Privacidad de datos de ChatGPT: ¿es realmente segura?

Cada vez que abres ChatGPT, es probable que estés compartiendo más de lo que crees.

Lo que plantea muchas preguntas: ¿Qué ocurre con los datos que le proporcionas? ¿Quién puede acceder a ellos? ¿Es seguro para uso empresarial?

Este artículo te revelará los riesgos reales para tu privacidad.

¿Cuál es la política de privacidad de ChatGPT?

La política de privacidad de OpenAI distingue primero algunas categorías de datos que maneja:

• Información del usuario / datos de la cuenta: Cuando te registras, OpenAI puede recopilar una dirección de correo electrónico, nombre e identificadores relacionados.
• Registros de indicaciones y respuestas: Las entradas que envías (tus indicaciones) y las salidas que recibes se registran. Estos registros de conversación se utilizan para operar el servicio, mejorar los modelos y detectar usos indebidos.
• Metadatos y datos de uso: Esto incluye marcas de tiempo, dirección IP, información del navegador, identificadores de dispositivo, patrones de uso de funciones y otras señales sobre cómo interactúas con la herramienta.
• Datos de terceros y proveedores de servicios: Para gestionar la infraestructura, los análisis o las integraciones, OpenAI puede compartir datos con proveedores o prestadores de servicios que colaboran con las operaciones.

¿Cuánto tiempo y bajo qué condiciones se retienen los datos?

OpenAI afirma que conserva la información personal y los registros de conversaciones solo durante el tiempo necesario para prestar el servicio o para cumplir con las obligaciones legales y comerciales.

También dispone de ciertos controles:

• Para usuarios de ChatGPT Free / Plus, puede excluirse de que sus chats se utilicen para entrenar modelos futuros a través de la configuración.
• OpenAI también ofrece «chats temporales» que no se utilizan para entrenar el modelo.
• Nota: los datos enviados a través de la API, ChatGPT Enterprise o cuentas de ChatGPT Team generalmente no se utilizan para el entrenamiento por defecto, a menos que se permita explícitamente.

Aun así, la «eliminación» tiene sus matices. En algunos casos, los datos de chat cuya eliminación se solicita permanecen almacenados durante un período de gracia, e incluso pueden conservarse bajo órdenes judiciales.!

Controles de privacidad y cumplimiento

OpenAI afirma varias salvaguardias y compromisos de privacidad:

• Cifrado: Los datos se cifran tanto en tránsito como en reposo, utilizando prácticas criptográficas modernas.
• Cumplimiento normativo: OpenAI apoya el cumplimiento de leyes como GDPR y CCPA, y proporciona un Anexo de procesamiento de datos (DPA) para los clientes.
• Uso compartido limitado: OpenAI afirma que no vende los datos de los usuarios a terceros.
• Controles de acceso internos: Solo el personal autorizado debe acceder a datos sensibles, bajo protocolos de auditoría y revisión.

Dicho esto, la política de OpenAI no está exenta de críticas: algunos reguladores argumentan que su implementación aún deja lagunas (especialmente bajo los estándares de la UE).

Derechos del usuario y transparencia

OpenAI incluye algunos mecanismos para dar a los usuarios más control sobre sus datos:

• Configuración de privacidad: Puedes desactivar el uso de datos de entrenamiento en la configuración (para planes compatibles).
• Solicitudes de eliminación de datos: Puedes solicitar a OpenAI que elimine los datos o historiales de tu cuenta, sujeto a las normas de retención y obligaciones legales.
• Transparencia: OpenAI promete ofrecer transparencia sobre cómo se utiliza tu información y actualizaciones de la política a lo largo del tiempo.

¿Es realmente seguro usar ChatGPT para tus datos?

Existen riesgos reales que debes comprender, especialmente si trabajas con clientes, contenido propietario o información sensible.

2.1 Exposición de datos en tránsito y almacenamiento

Cuando envías indicaciones y recibes respuestas, los datos viajan a través de redes. Si el cifrado o la infraestructura están mal configurados, existe la posibilidad de interceptación o fuga. En algunos análisis, se han señalado vulnerabilidades en las rutas de transmisión o en configuraciones erróneas de la infraestructura.

Incluso una vez que los datos llegan a los servidores de OpenAI, se almacenan (al menos temporalmente) para dar soporte al servicio, cumplir con la normativa y monitorear el abuso.

2.2 Fuga o memorización de información sensible

Dado que ChatGPT conserva los registros de indicaciones/respuestas, existe un riesgo teórico de que pueda reproducir o inferir fragmentos de datos de sesiones anteriores. Esto puede ocurrir especialmente cuando las indicaciones son muy similares o cuando el modelo se entrena con datos más amplios.

