi\u00e9n insta a las personas que est\u00e9n preocupadas de que sus datos hayan sido extra\u00eddos \u201cilegalmente o indebidamente\u201d a que se comuniquen con la plataforma o sitio web en cuesti\u00f3n y, si no obtienen una respuesta satisfactoria, les sugiere que presenten una queja ante la autoridad de protecci\u00f3n de datos correspondiente. Por lo tanto, los reguladores est\u00e1n alentando a los usuarios a estar m\u00e1s atentos al scraping, lo que, en \u00faltima instancia, podr\u00eda conducir a un aumento en las investigaciones y controles en esta \u00e1rea.<\/p>\n
La docena de reguladores internacionales que firman la declaraci\u00f3n conjunta provienen todos de mercados fuera de la Uni\u00f3n Europea. Pero, como se se\u00f1al\u00f3 anteriormente, los reguladores de protecci\u00f3n de datos de la UE ya est\u00e1n activos en los riesgos de extracci\u00f3n de datos a trav\u00e9s de medidas adoptadas en virtud del RGPD del bloque.<\/p>\n
Tambi\u00e9n est\u00e1n siguiendo de cerca la evoluci\u00f3n de los servicios de inteligencia artificial generativa, por lo que las preocupaciones planteadas en la carta parecen en general alineadas con cuestiones que ya est\u00e1n en el radar de las autoridades de protecci\u00f3n de datos del bloque.<\/p>\n
En particular, el organismo de control de la privacidad de Italia impuso a ChatGPT una orden local de detenci\u00f3n de procesamiento a principios de este a\u00f1o, lo que provoc\u00f3 una breve interrupci\u00f3n del servicio mientras OpenAI se apresuraba con divulgaciones y controles. El chatbot Bard AI de Google tard\u00f3 m\u00e1s en lanzarse en la UE que en otras regiones despu\u00e9s de que su principal regulador de privacidad de la UE en Irlanda planteara preocupaciones similares. Pero las DPA de la UE est\u00e1n coordinando simult\u00e1neamente la mejor manera de aplicar las normas locales de protecci\u00f3n de datos a estos novedosos chatbots de IA, incluso en lo que respecta a la cuesti\u00f3n crucial de la legalidad del procesamiento de datos utilizado para entrenar los modelos a la luz del marco del RGPD. Por lo tanto, las decisiones sobre la legalidad fundamental de herramientas como ChatGPT siguen pendientes en la UE.<\/p>\n
A principios de este a\u00f1o, la DPA de Francia, la CNIL, tambi\u00e9n advirti\u00f3 que la protecci\u00f3n contra el robo de datos ser\u00e1 un elemento clave de un plan de acci\u00f3n de IA que anunci\u00f3 en mayo.<\/p>\n<\/p><\/div>\n