MENÚ
Hay usuarios que, en lugar de ir a un médico, acuden a chatbots de IA generativa para obtener diagnósticos y respuestas rápidas y gratis sobre su salud. Lo hacen subiendo todo tipo de documentos e imágenes médicas a una IA como ChatGPT o Grok (como ha sugerido tantas veces su dueño, Elon Musk). Al hacerlo, dan datos sanitarios, sensibles y especialmente protegidos por el Reglamento General de Protección de Datos (RGPD) a compañías que recopilan esta información para entrenar sus modelos, entre otras cosas. Además, si estas empresas sufren accesos no autorizados o filtraciones, nuestra información también puede verse comprometida.
La recomendación de los expertos en ciberseguridad y protección de datos consultados por Maldita.es es no compartir nuestra información personal, incluidos nuestros datos sanitarios, con estos chatbots de IA. El RGPD y la Ley Europea de Inteligencia Artificial les exigen limitar el tratamiento de ellos y proteger la intimidad de los usuarios, pero las compañías no siempre dejan claro cómo almacenan o procesan esta información. La solución tampoco es usar chats temporales o eliminarlos; tampoco anonimizar nuestros documentos, ya que puede fallar.
Si ya hemos compartido nuestros datos sanitarios con una IA, podemos ejercer nuestro derecho a la supresión. Sin embargo, los expertos advierten de que es complicado eliminar y saber con certeza que un dato ha sido suprimido de un sistema de inteligencia artificial.
Nuestros datos sanitarios, sensibles y especialmente protegidos por el RGPD, pueden usarse para entrenar a los chatbots de IA o filtrarse si la empresa sufre un ciberataque
Desde octubre de 2024, Elon Musk, dueño de Twitter (ahora X), lleva animando a sus más de 219 millones de seguidores a usar Grok, la IA generativa de la red social, para subir documentos médicos y obtener diagnósticos que, según él, pueden ser “incluso mejor que lo que te dicen los médicos”. Sabemos que no es así: los chatbots de IA pueden cometer errores y sugerir tratamientos inadecuados. La Agencia Española de Protección de Datos (AEPD) recuerda a Maldita.es que hay que tener en cuenta que no hay garantías de que sus respuestas sean correctas: “Dependiendo del sistema, puede producir daño emocional, desinformación o inducir al engaño”.
Aún así algunos usuarios optan por usar este tipo de herramientas de IA para temas de salud. Por ejemplo, en Reddit podemos encontrar testimonios de usuarios que utilizan ChatGPT con estos fines. Incluso existen GPTs (versiones personalizadas del chatbot de OpenAI) que prometen ofrecer diagnósticos y orientación médica.
Además de los riesgos que suponen para la salud de las personas, usar chatbots de IA con estos fines también puede poner en peligro nuestra privacidad. Después de todo, los datos sanitarios, como diagnósticos o radiografías, se consideran información sensible y están especialmente protegidos por el artículo 9 del RGPD. Es decir, sólo está permitido el tratamiento de estos datos en determinados casos, como en asistencia sanitaria, y nadie puede acceder a ellos ni difundirlos a la ligera: tiene que haber una razón justificada para su uso.
Ernesto Serrano, ingeniero informático especializado en ciberseguridad y maldito que nos ha prestado sus superpoderes, advierte de que los datos médicos son “altamente sensibles” y compartirlos con un chatbot que no ha sido diseñado específicamente para manejarlos “puede suponer un riesgo alto”. Una preocupación en la que Samuel Parra, abogado experto en protección de datos, coincide: “Cuando compartimos un documento con un chatbot de IA, perdemos automáticamente el control de esa información”. El abogado explica a Maldita.es que no podemos tener certeza sobre lo que la empresa hará con nuestros datos, “menos aún si la empresa está en EEUU, donde las leyes de protección de datos son menos sensibles que en Europa” (como es el caso de xAI, dueña de Grok, y OpenAI, desarrolladora de ChatGPT).