Algunos estudios advierten sobre técnicas de "fuga de privacidad", donde indicaciones maliciosamente elaboradas incitan al modelo a revelar información que ha visto.

2.3 Lagunas en las políticas y su aplicación

Las políticas de OpenAI permiten a los usuarios optar por que los registros de indicaciones/respuestas no se utilicen para el entrenamiento (en muchos planes), pero esto no siempre evita el acceso interno, la retención de registros para el monitoreo de abusos o las obligaciones legales.

Además, han surgido casos reales: por ejemplo, en Italia, la autoridad de protección de datos planteó que ChatGPT podría violar el GDPR en el manejo de los datos de los usuarios.

Entonces, ¿qué tan seguro es en la práctica?

El riesgo de ChatGPT es manejable en estos casos:

• Contenido público o no confidencial. Borradores de marketing, ideas genéricas, información pública son de bajo riesgo.

Pero al manejar datos empresariales o personales sensibles, ¡es mejor ser cauteloso!

Cómo usar ChatGPT para proteger tus datos

No tienes que dejar de usar ChatGPT si la privacidad te preocupa, solo necesitas usarlo de forma más deliberada.

3.1 Trata ChatGPT como un canal semipúblico

La regla más sencilla y contundente: no le introduzcas nada que no te arriesgarías a que se hiciera público. Evita introducir datos personales sensibles, información financiera de clientes, documentos de estrategia interna o código propietario. Como dice un sitio de consejos: «No le des a ChatGPT más información de la que necesitas».

Incluso redactar nombres o enmascarar identificadores ayuda. Sustituye los nombres reales, números o códigos de proyecto por marcadores de posición o seudónimos antes de pegarlos en un prompt.

3.2 Utiliza los controles y ajustes de privacidad en ChatGPT

OpenAI te ofrece herramientas para limitar el uso y la retención de datos. Utiliza esos controles.

• Desactiva el entrenamiento del modelo para tus chats: En los planes ChatGPT Free y Plus, puedes desactivar la opción «Mejorar el modelo para todos» en Configuración → Controles de datos. Esto evita que tus conversaciones se utilicen para el entrenamiento general del modelo.
• Utiliza el modo «Chat temporal». Cuando está activado, tu conversación no se guarda en tu historial de chat ni se utiliza para el entrenamiento.
• Solicita la eliminación. Puedes pedir a OpenAI que elimine los datos de tu cuenta o solicitar la eliminación de conversaciones específicas, sujeto a la política.

Incluso con estos ajustes, ten en cuenta que OpenAI retiene las conversaciones para la revisión de abusos o requisitos legales en muchos casos.

3.3 Utiliza un contexto mínimo y saneado

A menudo alimentamos a ChatGPT con grandes volúmenes de contexto (documentos completos, memorandos internos) asumiendo que ayudará. Pero eso aumenta la exposición.

• Envía solo lo necesario, reducido a la esencia del problema.
• Redacta o generaliza referencias internas, nombres o identificadores únicos.
• Divida las entradas grandes en fragmentos. Divida un prompt más grande en partes, sanee cada parte y combine solo las partes no sensibles.
• Evite el contexto de múltiples turnos que recrea enlaces ocultos. Si turnos anteriores incluyen notas sensibles, redactarlas más tarde podría no evitar la vinculación.

Esta práctica se basa en el principio de minimización de datos: comparta solo lo que el modelo realmente necesita.

IA Segura y Soberana: Noota

Noota ofrece un modelo para integrar las capacidades generativas con una infraestructura compatible que prioriza la privacidad.

• Residencia e infraestructura de datos en Europa : Noota aloja sus servicios en centros de datos de la UE (Francia, Bélgica, Países Bajos) y garantiza el aislamiento en todos los entornos (desarrollo/prueba/producción). Esto mantiene sus datos dentro de las jurisdicciones alineadas con el GDPR. 
• Cifrado y controles de acceso : Todos los datos (grabaciones, transcripciones, metadatos) se cifran tanto en tránsito (TLS) como en reposo (AES). El acceso a los datos está estrictamente controlado mediante permisos basados en funciones y protocolos de acceso auditados. 
• No uso de sus datos para el entrenamiento de modelos : A diferencia de muchas herramientas de IA que ingieren datos de usuarios para entrenar o refinar modelos, Noota afirma claramente que sí no utilice sus datos para entrenar modelos de IA generalizados. Sus datos permanecen bajo su control. 
• Configuración autohospedada: para empresas, puede solicitar configuraciones locales
• Controles granulares y modos de privacidad : Noota admite configuraciones como el modo «solo texto» (no se almacena audio/vídeo) y te permite personalizar los programas de retención (de días a años, por contrato) en función de tus necesidades de sensibilidad. 

¿Quieres usar una IA segura con privacidad? Prueba Noota gratis ahora.