Todos los expertos consultados coinciden: ChatGPT y OpenAI incumplen de forma flagrante las directrices de protección de datos. Tras la decisión de Italia, la Agencia Española de Protección de Datos ha abierto oficialmente una investigación sobre la popular herramienta de inteligencia artificial.
Pero España no está sola, Europa también está investigando el encaje de ChatGPT. El grupo de trabajo se acaba de formar esta semana pero mucho tiene que cambiar para que no se tomen medidas.
En Xataka hemos consultado con varios abogados especializados en protección de datos para conocer las aristas legales de este asunto. OpenAI es un cohete que está llegando muy arriba, pero si no se le ponen frenos puede acabar explotando.
La AEPD puede bloquear ChatGPT. Otro asunto es que así lo decida. La agencia española tiene la capacidad legal de bloquear ChatGPT si lo considera oportuno. Borja Adsuara, profesor de la Universidad Complutense de Madrid y experto en derecho digital, explica que lo que haría la agencia "no es prohibir", sino más bien bloquear.
Un ejemplo cercano es con la propiedad intelectual y las páginas de descargas fuera de España. "Si hay un contenido ilegal, las autoridades administrativas pueden solicitar que se borre ese contenido o pedir que se cierre. Si está fuera de España (como en el caso de OpenAI), se puede pedir a las telecos que bloqueen el acceso".
Samuel Parra, director del área de Protección de Datos en ÉGIDA, considera que no hace falta llegar hasta ahí: "España puede prohibir a OpenAI que recabe datos de españoles", pero para ello en muchas casos es suficiente con la voluntad de la empresa afectada. Ante la perspectiva de exponerse a sanciones y medidas adicionales, OpenAI deja de ofrecer el servicio.
Italia se ha adelantado a todos. El primer país en avisar del problema con ChatGPT ha sido Italia. Jorge García Herrero, delegado de Protección de Datos, explica que "la autoridad italiana solicitó a OpenAI medidas sobre el tratamiento de los datos de los italianos. Y la respuesta de la empresa fue paralizar el servicio".
Para que ChatGPT cumpla con la normativa italiana, el regulador ha solicitado una serie de exigencias, en línea con el Reglamento General de Protección de Datos (RGPD). Si las implementa podrá volver.
Enrique Puertas, profesor de Inteligencia Artificial y Big Data en la Universidad Europea, explica que "Italia no ha prohibido ChatGPT. Lo que quieren es que la empresa nos aclare qué tipo de datos se están recogiendo. Quieren una aclaración". Algo muy parecido a lo que se busca desde España, expone Puertas.
Nueve medidas hasta el 30 abril. OpenAI tiene menos de un mes para aplicar una serie de cambios si quiere seguir en Italia. En este corto margen de tiempo podemos esperar que la empresa de ChatGPT tome alguna decisión. Se solicitan nueve cambios, teniendo los dos últimos un mayor margen de tiempo.
- Una política de privacidad donde describa qué datos se utilizan.
- Una herramienta para que los usuarios puedan solicitar el borrado de sus datos personales.
- Una herramienta para corregir datos personales incorrectos.
- Un enlace a la información del usuario en el momento de registrarse.
- Cambiar la base legal del entrenamiento algorítmico sobre datos sin consentimiento.
- Una herramienta para ejercer el derecho a eliminar datos personales a la hora de entrenar el algoritmo.
- Filtro por edad a la hora de registrarse.
- Control por edad para menores de 13 años y menores de 18 años.
- Campaña de información en los medios explicando el uso de los datos personales que se utilizan en la herramienta.
OpenAI ha pasado de startup académica a multinacional demasiado rápido. "La única base que tienen es la del interés legítimo", explica Herrero, quien recuerda el origen académico de OpenAI. "Su IA ha sido entrenada con un montón de datasets con distintos orígenes, casi todos con fines de investigación. Las posibilidades que deja la ley para investigación científica son muy altas, pero estos han pasado muy rápido a otra cosa. Hay que medir cuál va a ser tu tratamiento y es una cosa que debes haber hecho antes. Ahora estarán en ello. Tienen que dar, como hace Google, la posibilidad de que las personas puedan corregir o borrar esos datos. Y esa parte habrá que ver si son capaces de implementarla".
“Esto no es opcional, es la ley. Si estás procesando datos personales, debes considerar las obligaciones en protección de datos desde el principio. Adoptando ese enfoque desde el diseño y por defecto", resume en un comunicado Stephen Almond, Comisario de Protección de Datos de Reino Unido.
España esperará al resto. Basándose en las decisiones tomadas en el pasado, todos los expertos coinciden en predecir que la AEPD esperará a una decisión europea. "Los más proactivos son los alemanes. Desde mi punto de vista no recuerdo que la agencia española sea de las más innovadoras", expone Herrero. "En España son más de socializar el problema".
