0
0
Nesta entrevista da Help Net Security, Patricia Thaine, CEO da Private AI, analisa as principais preocupações com a privacidade ao usar o ChatGPT em um contexto de negócios, bem como os riscos que as empresas podem enfrentar se traírem a confiança dos clientes.
Thaine também discute as medidas que as empresas podem tomar para garantir que estão usando o ChatGPT de uma forma que respeite a privacidade do cliente e se alinhe com as leis de proteção de dados.
Quais são as principais preocupações de privacidade ao usar o ChatGPT em um contexto de negócios?
Ao usar o ChatGPT em um contexto de negócios, uma grande preocupação gira em torno do potencial compartilhamento de Informações de Identificação Pessoal (PII). Embora possa parecer conveniente inserir consultas de atendimento ao cliente na ferramenta e receber respostas personalizadas em segundos, esse processo envolve a transmissão de detalhes pessoais do cliente, como nomes, endereços e números de telefone, que podem até incluir informações confidenciais, como orientação sexual, para a OpenAI.
Embora o ChatGPT sem dúvida agilize a elaboração de respostas de e-mail, ele simultaneamente expõe PII a terceiros. Essa exposição pode representar riscos de violações de conformidade, privacidade do cliente e confidencialidade, aumentando o risco de violações de dados e acesso não autorizado.
Outra preocupação significativa com a privacidade envolve a salvaguarda de segredos comerciais. Por exemplo, se os funcionários carregarem código confidencial ou informações proprietárias para o ChatGPT, há a possibilidade de divulgação não intencional. Como modelos de IA generativa como o ChatGPT podem aprender com as entradas do usuário, o sistema pode inadvertidamente incluir dados proprietários em suas respostas geradas. Isso pode comprometer a vantagem competitiva de uma empresa, comprometer a propriedade intelectual ou violar acordos de confidencialidade.
Que riscos as empresas enfrentam em relação à conformidade com as leis de proteção de dados ao usar o ChatGPT?
O ChatGPT não está isento de leis de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e a Lei de Proteção à Privacidade do Consumidor (CPPA).
Muitas leis de proteção de dados exigem o consentimento explícito do usuário para a coleta e uso de dados pessoais. Por exemplo, o GDPR exige que as empresas obtenham consentimento para todas as atividades de processamento que envolvam dados pessoais dos usuários. Ao utilizar o ChatGPT e compartilhar informações pessoais com uma organização terceirizada como a OpenAI, as empresas abrem mão do controle sobre como esses dados são armazenados e usados. Essa falta de controle aumenta o risco de não cumprimento dos requisitos de consentimento e expõe as empresas a penalidades regulatórias e consequências legais.
Além disso, os titulares dos dados têm o direito de solicitar o apagamento de seus dados pessoais sob o “direito de ser esquecido” do GDPR. Ao usar o ChatGPT sem as devidas salvaguardas em vigor, as empresas perdem o controle de suas informações e não têm mais mecanismos em vigor para responder pronta e completamente a tais solicitações e excluir quaisquer dados pessoais associados ao titular dos dados. O não cumprimento dessas solicitações pode resultar em problemas de não conformidade e possíveis multas.
Além disso, as empresas devem considerar os riscos de segurança associados à utilização do ChatGPT. Incidentes como o bug que expôs o histórico de bate-papo dos usuários do ChatGPT destacam a importância da segurança dos dados e o impacto potencial na conformidade. As violações de dados não apenas comprometem a confidencialidade e a integridade dos dados pessoais, mas também podem levar a graves violações de conformidade e danos à reputação.
Que medidas as empresas podem tomar para garantir que estão usando o ChatGPT de uma forma que respeite a privacidade do cliente e esteja alinhada com as leis de proteção de dados?
Para garantir que as empresas estejam usando o ChatGPT de uma forma que esteja em conformidade e respeite a privacidade do cliente, aqui estão algumas diretrizes:
Fornecer treinamento abrangente aos funcionários: As empresas devem priorizar o treinamento de privacidade de dados para todos os funcionários que lidam com dados de usuários. Este treinamento deve abranger o uso seguro e legal de dados, incluindo considerações específicas relacionadas ao ChatGPT e suas preocupações com a privacidade.
