La Memoria 2025 de la Agencia Española de Protección (AEPD) informa de que ha archivado las investigaciones iniciadas entre abril y mayo de 2023 contra OpenIA, empresa propietaria de ChatGPT, por presuntas vulneraciones de la normativa de protección de datos en el funcionamiento de la herramienta.
La AEPD se ha declarado incompetente tras una actualización en la política de privacidad en la empresa.
Por tanto, la Agencia pierde cualquier posibilidad de sancionar pecuniariamente por aprovecharse ChatGPT de los datos de personales de nuestro país para nutrir su base de datos.
Un cambio en la política de privacidad ha originado el archivo de la investigación
La herramienta de Inteligencia Artificial (IA) creada por OpenIA y un grupo de expertos en los que destaca Sam Altman y Elon Musk, estuvo en la mirada de la AEPD tras solicitar al Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) que se investigara.
La Agencia consideró que los tratamientos globales de datos podían tener un impacto sobre los derechos de las personas que requerían de acciones de armonizadas.
En este momento, OpenIA no tenía establecimiento principal en el Espacio Económico Europeo, por lo que la Agencia de cada país era competente a la vez para sancionar a la empresa por sus vulneraciones.
Sin embargo, el giro llega en febrero 2024, cuando la entidad OpenAI Ireland Limited actúa como responsable del tratamiento para los residentes en el Espacio Económico Europeo y Suiza, conforme a su política de privacidad actualizada.
En consecuencia, la AEPD dejó de ser competente para seguir la investigación y pasa a ser la Data Protection Commission (DPC) de Irlanda —el equivalente de la Agencia de Protección de Datos en aquel país— quienes pueden asumir de oficio las investigaciones para la supervisión de los tratamientos de datos personales efectuados por ChatGPT en Europa.
De este modo, la Agencia invoca el mecanismo de la ventanilla única, establecido en el artículo 56 del Reglamento General de Protección de Datos (RGPD), sobre la competencia de la autoridad del control principal en casos de tratamiento transfronterizo.
Este artículo determina que la autoridad de control del establecimiento principal o del único establecimiento del responsable del encargado del tratamiento será competente para actuar como autoridad de control principal.
Pero el archivo de las actuaciones no excluye a que la AEPD ejerza funciones de cooperación y asistencia mutua previstas en los artículos 56 y 60 del Reglamento General de Protección de Datos según la memoria de la AEPD.
