El mundo de la inteligencia artificial sigue enfrentándose a retos en cuanto a la protección de datos y privacidad de sus usuarios. La Autoridad Garante para la Protección de Datos Personales de Italia (GPDP) ha impuesto un bloqueo temporal a ChatGPT, la conocida plataforma de inteligencia artificial desarrollada por OpenAI, hasta garantizar que cumpla con la normativa de privacidad europea.
El 20 de marzo de 2023, ChatGPT sufrió una brecha de datos que dejó expuestas las conversaciones de los usuarios y la información de pago de los suscriptores de su servicio “ChatGPT Plus”. Debido a ello, la autoridad italiana decidió investigar el caso y observó que ChatGPT presenta carencias en cuanto a la privacidad y protección de datos de sus usuarios.
Todo ello se desglosa en la Resolución de la GPDP núm. 112 del 30 de marzo de 2023, que ha sido hecho pública por la autoridad italiana y que ordena expresamente lo siguiente (traducción libre):
“De conformidad con el artículo 58, apartado 2, letra f), del Reglamento, ordena, con carácter de urgencia, contra OpenAI L.L.C., sociedad estadounidense que desarrolla y explota ChatGPT, en su condición de responsable del tratamiento de datos personales efectuado a través de dicha aplicación, la medida de restricción provisional del tratamiento de los datos personales de los interesados establecidos en el territorio italiano;”
Esta restricción provisional es una de las potestades que el Reglamento General de Protección de Datos (RGPD) atribuye a las autoridades de control de los Estados de la UE, las cuales, en base a lo especificado en el citado artículo 58.2.f), podrán “imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición”.
¿Por qué ha tomado esta decisión?
Una de las principales preocupaciones de la autoridad fue la falta de información adecuada a los usuarios y la ausencia de una base legal que justifique la recopilación y almacenamiento de grandes cantidades de datos personales, lo que supone una violación de los artículos 5, 6, 13 y 25 del RGPD. Asimismo, descubrieron que ChatGPT no siempre proporciona información precisa, lo que lleva a un tratamiento inexacto de los datos personales, contraviniendo el principio de exactitud del artículo 5.1.d) del RGPD.
Otro aspecto importante es que, aunque el servicio está dirigido a usuarios mayores de 13 años, no existe un sistema de verificación de edad, dejando a los menores expuestos a respuestas inadecuadas para su edad y desarrollo, lo cual incumple el artículo 8 del RGPD. OpenAI, que no tiene sede en la Unión Europea pero sí un representante en el Espacio Económico Europeo, tiene 20 días para comunicar las medidas adoptadas para cumplir con los requerimientos de la Autoridad Garante. De lo contrario, podría enfrentarse a una multa de hasta 20 millones de euros o hasta el 4% de su facturación anual global, según el artículo 83 del RGPD.
Este caso pone de manifiesto la importancia de que las empresas desarrolladoras de tecnología respeten las leyes y protejan la privacidad de sus usuarios, incluidos los menores. La inteligencia artificial continúa evolucionando, pero es fundamental abordar de manera efectiva las preocupaciones relacionadas con la protección de datos y la privacidad en todo momento. La decisión de la Autoridad Garante italiana de bloquear ChatGPT representa un toque de atención para que los desarrolladores de inteligencia artificial, y a cualquiera que implemente la IA en sus sistemas y proyectos, tomen las medidas necesarias para garantizar la protección de los usuarios y el cumplimiento de la legislación europea, la más exigente y protectora de derechos del mundo en esta materia.
¡Y ello que aún estamos a la espera de que se apruebe el anunciado Reglamento IA de la Unión Europea! Se avecinan tiempos apasionantes en la regulación de la inteligencia artificial en Europa.
Actualizado a 2-5-2023:
Según comunicación de la Autoridad Garante para la Protección de Datos Personales de Italia (GPDP), de 28 de abril de 2023, OpenAI ha reabierto la plataforma ChatGPT en Italia, garantizando mayor transparencia y derechos a usuarios y no usuarios europeos. La empresa ha implementado medidas para cumplir con las solicitudes de la GPDP, incluyendo información adicional y soluciones accesibles para que los usuarios ejerzan sus derechos. Entre las medidas tomadas, OpenAI ha publicado una política de privacidad, ampliado la información sobre el tratamiento de datos, reconocido el derecho a oponerse al uso de datos personales para entrenamiento de algoritmos con un formulario específico, introducido una pantalla de bienvenida informativa para Italia, entre otras medidas. La Autoridad Garante expresa satisfacción por las medidas adoptadas y espera que OpenAI continúe cumpliendo con las solicitudes adicionales, incluyendo la implementación de un sistema de verificación de edad y una campaña de comunicación para informar a los italianos sobre sus derechos.