El caso canadiense llega después de que la Autoridad de Control italiana en materia de protección de datos ordenara el 31 de marzo la limitación temporal inmediata del procesamiento de los datos personales de los usuarios italianos de ChatGPT.
Canadá inicia una investigación del tratamiento de datos de ChatGPT: Protección de Datos España no descarta hacer lo mismo
|
06/4/2023 00:45
|
Actualizado: 07/4/2023 12:50
|
La Oficina del comisario de Privacidad de Canadá ha anunciado la apertura de una nueva investigación sobre el tratamiento y uso y comunicación de datos sin el consentimiento de los usuarios del sistema de inteligencia artificial ChatGPT, desarrollado por la empresa OpenAI.
Se trata del último caso de acciones al respecto después de que se notificara el 20 de marzo de una brecha de seguridad que hizo visibles los datos personales de los usuarios en las sesiones de terceros.
La Agencia Española de Protección de Datos (AEPD) ha manifestado que no descarta una investigación de oficio al respecto, aunque no ha recibido una reclamación contra el ‘chatbot’ como la que dio inicio a los procedimientos en el país norteamericano.
El caso canadiense llega después de que la Autoridad de Control italiana en materia de protección de datos ordenara el 31 de marzo la limitación temporal inmediata del procesamiento de los datos personales de los usuarios italianos por parte de OpenAI, iniciando a su vez su propia investigación y concediéndole 20 días a la empresa para que acredite las medidas aplicadas para cumplir la orden.
Si no cumplen, se les impondrá una multa de hasta 20 millones de euros o el 4 % del volumen de negocios anual total en todo el mundo.
Desde Italia señalan que no parece haber una base legal que sustente la recopilación y el procesamiento masivos de datos personales para «entrenar» los algoritmos en los que se basa la plataforma.
Otro argumento es la falta de mecanismos de verificación de edad en la página, dirigida a usuarios mayores de 13 años, por lo que el sistema corre el riesgo de exponer a los menores de edad a recibir respuestas inapropiadas para su edad.
«Debemos estar atentos a las otras autoridades de control, pues la DPA irlandesa y la francesa se han comunicado con la italiana para obtener más información acerca de la limitación impuesta por esta y a los efectos de coordinar posibles acciones sobre OpenAI, y Alemania podría seguir el mismo camino que Italia», indica Gerard Espuga Torné, abogado especialista en derecho digital y socio del despacho Beta Legal.
Espuga señala que «el riesgo para los usuarios es patente y se hace manifiesto en la falta de transparencia en la parca información facilitada por parte de OpenAI» y que los términos y condiciones de ChatGPT ayudan a ilustrar el problema.
Estos términos rezan: «OpenAI le asigna todos sus derechos, títulos e intereses en y para la salida. OpenAI puede usar el contenido según sea necesario para proporcionar y mantener los servicios, cumplir con la ley aplicable y hacer cumplir nuestras políticas. Usted es responsable del contenido, incluso de asegurarse de que no infrinja ninguna ley aplicable o estos términos».
El abogado explica que «por ‘contenido’ debe entenderse los datos de entrada y de salida, es decir, las preguntas y las respuestas, por lo que traslada toda la responsabilidad al usuario sobre el uso correcto de la información facilitada por el sistema». «Así, toda la información facilitada al sistema podrá ser usada para entrenar a sus algoritmos».
La aplicación del RGPD
Otra indicación de los términos y servicios es que «[eliminan] cualquier información de identificación personal de los datos que pretendemos utilizar para mejorar el rendimiento del modelo», pero Espuga cuestiona que esta supuesta eliminación de datos no abarque los que se puedan usar para otras finalidades.
«Si no quieres que tus datos de entrada se utilicen para entrenar el modelo, se debe enviar una solicitud por email, es decir, que hay un consentimiento predefinido al uso de los datos de entrada para esa finalidad», dice.
«El consentimiento, de conformidad con lo establecido en el Reglamento General de Protección de Datos (RGPD), no sería libre, salvo que la base de legitimación para entrenar la inteligencia artificial sea otra, como el interés legítimo y se opte, por tanto, por un derecho de oposición».
La política de privacidad de OpenAI avisa que recopila la información que se le proporciona para crear la cuenta y los datos de cualquier mensaje que se envíe, algo que no concuerda con los términos y condiciones, y a su vez combina esta información con la de navegación, como lo sería la del dispositivo, navegador e interacción del usuario, el código IP y cookies, así como la que pudiera encontrar en sus barridos de páginas, como redes sociales (RRSS).
Como apunta Espuga, el RGPD es aplicable por su ámbito de aplicación, incluso si OpenAI tiene su empresa en California (EEUU). «La política de privacidad [de ChatGPT] no especifica de donde provienen los datos de entrenamiento si bien es evidente que provienen de un “raspado” y extracción de datos de internet y RRSS, por lo que en cualquier caso habría que estar atento a las posibles consecuencias en materia de privacidad», dice.
Matiza estableciendo que, a partir de esto, «los modelos de entrenamiento podrían contener conjuntos masivos de datos personales debiendo contar, en su caso, para su tratamiento, con una base de legitimación (art. 6.1 RGPD) al reutilizar los datos para una finalidad distinta de la principal, en el caso de la normativa sobre protección de datos, derivándose también implicaciones en materia de propiedad intelectual, en cuanto al uso de obras de terceros para el entrenamiento de la IA a través de la minería de texto y datos».
Por este motivo, «queda expedita la vía de interponer reclamación ante la DPA competente, en virtud de los múltiples incumplimientos que se detectan».
Noticias Relacionadas:
