Imagine iniciar sesión en su herramienta comercial más valiosa cuando llegue al trabajo, solo para ser recibido por esto:

“ChatGPT deshabilitado para usuarios en Italia

Estimado cliente de ChatGPT,

Lamentamos informarle que hemos deshabilitado ChatGPT para los usuarios en Italia a pedido de Italian Garante”.

OpenAI entregó este mensaje a los usuarios italianos como resultado de una investigación realizada por Garante per la protezione dei dati personali (Garante para la protección de datos personales). El Garante cita violaciones específicas de la siguiente manera:

• OpenAI no informó adecuadamente a los usuarios que recopiló datos personales.
• OpenAI no proporcionó una razón legal para recopilar información personal para entrenar su algoritmo.
• ChatGPT procesa la información personal de manera inexacta sin el uso de hechos reales.
• OpenAI no requería que los usuarios verificaran su edad, aunque el contenido que genera ChatGPT está destinado a usuarios mayores de 13 años y requiere el consentimiento de los padres para los menores de 18.

Efectivamente, todo un país perdió el acceso a una tecnología altamente utilizada porque a su gobierno le preocupa que otro país esté manejando datos personales de manera inadecuada, y que la tecnología no sea segura para las audiencias más jóvenes.

Diletta De Cicco, consejera de privacidad de datos, ciberseguridad y activos digitales con sede en Milán con Squire Patton Boggs, señaló:

“Como era de esperar, la decisión de Garante se conoció justo después de que una filtración de datos afectara las conversaciones de los usuarios y los datos proporcionados a OpenAI.

También llega en un momento en el que las IA generativas se abren paso entre el público en general a un ritmo acelerado (y no solo las adoptan los usuarios expertos en tecnología).

Algo más sorprendente, mientras que el comunicado de prensa italiano se refiere al reciente incidente de violación, no hay ninguna referencia a eso en la decisión italiana para justificar la prohibición temporal, que se basa en: la inexactitud de los datos, la falta de información para los usuarios y las personas en verificación general de la edad faltante para los niños y falta de base legal para los datos de capacitación”.

Aunque OpenAI LLC opera en los Estados Unidos, debe cumplir con el Código de Protección de Datos Personales italiano porque maneja y almacena la información personal de los usuarios en Italia.

El Código de Protección de Datos Personales fue la ley principal de Italia en materia de protección de datos privados hasta que la Unión Europea promulgó el Reglamento General de Protección de Datos (RGPD) en 2018. La ley de Italia se actualizó para que coincida con el RGPD.

¿Qué es el RGPD?

El RGPD se introdujo en un esfuerzo por proteger la privacidad de la información personal en la UE. Las organizaciones y empresas que operan en la UE deben cumplir con las regulaciones de GDPR sobre manejo, almacenamiento y uso de datos personales.

Si una organización o empresa necesita manejar la información personal de un usuario italiano, debe cumplir tanto con el Código italiano de protección de datos personales como con el RGPD.

¿Cómo podría ChatGPT infringir las reglas del RGPD?

Si OpenAI no puede probar su caso contra el italiano Garante, puede generar un escrutinio adicional por violar las pautas de GDPR relacionadas con lo siguiente:

• ChatGPT almacena las entradas de los usuarios, que pueden contener información personal de los usuarios de la UE (como parte de su proceso de formación).
• OpenAI permite a los entrenadores ver las conversaciones de ChatGPT.
• OpenAI permite a los usuarios eliminar sus cuentas, pero dice que no pueden eliminar avisos específicos. Señala que los usuarios no deben compartir información personal confidencial en las conversaciones de ChatGPT.

OpenAI ofrece razones legales para procesar información personal del Espacio Económico Europeo (que incluye países de la UE), usuarios del Reino Unido y Suiza en la sección nueve de la Política de Privacidad.

La página de Términos de uso define el contenido como la entrada (su aviso) y la salida (la respuesta generativa de IA). Cada usuario de ChatGPT tiene derecho a utilizar el contenido generado con las herramientas de OpenAI de forma personal y comercial.

OpenAI informa a los usuarios de la API de OpenAI que los servicios que utilizan los datos personales de los residentes de la UE deben cumplir con el RGPD, la CCPA y las leyes de privacidad locales aplicables para sus usuarios.

A medida que evoluciona cada IA, el contenido generativo de IA puede contener entradas de usuario como parte de sus datos de entrenamiento, que pueden incluir información personal confidencial de usuarios de todo el mundo.

Rafi Azim-Khan, director global de privacidad de datos y derecho de marketing de Pillsbury Winthrop Shaw Pittman LLP, comentó:

“Las leyes recientes que se han propuesto en Europa (Ley AI) han llamado la atención, pero a menudo puede ser un error pasar por alto otras leyes que ya están en vigor y que se pueden aplicar, como el RGPD.

La acción de cumplimiento del regulador italiano contra OpenAI y ChatGPT esta semana les recordó a todos que leyes como GDPR sí afectan el uso de la IA”.

Azim-Khan también señaló posibles problemas con las fuentes de información y los datos utilizados para generar respuestas de ChatGPT.

“Algunos de los resultados de la IA muestran errores, por lo que existen preocupaciones sobre la calidad de los datos extraídos de Internet y/o utilizados para capacitar a la tecnología”, señaló. “GDPR otorga a las personas derechos para rectificar errores (al igual que CCPA/CPRA en California)”.

¿Qué pasa con la CCPA, de todos modos?

OpenAI aborda los problemas de privacidad de los usuarios de California en la sección cinco de su política de privacidad.

Revela la información compartida con terceros, incluidos afiliados, vendedores, proveedores de servicios, fuerzas del orden público y partes involucradas en transacciones con productos OpenAI.

Esta información incluye detalles de contacto e inicio de sesión del usuario, actividad de la red, contenido y datos de geolocalización.

¿Cómo podría afectar esto al uso de Microsoft en Italia y la UE?

Para abordar las preocupaciones sobre la privacidad de los datos y el RGPD, Microsoft creó el Centro de confianza.

Los usuarios de Microsoft pueden obtener más información sobre cómo se utilizan sus datos en los servicios de Microsoft, incluidos Bing y Microsoft Copilot, que se ejecutan en la tecnología OpenAI.

¿Deberían preocuparse los usuarios de IA generativa?

“La conclusión es la siguiente [the Italian Garante case] podría ser la punta del iceberg, ya que otros ejecutores observan más de cerca los modelos de IA”, dice Azim-Khan.

“Será interesante ver qué harán las otras autoridades europeas de protección de datos”, si seguirán de inmediato al Garante o si adoptarán un enfoque de esperar y ver, agrega De Cicco. “Uno habría esperado ver una respuesta común de la UE a un asunto tan sensible desde el punto de vista social”.

Si el italiano Garante gana su caso, otros gobiernos pueden comenzar a investigar más tecnologías, incluidos los pares y competidores de ChatGPT, como Google Bard, para ver si violan pautas similares para la seguridad de los datos personales y las audiencias más jóvenes.

“Más prohibiciones podrían seguir a la italiana”, dice Azim-Khan. Como mínimo, es posible que los desarrolladores de IA tengan que eliminar grandes conjuntos de datos y volver a entrenar a sus bots.

Imagen destacada: pcruciatti/Shutterstock