A estas alturas todo el mundo debe saber qué es ChatGPT. A ChatGPT ya le dedicamos una nota aquí explicando en qué consistía y qué exactamente puede hacer este bot conversacional. Este sistema de inteligencia artificial ha conseguido revolucionar muchos y muy diversos sectores profesionales, al tener la capacidad de responder prácticamente a cualquier consulta. Como no podía ser de otra manera, también ha causado un gran impacto en el sector legal, y, más concretamente, la protección de datos personales. Tan ha sido así que, en Italia, la autoridad de protección de datos, el Garante Per la Protezione dei Dati Personali (GPDP), ha abierto una investigación a OpenAI, la empresa estadounidense propietaria de ChatGPT.
El GPDP inició una investigación de protección de datos sobre el modelo de lenguaje ChatGPT, motivada por la preocupación de que la plataforma pudiera estar violando la normativa europea sobre privacidad y protección de datos, al recopilar información personal del usuario sin su consentimiento, tal y como exige el Reglamento General de Protección de Datos europeo (RGPD).
Así, el GPDP, a través de la resolución de 30 de marzo de 2023, afirmó que “no se proporciona ninguna información a los usuarios ni a los interesados cuyos datos han sido recopilados por OpenAI, L.L.C, y procesados a través del servicio de ChatGPT”.
El GPDP comienza su resolución indicando lo siguiente:
“TOMANDO NOTA de las numerosas informaciones aparecidas en los medios de comunicación sobre el funcionamiento del servicio ChatGPT;
CONSTATANDO, de la comprobación efectuada al respecto, que no se facilita información alguna a los usuarios ni a los interesados cuyos datos hayan sido recabados por OpenAI, L.L.C y tratados a través del servicio ChatGPT;
OBSERVANDO la ausencia de una base jurídica adecuada en relación con la recogida de datos personales y su tratamiento con el fin de entrenar los algoritmos subyacentes al funcionamiento de ChatGPT;
OBSERVÓ que el tratamiento de los datos personales de los interesados es inexacto, ya que la información facilitada por ChatGPT no siempre se corresponde con los datos reales;
OBSERVÓ, por otra parte, la ausencia de verificación de la edad de los usuarios en relación con el servicio ChatGPT que, según las condiciones publicadas por OpenAI L.L.C, está reservado a mayores de 13 años;
CONSIDERANDO que la ausencia de filtros para los menores de 13 años les expone a respuestas totalmente inapropiadas en relación con su grado de desarrollo y autoconocimiento;
CONSIDERANDO, por tanto, que, en la situación expuesta, el tratamiento de los datos personales de los usuarios, incluidos los menores de edad, y de los interesados cuyos datos utiliza el servicio infringe los artículos 5, 6, 8, 13 y 25 del Reglamento;
CONSIDERANDO, por tanto, la necesidad de ordenar, de conformidad con el artículo 58, apartado 2, letra f), del Reglamento -con carácter urgente y a la espera de que concluya la investigación preliminar necesaria en relación con las cuestiones que han surgido hasta la fecha en relación con OpenAI L.L.C., la empresa estadounidense que desarrolla y explota ChatGPT, la medida de restricción provisional del tratamiento”
En consecuencia, el 30 de marzo de 2023 Italia prohibió, con efectos inmediatos, el uso de ChatGPT en su país, por considerar que OpenAI infringe el RGPD.
Al día siguiente, el 31 de marzo de 2023, el GPDP anunciaba que OpenAI debía notificar al GPDP dentro el plazo de 20 días qué medidas iba a aplicar para cumplir con la normativa europea de protección de datos, o, de lo contrario, se enfrentaba a una multa de hasta 20 millones de euros o del 4% de su volumen de negocios anual a escala mundial.
El 4 de abril de 2023 el GPDP anunciaba en su página web que estaba prevista una videollamada el día 5 de abril de 2023 entre los representantes de OpenAI y el GPDP con el fin de lograr una solución que permita superar los puntos críticos señalados por el GPDP en su resolución de 30 de marzo.
El 11 de abril de 2023 el GPDP publicó una nueva resolución relativa a OpenAI. En este caso, se ponía de manifiesto que, a la luz de la información adquirida por OpenAI y de la voluntad mostrada por dicha empresa de poner en marcha una serie de medidas concretas para proteger los derechos y libertades de los interesados, el GPDP iba a proceder a reevaluar la subsistencia de los presupuestos de la medida cautelar de restricción de ChatGPT en Italia, siempre que OpenAI implementara las siguientes medidas específicas:
- Elaborar y publicar en su sitio web un aviso en el que se explique a los interesados cuyos datos han sido recogidos y tratados con fines de información de algoritmos, los métodos del tratamiento, la lógica subyacente al tratamiento y sus derechos como interesados.
- Poner a disposición en su sitio web a los interesados que se conecten desde Italia una herramienta a través de la cual puedan ejercer su derecho a oponerse al tratamiento de sus datos personales.
- Poner a disposición en su sitio web a los interesados que se conecten desde Italia una herramienta a través de la cual puedan solicitar y obtener la rectificación de los datos personales que les conciernan y que hayan sido tratados de forma inexacta en la generación de contenidos o la supresión de sus datos personales, si la rectificación no fuera posible.
- Incluir un enlace al aviso dirigido a los usuarios de sus servicios para que los usuarios que se conecten desde Italia puedan leer dicho aviso.
