Skip to main content

Zabía-Abogados

El EDPS pone de manifiesto que la “Shadow AI” puede convertir el uso no autorizado de herramientas de IA en una compañía en una brecha de seguridad

El EDPS ha expuesto (a través de un artículo en su página web, al que puede acceder aquí) cuáles son los posibles riesgos de la denominada “Shadow AI” o “IA en la sombra”. El organismo europeo indica que, si bien los sistemas de Inteligencia Artificial están facilitando el desarrollo tecnológico de las compañías, el uso de herramientas “en la sombra” no autorizadas por las entidades (como, por ejemplo, chatbots, asistentes de programación o transcriptores de reuniones) puede tener graves consecuencias (filtraciones de datos, etc.), ya que su utilización al margen de los procedimientos corporativos puede permitir sortear los controles de seguridad y las garantías de protección de datos establecidos por las organizaciones.

El EDPS advierte de que la introducción de información personal en estas herramientas no autorizadas y desconocidas por las propias entidades puede suponer una posterior ausencia de control sobre la base jurídica que legitima el tratamiento, los periodos de conservación, la posible realización de transferencias internacionales o la reutilización de los datos para el entrenamiento de la propia herramienta de IA. Y ello es así, puesto que, una vez que se introduce la información en dichos sistemas, resulta muy complejo controlar su destino.

También destaca que este tipo de herramientas generan una serie de inseguridades técnicas, por cuanto escapan al control de las entidades, que desconocen cómo dichas herramientas están configuradas.

Con la finalidad de mitigar estos riesgos, el EDPS recomienda adoptar un enfoque proactivo y práctico en lugar de limitarse a prohibir estas herramientas o ignorar su existencia, adoptando e implementando políticas claras de uso autorizado de sistemas de IA. Estos protocolos internos deben complementarse con controles técnicos y con medidas de supervisión que incluyan, entre otros, el bloqueo de dominios asociados a herramientas no autorizadas, sistemas de alertas que permitan evitar la fuga de datos o la implantación de restricciones a la instalación de software de IA no autorizado por la compañía.

Tal y como indica el organismo europeo, estas medida de seguridad no bastan por sí solas, sino que se debe lograr una mayor concienciación de los empleados mediante la realización de formaciones periódicas que permitan garantizar que los trabajadores comprenden los riesgos reales asociados al uso de herramientas de IA no autorizadas por la entidad. 

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido