Proteger los datos personales es solo una parte del problema cuando trabajás con inteligencia artificial. La otra cara, menos visible pero igual de crítica, tiene que ver con la propiedad intelectual y los secretos comerciales de tu empresa. Basta con que alguien de tu equipo pegue código propietario en un chatbot para que la lógica de negocio que llevó meses construir deje de ser completamente secreta [0:04]. No porque alguien la hackeó, sino porque alguien la compartió voluntariamente.
¿Cuál es la diferencia entre privacidad y propiedad intelectual?
La privacidad protege a las personas, mientras que la propiedad intelectual protege el valor del trabajo [0:42]. Si alguien publica tu dirección sin permiso, es un problema de privacidad. Si alguien copia tu código y lo vende, es propiedad intelectual. Pero en un sistema de IA pueden pasar las dos cosas al mismo tiempo. Por ejemplo, cuando alguien sube un roadmap confidencial que además incluye nombres de clientes, hay un problema doble [1:00].
El riesgo aparece en tres puntos concretos:
- Fuentes de datos: los modelos se entrenan con cantidades masivas de información proveniente de libros, artículos y código. Que algo esté en internet no significa que sea libre de usar [1:19].
- Inputs de entrenamiento: cuando ajustás un modelo con datos internos, los equipos suelen pegar informes, contratos y procesos. Muchas plataformas usan datos de chat para mejorar sus modelos, incluso por defecto [1:30].
- Salidas generadas: el modelo puede reproducir contenido con copyright. Es como un empleado que leyó un libro y después escribe algo copiándolo casi igual, sin darse cuenta [1:50].
¿Qué son los secretos comerciales y por qué se pierden?
Un secreto comercial es cualquier información que cumple tres condiciones: es secreta, tiene valor económico asociado y se tomaron medidas razonables para protegerla [2:04]. Ejemplos claros: código interno, roadmap, precios, listados de clientes e investigación.
Si no protegés activamente esa información, podés perder su protección legal. Incluso si la compartís en una herramienta externa sin control, un tribunal podría determinar que no hiciste lo suficiente para protegerla [2:25].
¿Cuáles son los puntos de fuga concretos?
Existen al menos cinco formas en las que la información se escapa:
- El prompt: escribirle al chat tu fórmula de precios es como decir la receta secreta en voz alta en un restaurante lleno [2:40].
- Archivos adjuntos: subir un dataset interno para analizarlo significa que ese archivo ahora vive en otro sistema [2:58].
- RAG (Retrieval Augmented Generation): si mezclás documentos con distintos niveles de acceso, la IA puede traer información que no corresponde [3:08].
- Datasets compartidos con terceros: nadie revisó y se fue información sensible [3:16].
- Cadena de subprocesadores: a veces hay humanos en otros países revisando conversaciones [3:21].
¿Cómo se controlan estos riesgos?
Cuatro controles fundamentales que deberías aplicar:
- Redacción antes del input: eliminá o enmascaré datos sensibles antes de enviarlos [3:33].
- Limitar alcance en RAG: un agente de soporte ve manuales públicos, no estrategia de precios [3:40].
- Menor privilegio: si una herramienta agenda reuniones, no necesita ver datos financieros [3:47].
- Desactivar el uso de datos para entrenamiento: muchos lo olvidan y es clave [3:52].
¿Qué filtros aplicar antes de compartir código con IA?
Cuando usás un asistente de código, considerá tres filtros [3:58]:
- Licencia: MIT o Apache están OK. GPL requiere cuidado. Sin licencia explícita, denegar.
- Permisos: si la persona no tiene acceso a ese código, no debería poder usarlo.
- Sensibilidad: claves de API, contraseñas o datos de cliente nunca se comparten.
Un test rápido antes de enviar algo a la IA [4:25]: ¿tiene datos personales? ¿Tiene contenido de terceros con restricciones? ¿Te sentirías cómodo si esto se publica mañana? Si alguna respuesta es no, no lo envíes. Tres segundos de duda pueden ahorrarte meses de problemas.
Por último, implementá trazabilidad para que todo dato tenga fuente, uso y responsable [4:44]. Un registro de fuente con campos como origen, propósito, sensibilidad, retención y restricciones evita usar datos para algo distinto de lo que fueron recolectados. Porque cuando algo falla, no responde el sistema, responde una persona [5:02].
¿Qué otras restricciones utilizan en tu empresa para proteger la propiedad intelectual? Dejalo en los comentarios.
