Desde que el grupo de trabajo de protección de datos de la UE comenzó a investigar la aplicación del Reglamento General de Protección de Datos (RGPD) al popular chatbot de OpenAI, ChatGPT, ha habido mucha expectación. Las conclusiones preliminares de este grupo revelan una verdad incómoda: aún no hay claridad sobre la legalidad y la equidad del procesamiento de datos por parte de OpenAI.
Riesgos Potenciales y Sanciones
Las posibles sanciones por violaciones del RGPD pueden ser severas, llegando hasta el 4% de la facturación anual mundial. Además, las autoridades pueden ordenar que se detenga cualquier procesamiento que no cumpla con las normas. Esto coloca a OpenAI en una posición precaria, especialmente considerando la falta de leyes específicas para la IA en muchos países de la UE.
Inconsistencias y Quejas Crecientes
Sin una dirección clara de los encargados de la protección de datos de la UE, OpenAI puede sentir que tiene la libertad de continuar con sus operaciones habituales. Sin embargo, las quejas no cesan. Por ejemplo, la autoridad de protección de datos de Polonia inició una investigación tras recibir una queja sobre el chatbot inventando información sobre un individuo y negándose a corregir los errores. Una denuncia similar se presentó recientemente en Austria.
El Reglamento General de Protección de Datos y ChatGPT
El RGPD se aplica siempre que se recopilan y procesan datos personales, algo que los modelos de lenguaje como GPT de OpenAI hacen a gran escala. Esto incluye desviar publicaciones de redes sociales para entrenar sus modelos.
La Intervención Italiana y Sus Consecuencias
El año pasado, el organismo de control de la privacidad de Italia prohibió temporalmente el procesamiento de datos de usuarios locales de ChatGPT. Este movimiento obligó a OpenAI a realizar cambios significativos en su plataforma. Aunque ChatGPT reanudó sus operaciones en Italia, sigue bajo investigación y en una «nube legal» en la UE.
Las Bases Legales del Procesamiento de Datos
Bajo el RGPD, cualquier entidad que quiera procesar datos personales debe tener una base legal. OpenAI ha intentado justificar su procesamiento bajo la base de «intereses legítimos» (LI). Sin embargo, esta justificación está bajo escrutinio. Las autoridades italianas ya han indicado que OpenAI no puede alegar necesidad contractual para procesar datos.
La Prueba de Equilibrio y Salvaguardias
Para depender de LI, OpenAI debe demostrar que necesita procesar los datos y que el procesamiento es necesario. Además, debe realizar una prueba de equilibrio entre sus intereses y los derechos de los interesados. El grupo de trabajo sugiere implementar salvaguardias adecuadas, como medidas técnicas y criterios precisos de recopilación, para reducir los impactos sobre las personas.
Transparencia y Equidad
El informe del grupo de trabajo también destaca la necesidad de transparencia. OpenAI debe informar claramente a los usuarios que sus aportes pueden usarse para entrenamiento del modelo. Además, el informe aborda las ‘alucinaciones’ de ChatGPT, advirtiendo sobre la necesidad de cumplir con el principio de precisión de los datos del RGPD.
Derechos de los Interesados
Es crucial que las personas puedan ejercer fácilmente sus derechos sobre los datos. OpenAI actualmente ofrece bloquear la generación de información incorrecta, pero esto no es suficiente. El informe sugiere que la compañía debe implementar medidas para permitir a los usuarios corregir la información personal incorrecta generada sobre ellos.
El Futuro de la Aplicación del RGPD en ChatGPT
El grupo de trabajo de ChatGPT se creó con el objetivo de simplificar la aplicación de las normas de privacidad. Sin embargo, la diversidad de opiniones entre las autoridades de protección de datos (DPA) sobre la urgencia de actuar ante las preocupaciones sobre ChatGPT ha resultado en enfoques diferentes.
La Estrategia de OpenAI en la UE
OpenAI ha establecido una operación en Irlanda, nombrando a su nueva entidad irlandesa como proveedor regional de servicios como ChatGPT. Esto le permite aprovechar el mecanismo de «One-Stop Shop» del RGPD, centralizando la supervisión regulatoria en Irlanda. Esta estrategia parece estar dando sus frutos, ya que Irlanda es conocida por su enfoque favorable a las empresas en la aplicación del RGPD.
Conclusión
El informe preliminar del grupo de trabajo de la UE sobre ChatGPT revela que la batalla legal sobre la privacidad y la IA está lejos de terminar. OpenAI enfrenta desafíos significativos en términos de cumplimiento del RGPD, y las decisiones futuras de las autoridades de protección de datos serán cruciales para determinar el rumbo de esta tecnología en la región.
Tabla: Desafíos de Cumplimiento del RGPD para OpenAI
| Desafío | Descripción |
|---|---|
| Base legal | Determinar una base legal válida para el procesamiento de datos personales. |
| Transparencia | Informar claramente a los usuarios sobre el uso de sus datos. |
| Derechos de los interesados | Permitir a los usuarios corregir información personal incorrecta. |
| Prueba de equilibrio | Realizar una prueba de equilibrio entre los intereses de OpenAI y los derechos de los usuarios. |
| Salvaguardias | Implementar medidas técnicas y criterios precisos de recopilación. |
Este informe preliminar es solo el comienzo de una serie de desafíos legales que OpenAI deberá enfrentar en su camino hacia el cumplimiento total del RGPD en la UE.
