Mientras que la mayor parte de Europa todavía estaba metida en la caja de selección de chocolates navideños a fines del mes pasado, OpenAI, el fabricante de ChatGPT, estaba ocupado enviando un correo electrónico con detalles de una próxima actualización de sus términos que parece destinada a reducir su riesgo regulatorio en la Unión Europea.
La tecnología del gigante de la inteligencia artificial ha sido objeto de escrutinio inicial en la región por el impacto de ChatGPT en la privacidad de las personas, con una serie de investigaciones abiertas sobre preocupaciones de protección de datos relacionadas con cómo el chatbot procesa la información de las personas y los datos que puede generar sobre individuos, incluso de los perros guardianes en Italia y Polonia. (La intervención de Italia incluso provocó una suspensión temporal de ChatGPT en el país hasta que OpenAI revisó la información y los controles que proporciona a los usuarios).
“Hemos cambiado el AbiertoAI entidad que proporciona servicios como ChatGPT a residentes del EEE y suizos a nuestra entidad irlandesa, AbiertoAI Ireland Limited”, escribió OpenAI en un correo electrónico a los usuarios enviado el 28 de diciembre.
Una actualización paralela de la Política de Privacidad de OpenAI para Europa estipula además:
Si vive en el Espacio Económico Europeo (EEE) o Suiza, OpenAI Ireland Limited, con domicilio social en 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlanda, es el responsable del tratamiento y es responsable del procesamiento de sus Datos personales como se describe en esta Política de Privacidad.
Los nuevos términos de uso que enumeran a su filial recientemente establecida con sede en Dublín como controlador de datos para los usuarios en el Espacio Económico Europeo (EEE) y Suiza, donde el Reglamento General de Protección de Datos (GDPR) del bloque está en vigor, comenzarán a aplicarse en febrero. 15 de 2024.
Se informa a los usuarios que si no están de acuerdo con los nuevos términos de OpenAI pueden eliminar su cuenta.
El mecanismo de ventanilla única (OSS) del RGPD permite a las empresas que procesan datos de europeos agilizar la supervisión de la privacidad bajo un único supervisor de datos ubicado en un Estado miembro de la UE, donde están «principalmente establecidos», como dice la jerga regulatoria. .
Obtener este estatus reduce efectivamente la capacidad de los organismos de control de la privacidad ubicados en otras partes del bloque para actuar unilateralmente ante las preocupaciones. En su lugar, normalmente remitirían las quejas al supervisor principal de la empresa principal para su consideración.
Otros reguladores del RGPD aún conservan poderes para intervenir localmente si ven riesgos urgentes. Pero este tipo de intervenciones suelen ser temporales. También son excepcionales por naturaleza, ya que la mayor parte de la supervisión del RGPD se canaliza a través de una autoridad principal. De ahí que el estatus haya resultado tan atractivo para las grandes empresas tecnológicas: permite a las plataformas más poderosas agilizar la supervisión de la privacidad de su procesamiento transfronterizo de datos personales.
Cuando se le preguntó si OpenAI está trabajando con el organismo de control de la privacidad de Irlanda para obtener el estatus de establecimiento principal para su entidad con sede en Dublín, bajo el OSS del GDPR, una portavoz de la Comisión Irlandesa de Protección de Datos (DPC) dijo a TechCrunch: «Puedo confirmar que Open AI se ha comprometido con la DPC y otras DPA de la UE [data protection authorities] en este asunto.»
También se contactó a OpenAI para hacer comentarios.
El gigante de la inteligencia artificial abrió una oficina en Dublín en septiembre, contratando inicialmente a un puñado de personal de políticas, asuntos legales y de privacidad, además de algunas funciones administrativas.
En el momento de escribir este artículo, sólo tiene cinco puestos vacantes con sede en Dublín de un total de 100 que figuran en su página de empleo, por lo que la contratación local todavía parece ser limitada. Una función líder en políticas y asociaciones de los Estados miembros de la UE con sede en Bruselas que también está contratando en este momento solicita a los solicitantes que especifiquen si están disponibles para trabajar desde la oficina de Dublín tres días a la semana. Pero la gran mayoría de las posiciones abiertas del gigante de la IA figuran como con sede en San Francisco/EE.UU.
Uno de los cinco puestos con sede en Dublín que OpenAI anuncia es el de ingeniero de software de privacidad. Los otros cuatro son para: director de cuentas, plataforma; especialista en nómina internacional; relaciones con los medios, Europa a la cabeza; e ingeniero de ventas.
Quién y cuántas contrataciones realiza OpenAI en Dublín serán relevantes para obtener el estatus de establecimiento principal según el RGPD, ya que no se trata simplemente de presentar algunos trámites legales y marcar una casilla para obtener el estatus. La empresa tendrá que convencer a los reguladores de privacidad del bloque de que la entidad con sede en los Estados miembros a la que nombra como legalmente responsable de los datos de los europeos es realmente capaz de influir en la toma de decisiones al respecto.
Eso significa contar con la experiencia y las estructuras legales adecuadas para ejercer influencia y aplicar controles de privacidad significativos a una empresa matriz estadounidense.
Dicho de otra manera, abrir una oficina principal en Dublín que simplemente apruebe las decisiones de productos que se toman en San Francisco no debería ser suficiente.
