Industria

Adónde van los datos de su empresa cuando utiliza AI: una respuesta clara para la junta directiva

Vincent Wahidi
Vincent Wahidi · 5 min de lectura
Adónde van los datos de su empresa cuando utiliza AI: una respuesta clara para la junta directiva

Cuando su equipo utiliza AI, sus datos van a dondequiera que se ejecute el modelo. Con un servicio público alojado (la versión para consumidores de un chatbot), las indicaciones y cualquier archivo que pegue viajan a los servidores del proveedor, y en los niveles de consumidores se pueden retener y usar para entrenar modelos futuros a menos que lo desactive. Con una implementación empresarial o privada, los datos permanecen dentro de un límite contratado. Se procesa para responder a su solicitud, no se conserva para capacitación y se puede vincular a centros de datos de la UE para su residencia. La única pregunta que decide su exposición es si el contrato dice que nuestras entradas y salidas nunca se utilizarán para entrenar los modelos del proveedor y dónde se almacenan físicamente. Consígalo por escrito y la mayoría de las preocupaciones a nivel de la junta directiva sobre la privacidad de los datos de AI se resolverán en adquisiciones ordinarias.

¿A dónde van realmente nuestros datos cuando usamos AI?

Depende de cuál de los tres patrones esté utilizando.

Un servicio público al consumidor envía su aviso por Internet al proveedor, genera una respuesta y la devuelve. En los niveles gratuitos y personales, ese contenido puede registrarse, revisarse por personas para comprobar su calidad y utilizarse en futuras capacitaciones, a menos que usted opte por no participar.

Un nivel empresarial o empresarial del mismo servicio envía datos al mismo tipo de infraestructura, pero bajo un contrato que normalmente prohíbe la capacitación sobre sus datos, limita la retención y ofrece una región para el almacenamiento.

Una implementación privada o autohospedada ejecuta el modelo dentro de su propia cuenta en la nube o en un inquilino dedicado. Los datos no traspasan ese límite en absoluto. Esta es la opción más controlada y normalmente la más cara de ejecutar.

La tecnología es similar en los tres. El contrato y la implementación, no el modelo, deciden dónde residen sus datos.

¿Qué significa entrenar con sus datos? ¿Debería preocuparse la junta directiva?

La capacitación sobre sus datos significa que el proveedor guarda sus indicaciones y cargas y las utiliza como ejemplos para mejorar el modelo que el resto del mundo también utiliza. La preocupación es doble. Una versión futura del modelo podría sacar a la luz fragmentos de información confidencial y su material confidencial ha dejado de estar bajo su control para un propósito que no pretendía.

Para un solo correo electrónico redactado, esto es poco en juego. Para contratos, registros de pacientes, nóminas, código fuente o cualquier cosa cubierta por GDPR o una cláusula de confidencialidad, es un problema real, porque el consentimiento y la limitación de propósito son deberes legales, no preferencias.

La respuesta no es prohibir AI. Se trata de encaminar el trabajo sensible a un nivel que contractualmente excluye la capacitación y la revisión humana. Los niveles empresariales de buena reputación hacen esto de forma predeterminada. Confírmalo en lugar de asumirlo.

¿Pueden nuestros datos permanecer en la UE? ¿Residencia equivale a cumplimiento?

Sí, la residencia está disponible, pero es más necesaria que suficiente.

La mayoría de los principales proveedores ofrecen ahora residencia de datos en la UE, lo que significa que los datos se procesan y almacenan en regiones europeas. Para una empresa que maneja datos personales europeos, esto elimina una de las preguntas más difíciles sobre GDPR, la base legal para la transferencia internacional, y se ubica naturalmente junto con las obligaciones que la Ley AI de la UE impone a las empresas que envían AI.

La residencia por sí sola no te hace cumplir. Aún necesita un acuerdo de procesamiento de datos, una base legal clara, límites de retención y un registro de qué sistemas tocan datos personales. La residencia responde dónde, no si se le permitió hacerlo. Trátelo como un control entre varios, no como la respuesta completa.

¿Qué debemos preguntarle a un proveedor de AI antes de firmar?

Una breve lista, por escrito, soluciona la mayor parte.

Pregunta Cómo suena una respuesta segura
¿Entrena sus modelos en nuestras entradas o salidas? No, no en datos de nivel empresarial, de forma predeterminada y en el contrato.
¿Cuánto tiempo se conservan nuestros datos? Un período breve establecido (a menudo de cero a 30 días para el seguimiento de abusos) que luego se elimina.
¿Dónde se procesan y almacenan nuestros datos? Una región nombrada, con residencia en la UE disponible.
¿La gente revisa nuestras indicaciones? Sólo con consentimiento, o nunca a nivel empresarial.
¿Firmarás un DPA y actuarás como procesador? Sí, con los subprocesadores enumerados.
¿Qué pasa con nuestros datos si nos vamos? Eliminado en un cronograma definido, con confirmación.

Si un proveedor no puede responderlas claramente, esa es en sí misma la respuesta. La misma disciplina que mantiene las alucinaciones fuera del proceso de documentos, saber exactamente lo que hace el sistema y demostrarlo, se aplica al destino de los datos. Decidir qué nivel se ajusta a cada tarea, y contratar la residencia en la UE y las cláusulas de no formación que necesita, forma parte de nuestro trabajo de consultoría AI.

La conclusión práctica para la junta directiva

No es necesario un informe técnico profundo para gobernar esto bien. Necesita saber qué nivel utiliza cada herramienta AI, si su contrato excluye la capacitación sobre sus datos, dónde se almacenan esos datos y quién es el propietario del acuerdo de procesamiento de datos. El trabajo sensible pertenece a una empresa o despliegue privado con residencia en la UE y una cláusula de no formación. El trabajo de bajo riesgo puede ubicarse en niveles más simples. Escriba el inventario, asígnele un propietario y vuelva a visitarlo cuando aparezca una nueva herramienta. La mayor parte del riesgo de datos del AI no es un problema tecnológico. Es un problema de adquisiciones y gobernanza que ya sabes cómo manejar.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Leer a continuación

Gobernanza AI para empresas medianas: la versión ligera que aún resiste

¿Tienes un problema que valga la pena resolver?

Cuéntanos qué estás construyendo o arreglando. Te responderemos en un día laborable con un siguiente paso claro.