Entre los usos que se pueden dar a nuestros datos sanitarios, está que se utilicen para entrenar a los mismos chatbots de IA. En sus políticas, ChatGPT y Grok indican que el contenido de los usuarios, como los documentos que comparten con los chatbots, pueden usarse para “mejorar” sus servicios. Además, no siempre está claro cómo se almacenan o procesan estos datos, por lo que “podrían ser retenidos o utilizados sin un control explícito por parte del usuario”, afirma Serrano.
Un riesgo del que también advierte Parra: “Nuestra información personal puede pasar a formar parte de la base de conocimiento de la IA, que eventualmente podría llegar a ser filtrada”. Además, si la plataforma es víctima de un ciberataque que comprometa los documentos compartidos por los usuarios, estos pueden terminar expuestos en internet, según el abogado. En sus políticas de privacidad, tanto ChatGPT como Grok dicen tomar las medidas necesarias para evitar estas situaciones, pero se escudan en que ninguna transmisión de información por internet “es completamente segura”. “Es una muy mala idea compartir datos médicos porque no sabemos qué podrán hacer con esos documentos o dónde podrán terminar”, concluye Parra.
Los chatbots de IA deben limitar el uso de estos datos y aplicar medidas concretas de protección de la intimidad para evitar su filtración
A pesar de las sugerencias de Musk, la Política de Privacidad de xAI pide explícitamente a los usuarios no compartir información personal, como datos sanitarios. También alertan de que no pueden controlar lo que le damos al chatbot, y que si compartimos datos personales, estos pueden ser “reproducidos” en sus resultados.
Considerando que estamos hablando de datos especialmente protegidos, ¿es esto legal? Parra dice que “en absoluto” y añade que tanto la normativa de protección de datos como la Ley Europea de Inteligencia Artificial obligan a los sistemas de IA a tomar medidas para proteger los datos de categorías especiales, como los relativos a la salud de las personas. Parra indica que “existe una obligación para los sistemas de IA de establecer limitaciones técnicas a la reutilización de esos datos, además de adoptar medidas concretas de protección de la intimidad”. El abogado añade que está prohibido que este tipo de datos se transmita a terceros.
Por su parte, la Ley Europea de Inteligencia Artificial, que regula los sistemas de IA que operan en la Unión Europea, clasificará algunos modelos generales como “modelos de IA general con riesgo sistémico” si suponen “cualquier efecto negativo real o razonablemente previsible” que produzca “consecuencias graves para la salud y la seguridad pública”, entre otros peligros. Los modelos catalogados de esta manera tendrán obligaciones adicionales, como incorporar medidas para reducir estos peligros cuando la sección entre en vigor en agosto de 2025.
Lo mejor es no compartir nuestros datos, pero si ya lo hemos hecho, podemos ejercer nuestro derecho a la supresión, aunque es difícil
Tanto Parra como Serrano coinciden: lo recomendable es no compartir información sensible con ningún chatbot y no subir nuestros datos médicos. También la AEPD indica a Maldita.es que la recomendación general es limitar los datos personales, propios y de terceros, que exponemos a estos chatbots de IA.
Si aún así queremos usarlos, el organismo recomienda que antes de hacerlo nos aseguremos de que ofrezcan una identificación clara y precisa sobre el responsable de tratamiento de datos y sobre cómo podemos ejercer nuestros derechos.
Tampoco hay trucos mágicos para subir nuestros datos de forma que no se vayan a utilizar para otros fines: los expertos consultados por Maldita.es afirman que ni navegar en incógnito, usar chats temporales o eliminar nuestras conversaciones evitará que nuestra información se use. La anonimización de nuestros datos también puede fallar, según Serrano, ya que “una IA podría encontrar patrones descriptivos y perfilar al usuario de igual forma”.
Si ya hemos compartido nuestros datos sanitarios, las opciones son limitadas. Parra explica que podemos ejercer nuestro derecho a la supresión (recogido en el artículo 17 del RGPD) para solicitar la eliminación de la información sanitaria compartida. Sin embargo, el abogado incide en que este proceso es complicado en el caso de los sistemas de IA. “Por un lado, no podemos tener la certeza de que efectivamente hayan eliminado esa información, y, por otro, es complicado que una información sea ‘suprimida’ como tal en un sistema de IA”, sostiene.
En este artículo ha colaborado con sus superpoderes el maldito Ernesto Serrano, ingeniero informático especializado en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
