A OpenAI se le ha dicho que es sospechoso de violar la privacidad de la Unión Europea, luego de una investigación de varios meses de su chatbot de IA, ChatGPT, por parte de la autoridad de protección de datos de Italia.
Los detalles del borrador de las conclusiones de la autoridad italiana no han sido revelados. Pero el Garantia dijo hoy que OpenAI ha sido notificado y tiene 30 días para responder con una defensa contra las acusaciones.
Las infracciones confirmadas del régimen paneuropeo pueden acarrear multas de hasta 20 millones de euros, o hasta el 4% de la facturación anual mundial. Lo que resulta más incómodo para un gigante de la IA como OpenAI es que las autoridades de protección de datos (APD) pueden emitir órdenes que requieran cambios en la forma en que se procesan los datos para poner fin a las violaciones confirmadas. Por lo tanto, podría verse obligado a cambiar su forma de operar. O retirar su servicio de los Estados miembros de la UE donde las autoridades de privacidad buscan imponer cambios que no le gustan.
Se contactó a OpenAI para obtener una respuesta a la GarantiaNotificación de infracción. Actualizaremos este informe si envían una declaración.
Legalidad del entrenamiento del modelo de IA en el marco.
La autoridad italiana expresó su preocupación sobre el cumplimiento de OpenAI con el Reglamento General de Protección de Datos (GDPR) del bloque el año pasado, cuando ordenó una prohibición temporal del procesamiento de datos local de ChatGPT, lo que llevó a la suspensión temporal del chatbot de IA en el mercado.
El GarantiaLa disposición del 30 de marzo sobre OpenAI, también conocida como un “registro de medidas”, destacó tanto la falta de una base legal adecuada para la recopilación y el procesamiento de datos personales con el fin de entrenar los algoritmos subyacentes a ChatGPT; y la tendencia de la herramienta de IA a «alucinar» (es decir, su potencial para producir información inexacta sobre los individuos), como uno de los temas de preocupación en ese momento. También señaló que la seguridad infantil es un problema.
En total, la autoridad dijo que sospechaba que ChatGPT infringía los artículos 5, 6, 8, 13 y 25 del RGPD.
A pesar de identificar esta larga lista de presuntas violaciones, OpenAI pudo reanudar el servicio de ChatGPT en Italia relativamente rápido el año pasado, después de tomar medidas para abordar algunos problemas planteados por la DPA. Sin embargo, la autoridad italiana dijo que continuaría investigando las presuntas violaciones. Ahora se ha llegado a conclusiones preliminares de que la herramienta infringe la legislación de la UE.
Si bien la autoridad italiana aún no ha dicho cuál de las violaciones de ChatGPT previamente sospechadas está confirmada en esta etapa, la base legal que OpenAI afirma para procesar datos personales para entrenar sus modelos de IA parece un tema particularmente crucial.
Esto se debe a que ChatGPT se desarrolló utilizando grandes cantidades de datos extraídos de la Internet pública, información que incluye datos personales de individuos. Y el problema que enfrenta OpenAI en la Unión Europea es que el procesamiento de datos de personas de la UE requiere que tenga una base legal válida.
El RGPD enumera seis posibles bases legales, la mayoría de las cuales simplemente no son relevantes en su contexto. En abril pasado, OpenAI fue informado por el Garantia eliminar las referencias a la “ejecución de un contrato” para la capacitación del modelo ChatGPT, dejándolo con solo dos posibilidades: consentimiento o intereses legítimos.
Dado que el gigante de la IA nunca ha buscado obtener el consentimiento de los incontables millones (o incluso miles de millones) de usuarios de la web cuya información ha ingerido y procesado para la construcción de modelos de IA, cualquier intento de afirmar que contó con el permiso de los europeos para el procesamiento parecería condenado a fracasar. Y cuando OpenAI revisó su documentación después de la GarantiaLa intervención del año pasado parecía pretender basarse en una afirmación de interés legítimo. Sin embargo, esta base legal aún requiere que un procesador de datos permita a los interesados presentar una objeción y detener el procesamiento de su información.
Cómo OpenAI podría hacer esto en el contexto de su chatbot de IA es una pregunta abierta. (En teoría, podría requerir que retire y destruya los modelos entrenados ilegalmente y vuelva a entrenar nuevos modelos sin los datos del individuo que objeta en el grupo de entrenamiento, pero, suponiendo que pueda identificar todos los datos procesados ilegalmente individualmente, lo haría Necesito hacer eso con los datos de todas y cada una de las personas de la UE que se opusieron y que dijeron que se detuviera… Lo cual, bueno, suena caro.)
