Cuando se lanzó OpenAI GPT-3 en julio de 2020, ofreció un vistazo de los datos utilizados para entrenar el modelo de lenguaje grande. Millones de páginas extraídas de la web, publicaciones de Reddit, libros y más se utilizan para crear el sistema de texto generativo, según un documento técnico. En estos datos se recoge parte de la información personal que comparte sobre usted en línea. Estos datos ahora están causando problemas a OpenAI.
El 31 de marzo, el regulador de datos de Italia emitió una decisión de emergencia temporal exigiendo que OpenAI deje de usar la información personal de millones de italianos que está incluida en sus datos de capacitación. Según el regulador, Garante per la Protezione dei Dati Personali, OpenAI no tiene el derecho legal de usar la información personal de las personas en ChatGPT. En respuesta, OpenAI ha impedido que las personas en Italia accedan a su chatbot mientras brinda respuestas a los funcionarios, que están investigando más a fondo.
La acción es la primera tomada contra ChatGPT por un regulador occidental y destaca las tensiones de privacidad en torno a la creación de modelos de IA generativos gigantes, que a menudo se entrenan en grandes extensiones de datos de Internet. Así como los artistas y las empresas de medios se han quejado de que los desarrolladores de IA generativa han usado su trabajo sin permiso, el regulador de datos ahora dice lo mismo para la información personal de las personas.
Decisiones similares podrían seguir en toda Europa. En los días transcurridos desde que Italia anunció su investigación, los reguladores de datos en Francia, Alemania e Irlanda se pusieron en contacto con Garante para solicitar más información sobre sus hallazgos. “Si el modelo de negocio ha sido simplemente buscar en Internet todo lo que se pueda encontrar, entonces podría haber un problema realmente importante aquí”, dice Tobias Judin, jefe internacional de la autoridad de protección de datos de Noruega, que está monitoreando los desarrollos. Judin agrega que si un modelo se basa en datos que pueden recopilarse ilegalmente, plantea dudas sobre si alguien puede usar las herramientas legalmente.
El golpe de Italia a OpenAI también se produce cuando el escrutinio de los grandes modelos de IA aumenta constantemente. El 29 de marzo, los líderes tecnológicos pidieron una pausa en el desarrollo de sistemas como ChatGPT, por temor a sus implicaciones futuras. Judin dice que la decisión italiana destaca preocupaciones más inmediatas. “Esencialmente, estamos viendo que el desarrollo de IA hasta la fecha podría tener una gran deficiencia”, dice Judin.
El trabajo italiano
Las reglas europeas de GDPR, que cubren la forma en que las organizaciones recopilan, almacenan y usan los datos personales de las personas, protegen los datos de más de 400 millones de personas en todo el continente. Estos datos personales pueden ser cualquier cosa, desde el nombre de una persona hasta su dirección IP; si se pueden usar para identificar a alguien, pueden contar como su información personal. A diferencia del mosaico de reglas de privacidad a nivel estatal en los Estados Unidos, las protecciones de GDPR se aplican si la información de las personas está disponible en línea de forma gratuita. En resumen: el hecho de que la información de alguien sea pública no significa que pueda aspirarla y hacer lo que quiera con ella.
Garante de Italia cree que ChatGPT tiene cuatro problemas bajo GDPR: OpenAI no tiene controles de edad para evitar que las personas menores de 13 años usen el sistema de generación de texto; puede proporcionar información sobre personas que no es precisa; y a las personas no se les ha dicho que sus datos fueron recopilados. Quizás lo más importante es que su cuarto argumento afirma que «no existe una base legal» para recopilar información personal de las personas en las oleadas masivas de datos que se utilizan para entrenar a ChatGPT.
“Los italianos han descubierto su farol”, dice Lilian Edwards, profesora de derecho, innovación y sociedad en la Universidad de Newcastle en el Reino Unido. «Parecía bastante evidente en la UE que se trataba de una violación de la ley de protección de datos».