El EDPS ha expuesto (a través de un artículo en su página web, al que puede acceder aquí) cuáles son los posibles riesgos de la denominada “Shadow AI” o “IA en la sombra”. El organismo europeo indica que, si bien los sistemas de Inteligencia Artificial están facilitando el desarrollo tecnológico de las compañías, el uso de herramientas “en la sombra” no autorizadas por las entidades (como, por ejemplo, chatbots, asistentes de programación o transcriptores de reuniones) puede tener graves consecuencias (filtraciones de datos, etc.), ya que su utilización al margen de los procedimientos corporativos puede permitir sortear los controles de seguridad y las garantías de protección de datos establecidos por las organizaciones.
El EDPS advierte de que la introducción de información personal en estas herramientas no autorizadas y desconocidas por las propias entidades puede suponer una posterior ausencia de control sobre la base jurídica que legitima el tratamiento, los periodos de conservación, la posible realización de transferencias internacionales o la reutilización de los datos para el entrenamiento de la propia herramienta de IA. Y ello es así, puesto que, una vez que se introduce la información en dichos sistemas, resulta muy complejo controlar su destino.
También destaca que este tipo de herramientas generan una serie de inseguridades técnicas, por cuanto escapan al control de las entidades, que desconocen cómo dichas herramientas están configuradas.
Con la finalidad de mitigar estos riesgos, el EDPS recomienda adoptar un enfoque proactivo y práctico en lugar de limitarse a prohibir estas herramientas o ignorar su existencia, adoptando e implementando políticas claras de uso autorizado de sistemas de IA. Estos protocolos internos deben complementarse con controles técnicos y con medidas de supervisión que incluyan, entre otros, el bloqueo de dominios asociados a herramientas no autorizadas, sistemas de alertas que permitan evitar la fuga de datos o la implantación de restricciones a la instalación de software de IA no autorizado por la compañía.
Tal y como indica el organismo europeo, estas medida de seguridad no bastan por sí solas, sino que se debe lograr una mayor concienciación de los empleados mediante la realización de formaciones periódicas que permitan garantizar que los trabajadores comprenden los riesgos reales asociados al uso de herramientas de IA no autorizadas por la entidad.