Más allá de esa espinosa cuestión, está la cuestión más amplia de si el Garantia finalmente concluirá que los intereses legítimos son incluso una base jurídica válida en este contexto.
Francamente, eso parece poco probable. Porque LI no es una batalla campal. Requiere que los procesadores de datos equilibren sus propios intereses con los derechos y libertades de las personas cuyos datos se procesan, y que consideren cosas como si las personas hubieran esperado este uso de sus datos; y la posibilidad de que les cause un daño injustificado. (Si no lo hubieran esperado y existen riesgos de tal daño, no se considerará que LI sea una base legal válida).
El tratamiento también debe ser necesario, no existiendo otro medio menos intrusivo para que el encargado del tratamiento pueda alcanzar su fin.
En particular, el tribunal superior de la UE ha determinado anteriormente que los intereses legítimos son una base inapropiada para que Meta lleve a cabo un seguimiento y elaboración de perfiles de personas para administrar su negocio de publicidad conductual en sus redes sociales. Por lo tanto, existe un gran signo de interrogación sobre la noción de otro tipo de gigante de la IA que busque justificar el procesamiento de datos de personas a gran escala para construir un negocio comercial de IA generativa, especialmente cuando las herramientas en cuestión generan todo tipo de riesgos novedosos para personas determinadas (desde desinformación y difamación hasta robo de identidad y fraude, por nombrar algunos).
Un portavoz de la Garantia confirmó que la base legal para procesar los datos de las personas para el entrenamiento de modelos permanece en la mezcla de lo que se sospecha que viola ChatGPT. Pero no confirmaron exactamente cuál (o más) artículo(s) sospechan que OpenAI ha violado en este momento.
El anuncio de hoy de la autoridad tampoco es todavía la última palabra, ya que también esperará recibir la respuesta de OpenAI antes de tomar una decisión final.
Aquí esta la garantia declaración (que hemos traducido del italiano usando AI):
[Italian Data Protection Authority] ha notificado a OpenAI, la empresa que gestiona la plataforma de inteligencia artificial ChatGPT, su escrito de oposición por violar la normativa de protección de datos.
Tras la orden de restricción provisional de tramitación, adoptada por el Garantia contra la empresa el 30 de marzo, y al resultado de la investigación preliminar realizada, la Autoridad consideró que los elementos adquiridos pueden constituir uno o más actos ilícitos con respecto a lo dispuesto en el Reglamento UE.
OpenAI tendrá 30 días para comunicar sus escritos de defensa sobre las supuestas violaciones.
Al definir el procedimiento, la Garantía tendrá en cuenta el trabajo en curso del grupo de trabajo especial creado por la Junta que reúne a las Autoridades de Protección de Datos de la UE (EDPB).
OpenAI también se enfrenta a un escrutinio por el cumplimiento del RGPD de ChatGPT en Polonia, tras una queja el verano pasado que se centra en una instancia en la que la herramienta produce información inexacta sobre una persona y la respuesta de OpenAI a ese denunciante. Esa investigación separada del RGPD sigue en curso.
Mientras tanto, OpenAI ha respondido al creciente riesgo regulatorio en toda la UE buscando establecer una base física en Irlanda; y anunciando, en enero, que esta entidad irlandesa sería el proveedor de servicios para los datos de los usuarios de la UE en el futuro.
Sus esperanzas con estas medidas serán obtener el estatus de «establecimiento principal» en Irlanda y pasar a que la Comisión de Protección de Datos de Irlanda dirija la evaluación de su cumplimiento del RGPD, a través del mecanismo de ventanilla única de la regulación, en lugar de (como ahora) ) su actividad puede estar sujeta a la supervisión de la APD desde cualquier lugar de la Unión en el que sus herramientas tengan usuarios locales.
Sin embargo, OpenAI aún no ha obtenido este estatus, por lo que ChatGPT aún podría enfrentar otras investigaciones por parte de DPA en otras partes de la UE. E, incluso si obtiene el estatus, la investigación y aplicación italiana continuarán ya que el procesamiento de datos en cuestión es anterior al cambio en su estructura de procesamiento.
Las autoridades de protección de datos del bloque han tratado de coordinar su supervisión de ChatGPT mediante la creación de un grupo de trabajo para considerar cómo se aplica el GDPR al chatbot, a través de la Junta Europea de Protección de Datos, como el GarantiaNotas de declaración. Ese esfuerzo (continuo) puede, en última instancia, producir resultados más armonizados en investigaciones discretas de ChatGPT GDPR, como las de Italia y Polonia.
Sin embargo, las autoridades siguen siendo independientes y competentes para tomar decisiones en sus propios mercados. Por lo tanto, tampoco hay garantías de que alguna de las investigaciones actuales de ChatGPT llegue a las mismas conclusiones.