Metadatos también son datos (personales)
La Bayerisches Landesamt für Datenshutzaufsicht (BayLDA), autoridad en materia de protección de datos de Baviera, publicó recientemente el Aktuelle Kurz-Information 55. Este documento aborda las implicaciones de la publicación de fotografías en el entrenamiento de modelos de inteligencia artificial. Leí el documento de la BayLDA gracias a una interesante entrada en LinkedIn de Gerard Espuga Torné, respetado compañero abogado, experto en privacidad y protección de datos, a quien no conozco personalmente pero sigo y leo a diario. Enlazo su post aquí. Es un verdadero privilegio coexistir con personas que tan generosamente comparten su conocimiento enriqueciendo nuestras mentes a diario.
Pues, tras una lectura detenida del Aktuelle de la BayLDA, quería compartir algunas reflexiones que me parecen importantes:
La BayLDA alerta sobre la creciente utilización de metadatos, en particular aquellos contenidos en formatos de archivos digitales como Exif (Exchangeable Image File Format), que se emplean en fotografías para el entrenamiento de modelos de inteligencia artificial. Los metadatos que acompañan las fotos que subimos a las redes sociales incluyen desde detalles técnicos básicos, como la hora de la toma y apertura del objetivo, hasta información más detallada. Como por ejemplo, la ubicación geográfica, la orientación de la cámara y hasta identificadores únicos del dispositivo que permiten un rastreo y reconocimiento de patrones de comportamiento.
Este tipo de metadatos permite que los sistemas de inteligencia artificial identifiquen y aprendan nuestros patrones con una precisión que excede lo deseable desde una perspectiva pura de la privacidad. Sobretodo porque si bien nuestros perfiles personales no son accesibles para el común de los mortales, sí lo son para las corporaciones que ya conocemos y que van a ver su poder incrementado más allá de las estrellas gracias a la IA.
Los metadatos de las fotografías, pueden contener suficiente información para identificar a una persona, ya sea directa o indirectamente. De eso nos advierte la BayLDA. Para ser más concretos, si la IA utiliza imágenes subidas a una red social y lee sus metadatos como rutina de entrenamiento, qué duda cabe que creará un perfil personal más que exacto, conociendo nuestra ubicación habitual, ya sea lugar de residencia, de trabajo, ocio o todo lo anterior y más. De ahí pasamos al reconocimiento de patrones conductuales y perfilado exhaustivo. Esto convierte a los metadatos de las fotografías, sin ningun tipo de duda, en datos personales según lo establecido en el artículo 4 del GDPR, y, por tanto, deben ser tratados con la misma protección rigurosa.
Minimización de riesgos asociados con los metadatos
Para mitigar los riesgos asociados con el tratamiento de metadatos, el Aktuelle Kurz-Information 55 sugiere varias estrategias prácticas:
Recomendado por LinkedIn
En primer lugar, la obvia precaución de eliminar los metadatos antes de subir fotografías a plataformas digitales. Puede que me anime a escribir un post detallado sobre cómo hacerlo. Mi amigo ChatGPT-4 me anima a utilizar herramientas específicas diseñadas para este ello, como Metapho, ViewExif, Photo Investigator, Exif Metadata y Pixea. No he usado personalmente estas aplicaciones, pero agradecería comentarios de quienes sí las hayan utilizado.
En segundo lugar, la BayLDA advierte que las organizaciones deberán implementar políticas claras para el tratamiento de metadatos. Estas políticas deben incluir revisiones regulares sobre qué metadatos se recopilan y con qué finalidad. Esta advertencia me ha dado qué pensar... La verdad es que da para varios post sobre consentimiento informado y tratamiento de metadatos.
La autoridad alemana destaca la complejidad de regular y gestionar el uso de metadatos en la actualidad. Y es que los desafíos son muchos, desde actualizar las leyes de protección de datos para abarcar nuevas tecnologías hasta implementar estas leyes de forma que protejan efectivamente los derechos de las personas sin sofocar la innovación a golpe de "advertencias pop-up" que, digámoslo claro, son un verdadero tedio y una sórdida estrategia para captar el requerido consentimiento expreso mediante puro agotamiento del usuario.
El Aktuelle Kurz-Information 55 incide en la importancia crítica de una gestión cuidadosa y consciente de los metadatos. Como DPO en ejercicio y funciones desde hace más de 15 días, reconozco que es nuestra responsabilidad velar para que estos metadatos sean tratados de conformidad con la legislación y también con un elevado estándar ético. Trabajar para asegurar que los avances tecnológicos se utilicen de manera respetuosa con nuestra integridad personal y colectiva. Es "la misión". Liderar el camino hacia prácticas más transparentes y seguras.
La discusión no termina aquí; seguiremos explorando y debatiendo para que nuestra comunidad permanezca a la vanguardia en la defensa de la privacidad en este futuro que nos aguarda, envuelto de incógnita, misterio y que será lo que será gracias o por culpa de la IA. En nuestras manos está preservar la ética.
Compañer@s, se nos gira faena.
#ProtecciónDeDatos #PrivacidadDigital #Metadatos #InteligenciaArtificial #GDPR #SeguridadInformática #Tecnología #InnovaciónDigital #DerechoDigital #DPO