Dicho esto, OpenAI puede estar mirando con interés el ejemplo de X, la compañía anteriormente conocida como Twitter, que ha sacudido todo tipo de barcos después de un cambio de propietario en el otoño de 2022. Pero no ha logrado salir del OSS desde Elon Musk. asumió el control, a pesar de que el errático propietario multimillonario atacó con un hacha a la plantilla regional de X, expulsó a expertos relevantes y tomó lo que parecían ser decisiones de producto extremadamente unilaterales. (Entonces, bueno, imagínate).
Si OpenAI obtiene el estatus de principal establecimiento del RGPD en Irlanda, obteniendo la supervisión principal por parte del DPC irlandés, se uniría a empresas como Apple, Google, Meta, TikTok y X, por nombrar algunas de las multinacionales que han optado por establecer su hogar en la UE. Dublín.
Mientras tanto, el DPC sigue atrayendo críticas sustanciales por el ritmo y la cadencia de su supervisión del RGPD de los gigantes tecnológicos locales. Y aunque en los últimos años se han producido una serie de sanciones que acapararon los titulares a las grandes empresas tecnológicas que finalmente salieron de Irlanda, los críticos señalan que el regulador a menudo aboga por sanciones sustancialmente más bajas que sus pares. Otras críticas incluyen el ritmo glacial y/o la trayectoria inusual de las investigaciones de la DPC. O casos en los que decide no investigar una queja en absoluto, u opta por reformularla de manera que eluda la preocupación clave (sobre este último, consulte, por ejemplo, esta queja sobre tecnología publicitaria de Google).
Cualquier investigación GDPR existente sobre ChatGPT, como por parte de los reguladores en Italia y Polonia, aún puede tener consecuencias en términos de dar forma a la regulación regional del chatbot de IA generativa de OpenAI, ya que es probable que las investigaciones sigan su curso dado que se refieren al procesamiento de datos anterior a cualquier principal futuro. estatus de establecimiento que el gigante de la IA puede ganar. Pero no está tan claro cuánto impacto pueden tener.
Como repaso, el regulador de privacidad de Italia ha estado analizando una larga lista de preocupaciones sobre ChatGPT, incluida la base legal en la que se basa OpenAI para procesar los datos de las personas para entrenar sus IA. Mientras tanto, el organismo de control de Polonia abrió una investigación tras una queja detallada sobre ChatGPT, incluida cómo el robot de inteligencia artificial alucina (es decir, fabrica) datos personales.
En particular, la política de privacidad europea actualizada de OpenAI también incluye más detalles sobre las bases legales que afirma para procesar los datos de las personas, con una redacción nueva que expresa su afirmación de basarse en una base legal de intereses legítimos para procesar los datos de las personas para el entrenamiento del modelo de IA como «necesario para nuestros intereses legítimos y los de terceros y de la sociedad en general.» [emphasis ours].
Mientras que la política de privacidad actual de OpenAI contiene una línea mucho más seca sobre este elemento de su base legal alegada: “Nuestros intereses legítimos en proteger nuestros Servicios contra abuso, fraude o riesgos de seguridad, o en desarrollar, mejorar o promover nuestros Servicios, incluso cuando Entrenamos a nuestros modelos”.
Esto sugiere que OpenAI puede tener la intención de tratar de defender su vasta recopilación sin consentimiento de datos personales de los usuarios de Internet para generar ganancias generativas de IA ante los reguladores de privacidad europeos preocupados presentando algún tipo de argumento de interés público para la actividad, además de su propio argumento (comercial). intereses. Sin embargo, el RGPD tiene un conjunto estrictamente limitado de (seis) bases legales válidas para el procesamiento de datos personales; Los controladores de datos no pueden simplemente jugar a elegir y mezclar bits de esta lista para inventar su propia justificación a medida.
También vale la pena señalar que los organismos de control del RGPD ya han estado tratando de encontrar puntos en común sobre cómo abordar la complicada intersección entre la ley de protección de datos y las IA impulsadas por big data a través de un grupo de trabajo creado dentro de la Junta Europea de Protección de Datos el año pasado. Aunque queda por ver si del proceso surgirá algún consenso. Y dada la decisión de OpenAI de establecer una entidad legal en Dublín como controlador de los datos de los usuarios europeos ahora, en el futuro, Irlanda bien podría tener la voz decisiva en la dirección de los viajes en lo que respecta a la IA generativa y los derechos de privacidad.
Si Si el DPC se convirtiera en supervisor principal de OpenAI, tendría la capacidad de, por ejemplo, ralentizar el ritmo de cualquier aplicación del RGPD en la tecnología que avanza rápidamente.
Ya en abril pasado, a raíz de la intervención italiana en ChatGPT, la actual comisionada del DPC, Helen Dixon, advirtió contra los organismos de control de la privacidad que se apresuraban a prohibir la tecnología por preocupaciones sobre los datos, diciendo que los reguladores deberían tomarse tiempo para descubrir cómo hacer cumplir la protección de datos del bloque. Ley sobre IA.
Nota: Los usuarios del Reino Unido están excluidos del cambio de base legal de OpenAI a Irlanda, y la compañía especifica que están bajo el ámbito de su entidad corporativa con sede en Delware en EE. UU. (Desde el Brexit, el RGPD de la UE ya no se aplica en el Reino Unido; aunque conserva su propio RGPD del Reino Unido en la legislación nacional, una regulación de protección de datos que todavía se basa históricamente en el marco europeo, que cambiará a medida que el Reino Unido se aparte de las normas del bloque. estándar de oro en protección de datos a través del proyecto de ley de ‘reforma de datos’ que diluye los derechos y que actualmente se encuentra en trámite en el parlamento.)