Unos días después de que OpenAI anunciara un conjunto de controles de privacidad para su chatbot generativo de IA, ChatGPT, el servicio volvió a estar disponible para los usuarios en Italia, resolviendo (por ahora) una suspensión regulatoria anticipada en uno de los 27 Estados miembros de la Unión Europea. incluso mientras continúa una investigación local de su cumplimiento con las reglas de protección de datos de la región.
En el momento de escribir este artículo, los usuarios web que navegan a ChatGPT desde una dirección IP italiana ya no reciben una notificación que les indica que el servicio está «deshabilitado para usuarios en Italia». En cambio, se encuentran con una nota que dice que OpenAI está «encantado de reanudar la oferta de ChatGPT en Italia».
La ventana emergente continúa estipulando que los usuarios deben confirmar que tienen más de 18 o 13 años con el consentimiento de un padre o tutor para usar el servicio, haciendo clic en un botón que dice «Cumplo con los requisitos de edad de OpenAI».
El texto de la notificación también llama la atención sobre la Política de privacidad de OpenAI y los enlaces a un artículo del centro de ayuda donde la empresa dice que proporciona información sobre «cómo desarrollamos y entrenamos ChatGPT».
Los cambios en la forma en que OpenAI presenta ChatGPT a los usuarios en Italia tienen como objetivo satisfacer un conjunto inicial de condiciones establecidas por la autoridad local de protección de datos (DPA) para que pueda reanudar el servicio con riesgo regulatorio administrado.
Resumen rápido de la historia de fondo aquí: a fines del mes pasado, Garante de Italia ordenó una orden de detención temporal del procesamiento en ChatGPT, diciendo que le preocupaba que los servicios infringieran las leyes de protección de datos de la UE. También abrió una investigación sobre las presuntas infracciones del Reglamento General de Protección de Datos (GDPR).
OpenAI respondió rápidamente a la intervención bloqueando geográficamente a los usuarios con direcciones IP italianas a principios de este mes.
La medida fue seguida, un par de semanas después, por la publicación de Garante de una lista de medidas que, según dijo, OpenAI debe implementar para que se levante la orden de suspensión a fines de abril, incluida la adición de restricciones de edad para evitar que los menores accedan al servicio. y modificar la base legal reclamada para el tratamiento de datos de usuarios locales.
El regulador enfrentó algunas críticas políticas en Italia y en otros lugares de Europa por la intervención. Aunque no es la única autoridad de protección de datos que plantea preocupaciones, y, a principios de este mes, los reguladores del bloque acordaron lanzar un grupo de trabajo centrado en ChatGPT con el objetivo de apoyar las investigaciones y la cooperación en cualquier aplicación.
En un comunicado de prensa emitido hoy anunciando la reanudación del servicio en Italia, Garante dijo que OpenAI le envió una carta que detalla las medidas implementadas en respuesta a la orden anterior, escribiendo: “OpenAI explicó que había ampliado la información a usuarios y no usuarios europeos. , que había modificado y aclarado varios mecanismos y desplegado soluciones flexibles para permitir a los usuarios y no usuarios ejercer sus derechos. Con base en estas mejoras, OpenAI restableció el acceso a ChatGPT para los usuarios italianos”.
Ampliando los pasos tomados por OpenAI con más detalle, la DPA dice que OpenAI amplió su política de privacidad y proporcionó a los usuarios y no usuarios más información sobre los datos personales que se procesan para entrenar sus algoritmos, incluida la estipulación de que todos tienen derecho a optar por no participar. de dicho procesamiento, lo que sugiere que la compañía ahora se basa en un reclamo de intereses legítimos como la base legal para procesar datos para entrenar sus algoritmos (ya que esa base requiere que ofrezca una opción de exclusión).
Además, Garante revela que OpenAI ha tomado medidas para proporcionar una forma para que los europeos soliciten que sus datos no se utilicen para entrenar la IA (las solicitudes se pueden realizar mediante un formulario en línea), y para proporcionarles «mecanismos». que se eliminen sus datos.
También le dijo al regulador que no puede corregir la falla de los chatbots que crean información falsa sobre personas nombradas en este momento. De ahí la introducción de “mecanismos que permitan a los interesados obtener la supresión de la información que se considere inexacta”.
Los usuarios europeos que deseen excluirse del procesamiento de sus datos personales para entrenar su IA también pueden hacerlo a través de un formulario que OpenAI ha puesto a disposición y que, según la DPA, «filtrará así sus chats e historial de chat de los datos utilizados para el entrenamiento». algoritmos”.