Obter consentimento explícito do cliente: Antes de coletar qualquer Informação de Identificação Pessoal (PII) dos clientes e utilizá-la no ChatGPT, as empresas devem obter consentimento claro e explícito. Os clientes devem ser informados sobre a finalidade da coleta de dados, como seus dados serão usados e quaisquer terceiros envolvidos no processo. Oferecer aos clientes a opção de optar por não participar da coleta de dados também é crucial para respeitar suas preferências de privacidade.
Anonimize PII antes de processar: Para proteger a privacidade do cliente e minimizar o risco de violações de conformidade, as empresas devem implementar medidas precisas de minimização de dados. Isso envolve remover PII antes de alimentá-lo no ChatGPT. A minimização de dados é um requisito do GDPR pelo qual as empresas devem coletar e usar apenas as PII necessárias para realizar uma tarefa.
Além disso, sempre que possível, as empresas devem procurar anonimizar os dados e trazer especialistas para avaliar a robustez do processo de anonimização de seus dados, Ao remover identificadores pessoais de seus dados, as empresas podem limitar amplamente o risco de exposição às informações dos clientes, enquanto ainda se beneficiam dos insights gerados pelo modelo.
Revise e atualize regularmente as políticas de proteção de dados: É essencial que as empresas mantenham políticas de proteção de dados atualizadas que abordem explicitamente o uso de modelos de IA como o ChatGPT. Essas políticas devem abranger procedimentos de retenção e exclusão de dados, práticas de minimização de dados, planos de resposta a incidentes e diretrizes para lidar com consultas de clientes ou solicitações relacionadas à privacidade de dados. Revisões e atualizações regulares garantem que as políticas permaneçam alinhadas com a evolução das regulamentações de privacidade e das práticas recomendadas do setor.
Ao seguir essas etapas, as empresas podem demonstrar seu compromisso com a privacidade do cliente e mitigar os riscos associados ao uso do ChatGPT.
Qual é a importância de as empresas obterem o consentimento do cliente antes de coletar suas PII e colocá-las no ChatGPT?
Obter o consentimento do cliente antes de coletar suas PII e utilizá-lo com o ChatGPT é de extrema importância para as empresas, pois é exigido por uma série de regulamentos de proteção de dados em todo o mundo, incluindo o GDPR, que se aplica aos cidadãos da UE, independentemente de onde eles estejam no mundo. O não cumprimento pode resultar em multas substanciais, além de danos à reputação.
Outros requisitos selecionados dos regulamentos de proteção de dados incluem:
Direito ao esquecimento: Os regulamentos de proteção de dados também concedem aos usuários o direito de solicitar que todas as instâncias de suas informações de identificação pessoal sejam excluídas. As empresas devem ser capazes de responder pronta e adequadamente a essas solicitações, o que significa que precisam manter os dados dentro de suas organizações em ordem.
Minimização de dados: Os princípios de proteção de dados exigem que as empresas removam todas as PII desnecessárias dos dados que coletam. As empresas devem garantir que têm uma base legal válida para coletar e processar dados específicos, evitando a coleta desnecessária de PII e reduzindo os riscos de privacidade.
Pseudônimo ou anonimização: A pseudonimização envolve a substituição de informações de identificação de dados por espaços reservados que podem ser vinculados de volta aos dados originais, enquanto a anonimização garante que os dados não possam ser vinculados de volta a um indivíduo. A pseudonimização de dados sempre que possível é uma exigência do RGPD.
Como o uso de um gerador de PII sintético contribui para a privacidade de dados ao usar o ChatGPT?
As PII sintéticas substituem informações reais de identificação pessoal por informações sintéticas de identificação pessoal. Por exemplo, “Maria foi à loja” pode se tornar “Anna foi à loja.” ou “Meu número de conta está 894234” pode se tornar “Meu número de conta está 054274”
Ele ajuda na criação de dados de aparência mais natural para treinar LLMs, ao mesmo tempo em que torna possível manter a quantidade máxima do contexto original sem sacrificar a privacidade. Além disso, se alguma IPI for perdida e a PII que foi capturada for substituída por dados sintéticos, torna-se muito difícil distinguir entre os dados originais e os dados falsos.
Dito isso, descobrimos que substituir PII por marcadores como [NAME_1], [PHONE_NUMBER_1], etc. também permite maximizar a quantidade de contexto preservado e minimizar o risco de privacidade sem sacrificar a utilidade dos dados no momento da inferência (ou seja, após a resposta ao prompt).
FONTE: HELPNET SECURITY