El organismo de control de protección de datos de Italia ha explicado lo que debe hacer OpenAI para que levante una orden contra ChatGPT emitida a fines del mes pasado, cuando dijo que sospechaba que el servicio de chatbot de IA infringía el Reglamento General de Protección de Datos (RGPD) de la UE. y ordenó a la empresa con sede en EE. UU. que dejara de procesar los datos de los locales.
El RGPD de la UE se aplica cada vez que se procesan datos personales, y no hay duda de que los grandes modelos de lenguaje como GPT de OpenAI han extraído grandes cantidades de cosas de la Internet pública para entrenar sus modelos generativos de IA para que puedan responder de forma humana. como una forma de indicaciones de lenguaje natural.
OpenAI respondió a la orden de la autoridad de protección de datos italiana bloqueando rápidamente el acceso a ChatGPT. En una breve declaración pública, el CEO de OpenAI, Sam Altman, también tuiteó confirmación de que había dejado de ofrecer el servicio en Italia, haciéndolo junto con la advertencia habitual de Big Tech de que “piensa[s] Estamos siguiendo todas las leyes de privacidad”.
Evidentemente, Garante de Italia tiene una opinión diferente.
La versión corta de la nueva demanda de cumplimiento del regulador es la siguiente: OpenAI tendrá que ser transparente y publicar un aviso informativo que detalle su procesamiento de datos; debe adoptar de inmediato el control de edad para evitar que los menores accedan a la tecnología y pasar a medidas de verificación de edad más sólidas; necesita aclarar la base legal que reclama para procesar los datos de las personas para entrenar su IA (y no puede confiar en el cumplimiento de un contrato, lo que significa que tiene que elegir entre consentimiento o intereses legítimos); también tiene que proporcionar formas para que los usuarios (y los no usuarios) ejerzan sus derechos sobre sus datos personales, incluida la solicitud de correcciones de la desinformación generada sobre ellos por ChatGPT (o, de lo contrario, que se eliminen sus datos); también debe proporcionar a los usuarios la capacidad de oponerse al procesamiento de sus datos por parte de OpenAI para entrenar sus algoritmos; y debe realizar una campaña de concientización local para informar a los italianos que está procesando su información para capacitar a sus IA.
La DPA le ha dado a OpenAI una fecha límite, el 30 de abril, para hacer la mayor parte de eso. (La campaña de concientización de la radio local, la televisión y el Internet tiene un cronograma un poco más generoso del 15 de mayo para que se lleve a cabo).
También hay un poco más de tiempo para el requisito adicional de migrar de la tecnología de seguridad infantil de control de edad inmediatamente requerida (pero débil) a un sistema de verificación de edad más difícil de eludir. OpenAI tiene hasta el 31 de mayo para presentar un plan para implementar la tecnología de verificación de edad para filtrar a los usuarios menores de 13 años (y a los usuarios de 13 a 18 años que no hayan obtenido el consentimiento de los padres), con la fecha límite para tener establecido ese sistema más sólido. al 30 de septiembre.
En un comunicado de prensa que detalla lo que OpenAI debe hacer para levantar la suspensión temporal de ChatGPT, ordenada hace dos semanas cuando el regulador anunció que estaba comenzando una investigación formal de presuntas infracciones de GDPR, escribe:
OpenAI deberá cumplir antes del 30 de abril con las medidas establecidas por la SA italiana [supervisory authority] relativa a la transparencia, el derecho de los interesados (incluidos los usuarios y los no usuarios) y la base jurídica del tratamiento para la formación algorítmica basada en los datos de los usuarios. Solo en ese caso, la SA italiana levantará su orden que impuso una limitación temporal al procesamiento de los datos de los usuarios italianos, ya que ya no existe la urgencia que sustentaba la orden, por lo que ChatGPT estará disponible nuevamente desde Italia.
Entrando en más detalles sobre cada una de las “medidas concretas” requeridas, el DPA estipula que el aviso de información obligatorio debe describir “los arreglos y la lógica del procesamiento de datos requerido para la operación de ChatGPT junto con los derechos otorgados a los interesados (usuarios y no usuarios)”, agregando que “tendrá que ser de fácil acceso y estar colocado de manera que se pueda leer antes de registrarse en el servicio”.
A los usuarios de Italia se les debe presentar este aviso antes de registrarse y también confirmar que son mayores de 18 años, requiere además. Mientras que a los usuarios que se registraron antes de la orden de detener el procesamiento de datos de la DPA se les deberá mostrar el aviso cuando accedan al servicio reactivado y también se les deberá empujar a través de una barrera de edad para filtrar a los usuarios menores de edad.
Sobre la cuestión de la base legal adjunta al procesamiento de OpenAI de los datos de las personas para entrenar sus algoritmos, Garante ha reducido las opciones disponibles a dos: consentimiento o intereses legítimos, estipulando que debe eliminar de inmediato todas las referencias a la ejecución de un contrato “en línea con el [GDPR’s] principio de responsabilidad”. (La política de privacidad de OpenAI actualmente cita los tres motivos, pero parece apoyarse más en el desempeño de un contrato para proporcionar servicios como ChatGPT).
“Esto será sin perjuicio del ejercicio de los poderes de investigación y aplicación de la SA a este respecto”, agrega, y confirma que se abstiene de juzgar si los dos motivos restantes también pueden usarse legalmente para los fines de OpenAI.
Además, el RGPD proporciona a los interesados un conjunto de derechos de acceso, incluido el derecho a corregir o eliminar sus datos personales. Es por eso que el regulador italiano también ha exigido que OpenAI implemente herramientas para que los interesados, lo que significa tanto usuarios como no usuarios, puedan ejercer sus derechos y rectificar las falsedades que el chatbot genera sobre ellos. O, si se determina que corregir mentiras generadas por IA sobre personas nombradas es “técnicamente inviable”, la DPA estipula que la empresa debe proporcionar una forma de eliminar sus datos personales.
“OpenAI tendrá que poner a disposición herramientas de fácil acceso para permitir que los no usuarios ejerzan su derecho a oponerse al procesamiento de sus datos personales en los que se basa el funcionamiento de los algoritmos. El mismo derecho se tendrá que otorgar a los usuarios si se elige el interés legítimo como base legal para procesar sus datos”, agrega, refiriéndose a otro de los derechos que GDPR otorga a los interesados cuando se confía en el interés legítimo como base legal para el procesamiento. información personal.
Todas las medidas que Garante ha anunciado son contingencias, en base a sus preocupaciones preliminares. Y su comunicado de prensa señala que sus investigaciones formales —“para establecer posibles infracciones de la legislación”— continúan y podrían llevar a que decida tomar “medidas adicionales o diferentes si resulta necesario al completar el ejercicio de investigación en curso”. ”
Nos comunicamos con OpenAI para obtener una respuesta, pero la empresa no había respondido a nuestro correo electrónico en el momento de la publicación.