Entonces, la intervención de la DPA italiana ha resultado en algunos cambios notables en el nivel de control que ChatGPT ofrece a los europeos.
Dicho esto, aún no está claro si los ajustes que OpenAI se apresuró a implementar serán (o pueden) ir lo suficientemente lejos como para resolver todas las inquietudes de GDPR que se plantean.
Por ejemplo, no está claro si los datos personales de los italianos que se utilizaron para entrenar su modelo GPT históricamente, es decir, cuando extrajo datos públicos de Internet, se procesaron con una base legal válida o, de hecho, si los datos utilizados para entrenar modelos anteriormente se eliminará o se puede eliminar si los usuarios solicitan que se eliminen sus datos ahora.
La gran pregunta sigue siendo qué base legal tenía OpenAI para procesar la información de las personas en primer lugar, cuando la empresa no era tan abierta sobre los datos que usaba.
La empresa estadounidense parece tener la esperanza de atajar las objeciones que se han planteado sobre lo que ha estado haciendo con la información de los europeos proporcionando ahora algunos controles limitados, aplicados a los nuevos datos personales entrantes, con la esperanza de que esto aclare el problema más amplio de todos los datos personales regionales. el procesamiento se ha hecho históricamente.
Cuando se le preguntó acerca de los cambios implementados, un portavoz de OpenAI envió por correo electrónico a TechCrunch esta declaración resumida:
ChatGPT está disponible nuevamente para nuestros usuarios en Italia. Estamos emocionados de darles la bienvenida nuevamente y seguimos dedicados a proteger su privacidad. Hemos abordado o aclarado las cuestiones planteadas por Garante, entre ellas:
Agradecemos a Garante por su colaboración y esperamos con ansias los debates constructivos en curso.
En el artículo del centro de ayuda, OpenAI admite que procesó datos personales para entrenar a ChatGPT, al tiempo que intenta afirmar que en realidad no tenía la intención de hacerlo, pero que el material simplemente estaba tirado por ahí en Internet, o como dice: “Una gran cantidad de datos en Internet se relacionan con personas, por lo que nuestra información de capacitación incluye, por cierto, información personal. No buscamos activamente información personal para entrenar a nuestros modelos”.
Lo que se lee como un buen intento de eludir el requisito de GDPR de que tiene una base legal válida para procesar estos datos personales que encontró.
OpenAI amplía aún más su defensa en una sección (afirmativamente) titulada «¿Cómo cumple el desarrollo de ChatGPT con las leyes de privacidad?» — en el que sugiere que ha utilizado los datos de las personas de manera legal porque A) tenía la intención de que su chatbot fuera beneficioso; B) no tenía otra opción ya que se requerían muchos datos para construir la tecnología de IA; y C) afirma que no tuvo la intención de impactar negativamente a las personas.
“Por estas razones, basamos nuestra recopilación y uso de la información personal que se incluye en la información de capacitación en intereses legítimos de acuerdo con las leyes de privacidad como el RGPD”, también escribe, y agrega: “Para cumplir con nuestras obligaciones de cumplimiento, también hemos completado un evaluación de impacto de protección de datos para ayudar a garantizar que estamos recopilando y utilizando esta información de manera legal y responsable”.
Entonces, nuevamente, la defensa de OpenAI ante una acusación de violación de la ley de protección de datos se reduce esencialmente a: «¡Pero no quisimos decir nada malo, oficial!»
Su explicador también ofrece texto en negrita para enfatizar la afirmación de que no está utilizando estos datos para crear perfiles sobre individuos; contactarlos o hacerles publicidad; o tratar de venderles cualquier cosa. Ninguno de los cuales es relevante para la cuestión de si sus actividades de procesamiento de datos han violado el RGPD o no.
La DPA italiana nos confirmó que su investigación de ese tema destacado continúa.
En su actualización, Garante también señala que espera que OpenAI cumpla con las solicitudes adicionales establecidas en su orden del 11 de abril, señalando el requisito de que implemente un sistema de verificación de edad (para evitar de manera más sólida que los menores accedan al servicio); y llevar a cabo una campaña de información local para informar a los italianos sobre cómo ha estado procesando sus datos y su derecho a excluirse del procesamiento de sus datos personales para entrenar sus algoritmos.
“La SA italiana [supervisory authority] reconoce los avances de OpenAI para conciliar los avances tecnológicos con el respeto a los derechos de las personas y espera que la compañía continúe en su empeño por cumplir con la legislación europea de protección de datos”, añade, antes de subrayar que este es solo el primer paso en este baile reglamentario.
Ergo, todas las diversas afirmaciones de OpenAI de ser 100% de buena fe aún deben probarse de manera sólida.