Violaciones de las leyes de protección de datos personales
La autoridad italiana de protección de datos, la Garante, ha impuesto una multa de 15 millones de euros (unos 15,6 millones de dólares) a la empresa estadounidense OpenAI, desarrolladora de ChatGPT, a raíz de numerosas infracciones del Reglamento General de Protección de Datos (RGPD) que salieron a la luz durante una investigación en profundidad.
La investigación se inició en marzo de 2023, tras una grave violación de datos y numerosas denuncias de usuarios. La infracción principal consistió en el uso de datos personales sin el consentimiento de los usuarios para entrenar el modelo de lenguaje ChatGPT, en contra de los requisitos básicos de la legislación europea sobre transparencia y legalidad del tratamiento de datos.
Falta de transparencia y fuga de información
Según el Supervisor, OpenAI no proporcionó a los usuarios información clara sobre cómo se procesaban, almacenaban y utilizaban sus datos. Además, la organización no notificó a las autoridades italianas las violaciones de datos que se habían producido en el año anterior, tal como exige el artículo 33 del RGPD, que obliga a notificar estos incidentes en un plazo de 72 horas.
Vulnerabilidad de los menores
Otro aspecto importante de las denuncias se refiere a la falta de un sistema fiable para verificar la edad de los usuarios. Como consecuencia, los menores podían acceder libremente a ChatGPT y a contenidos inapropiados para su edad. Esto suponía una amenaza potencial para niños y adolescentes, violando además las normas europeas.
Campaña informativa obligatoria
Además de la multa, el Garante ordenó a OpenAI realizar una campaña informativa a gran escala en Italia en un plazo de seis meses. El objetivo es explicar a los ciudadanos cómo funciona ChatGPT, qué datos se utilizan y cuáles son los derechos de los usuarios: supresión, rectificación, limitación u oposición al tratamiento de datos.
Respuesta de OpenAI y posible apelación
En respuesta a la decisión del Garante italiano, OpenAI manifestó su desacuerdo con las conclusiones y consideró la sanción excesiva y desproporcionada. Los representantes de la compañía hicieron hincapié en su respeto a las leyes locales y en su intención de mantener una comunicación abierta con las autoridades reguladoras de los países en los que operan.
OpenAI también añadió que se reserva el derecho de impugnar la decisión ante los tribunales, utilizando todos los medios permitidos por la ley. La compañía expresó su voluntad de continuar el diálogo con la Autoridad de Protección de Datos italiana, al tiempo que señaló que la implementación de tecnologías como ChatGPT conlleva inevitablemente algunos retos, especialmente en el contexto del rápido desarrollo de la inteligencia artificial.
Al mismo tiempo, OpenAI ha asegurado que mejorará los procesos de tratamiento de datos y tendrá en cuenta las recomendaciones de las autoridades supervisoras europeas para responder mejor a las normativas locales y a las expectativas de los usuarios.
Impacto en la industria de la IA en Europa
Este caso podría sentar un precedente importante para otros países de la UE que estén considerando la regulación de la IA. Demuestra claramente lo crucial que es respetar los principios de transparencia, legalidad y protección de los derechos de los usuarios en el ámbito de las nuevas tecnologías.
La decisión del Garante italiano podría espolear a otros Estados a endurecer las normas sobre tratamiento de datos e introducir requisitos adicionales para los servicios de IA. La creciente atención a plataformas como ChatGPT es comprensible, sobre todo teniendo en cuenta su amplio uso en la educación, los negocios, los medios de comunicación e incluso la administración pública.
Los expertos creen que el desarrollo de la inteligencia artificial en Europa irá acompañado no solo de innovaciones técnicas, sino también de la creación de un marco normativo claro destinado a proteger los intereses de los usuarios y a garantizar el uso ético de los sistemas inteligentes.
La decisión del Garante italiano podría servir de acicate para que otros Estados endurezcan sus normas sobre el tratamiento de datos e introduzcan requisitos para los servicios de IA.