- Modificación de la base jurídica del tratamiento de datos personales de los usuarios con fines de formación de algoritmos, eliminando cualquier referencia al contrato y asumiendo como base jurídica del tratamiento el consentimiento o el interés legítimo, en relación con las evaluaciones de la empresa, en una lógica rendición de cuentas.
- Poner a disposición en su sitio web a los usuarios que se conecten desde Italia una herramienta de fácil acceso a través de la cual puedan ejercer su derecho de oposición al tratamiento de sus datos.
- Si se activa el servicio de ChatGPT en Italia, insertar una solicitud para que todos los usuarios que se conecten desde Italia pasen un control de edad que excluya a los menores de edad.
Todos estos puntos debían cumplirse por OpenAI antes del día 30 de abril de 2023. Una vez cumplidos todos estos puntos, se reanudaría el uso de ChatGPT en Italia.
Además, el GPDP exigió a OpenAI que la empresa debía presentar antes del 31 de mayo de 2023 un plan para la adopción de las herramientas de verificación de la edad adecuadas para excluir el servicio de ChatGPT a los usuarios menores de 13 años. De la misma forma, el GPDP requería a OpenAI para que promueva, antes del 15 de mayo de 2023, una campaña informativa, de carácter no promocional, en todos los principales medios de comunicación italianos, cuyo contenido se acordará con el propio GPDP, con el fin de informar a las personas de que sus datos personales son susceptibles de ser recogidos con fines de formación y entrenamiento en algoritmos.
¿Qué está ocurriendo en Europa?
El 28 de abril de 2023 el GPDP hacía público en su página web que OpenAI ya había rectificado y tomado en cuenta varios de los puntos exigidos en la resolución de 11 de abril, de forma que se reestablecía el servicio de ChatGPT en Italia con mayor transparencia y derechos para sus usuarios.
Concretamente, OpenAI envió una carta al GPDP donde explicaba que había ampliado la información a usuarios europeos, que había modificado y aclarado varios mecanismos y desplegado soluciones para permitir a los usuarios ejercer sus derechos en materia de protección de datos.
La autoridad italiana acogió con satisfacción las medidas aplicadas y pidió a la empresa OpenAI que cumpliera con la petición adicional de establecer un sistema de verificación de la edad y la realización de la campaña informativa para informar a los ciudadanos italianos de lo sucedido.
El propio consejero delegado de OpenAI, Sam Altman, ha reconocido ante el comité del Senado estadounidense, el pasado 16 de mayo de 2023, todas las posibilidades y también los escollos de la inteligencia artificial, pidiendo a los legisladores estadounidenses que regulen la inteligencia artificial y admitiendo que empresas como OpenAI deban someterse a auditorías independientes.
Italia ha sido la primera en reivindicar el cumplimiento del RGPD por parte de OpenAI para los usuarios de ChatGPT, mas no la única. A la iniciativa de investigar el uso que hace OpenAI de los datos de los usuarios de ChatGPT se han sumado también España, Alemania y Francia, si bien no han ido tan lejos y no han bloqueado, por el momento, el uso de ChatGPT en sus países.
No obstante, el comisario federal de la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (la Autoridad de Protección de Datos Alemana), Ulrich Kelber, declaró al periódico alemán Handelsblatt que podría bloquear ChatGPT en Alemania y que estaban iniciado las investigaciones correspondientes para ver si OpenAI cumple o no con la normativa sobre protección de datos alemana y europea.
Kelber declaró que Alemania había pedido a Italia que le facilitara más detalles sobre su decisión de prohibir ChatGPT. Señaló que “en principio, tal acción también es posible en Alemania”, pero no dio a conocer más información sobre cómo y cuándo podría tener lugar tal medida.
En Francia, a raíz de lo sucedido en Italia, el pasado 16 de mayo de 2023, la Commission Nationale Informatique & Libertés (CNIL) publicó un plan de acción para el despliegue de sistemas de IA que respeten la privacidad de las personas. Además, la CNIL también anunció a principios de abril que está investigando varias quejas sobre ChatGPT, después de que el chatbot fuera prohibido temporalmente en Italia.
En España, la Agencia Española de Protección de Datos (AEPD) presentó a inicios de abril del 2023 una solicitud ante el Comité de Protección de Datos de la Unión Europea para que se incluyera el servicio ChatGPT como tema a abordar en su reunión plenaria, por considerar que los tratamientos globales que este servicio realiza pueden tener un importante impacto sobre los derechos de las personas.
La AEPD anunció, además, en una nota de prensa de 13 de abril de 2023, que ha iniciado, de oficio, actuaciones previas de investigación a la empresa OpenAI por un posible incumplimiento de la normativa sobre protección de datos personales.
Por su parte, la Red Iberoamericana de Protección de Datos (RIPD), un foro constituido por 16 autoridades de protección de datos de 12 países de la región cuyo objetivo es promover y garantizar el derecho fundamental a la protección de datos personales y cuya secretaría permanente ostenta la AEPD, ha anunciado que va a coordinar una acción sobre el servicio ChatGPT.
Así, todas las autoridades que componen la RIPD se han propuesto iniciar una labor de supervisión sobre dicho servicio en el ejercicio de sus competencias y coordinarán sus acciones en el marco de la Red por primera vez en su historia.
Este es un artículo elaborado por Ricardo Oliva León y Elena Almazán Salazar.
Contacte con los abogados de la inteligencia artificial fiable.