"La nota era muy escueta, pero yo tengo la sensación de que España no se va a desmarcar", apunta Parra. "Dudo que se intente bloquear su uso, sino más bien exigir algunas garantías", opina el experto.
"El comportamiento que ha tenido Italia es incoherente y casi desleal con el resto de autoridades de protección de datos europeas. Si cada uno hace la guerra por su cuenta, ¿para qué tenemos un reglamento y un comité europeo?", detalla Adsuara.
OpenAI tiene representante, pero todavía no está en Europa. "A OpenAI no le pueden multar porque no está en Europa", explica Adsuara. "Véngase aquí, como Microsoft, Meta o Google, y entonces ya hablaremos. Han ido muy rápido. Todo esto es una crisis de crecimiento".
Los movimientos que están sucediendo alrededor de ChatGPT es porque OpenAI no ha abierto una filial en Europa. En vez de multarle por no cumplir el RGPD, hay que pedirle específicamente que cumpla una serie de medidas o enfrentarse a las consecuencias.
Si bien, en su política de privacidad sí apuntan a VeraSafe en Irlanda como su representante de protección de datos para la Unión Europea y Reino Unido. "Si OpenAI ya ha designado un representante en Europa y en su política de privacidad sí reconoce el RGPD, lo que nos indica es que al menos pretenden cumplirlo", apunta Parra.
Próximamente habrá anuncio importante. "Me preocuparía que se pusiera un freno al avance de esta tecnología por el cumplimiento del Reglamento. De seguro que habrá un compromiso por parte de OpenAI en un plazo concreto. Un compromiso para asegurar que los datos no se van a utilizar con finalidades distintas a las expuestas ni para tratamientos desleales", opina Parra.
No se sabe quién moverá ficha primero. Si OpenAI abriendo sucursal en Europa y anuncio mejoras importantes en privacidad o si Europa publicará su comunicado con distintas medidas.
"Esto es una envolvente", describe Adsuara. "Por un lado abres expediente y por otro lado se meten los lobbys para asegurar que todos se llevan bien. Dentro de nada OpenAI anunciará que abre establecimiento en Europa y que tienen ganas de cumplir"
"Van a hacer una cosa cosmética y ahí ya se verá si Europa quiere jugar fuerte o no. Mi intuición es que habrá consenso. Europa ofrecerá un plazo mayor que el de Italia. Dudo que los distintos países se vengan arriba, porque habría un follón importante", expone Herrero. "A estas agencias no les queda otro remedio que advertir que OpenAI está incumpliendo el Reglamento. No tienen muchas más opciones como autoridad", concluye.
Parra también lo cree así. "Europa dará márgenes más amplios, con medidas más intensas. Quizás colocando alguna medida temporal para un plazo más inminente".
OpenAI no tiene servidores europeos. Si ya con Facebook o Google el envío de datos transoceánicos puede acabar poniéndolos en un compromiso, con ChatGPT el caso es todavía más evidente. La compañía no tiene servidores europeos, lo que implica que cada vez que utilizamos ChatGPT estamos enviando datos a Estados Unidos. Las dos potencias alcanzaron un nuevo acuerdo 'Privacy Shield' en octubre de 2022, pero la justicia europea todavía tiene que ratificarlo.
Microsoft y todas las empresas que trabajan con ChatGPT en el punto de mira. "A OpenAI no le puedes meter mano todavía, pero ¿y a Microsoft?", reflexiona Adsuara. GPT-4 se encuentra integrado en Microsoft Bing y los mismos requisitos se le aplican. Con una diferencia, como empresa alojada en Europa deben cumplir con el RGPD o exponerse a multas.
En este caso, la posición de los distintos expertos es más prudente, confiando en que los abogados de Microsoft habrán implementado bien la política de privacidad.
Otro caso más problemático es el que apunta Herrero: "OpenAI ha liberado una herramienta multipropósito y empresas mucho más pequeñas lo ofrecen a a través de apps concretas. Todos los posibles errores de ChatGPT, se los reclamarán a esas startups".
Y de fondo, la regulación europea sobre IA. La llegada de ChatGPT es todo un desafío para la normativa europea. No solo para el Reglamento General de Protección de Datos, sino para la normativa sobre inteligencia artificial que ya estaba muy avanzada y ha visto como ChatGPT le ha roto los esquemas.
"La ha bloqueado. Hace unos meses hubo una mesa redonda para ver cómo encajar los LLMs y muchos borradores han quedado anticuados. Las categorías de riesgos y los distintos responsables no encajan bien con el nuevo paradigma", explica Herrero. "Vamos a ver relevantes retrasos aquí".
"Aquí tenemos el problema de siempre", reflexiona Puertas. "Por un lado la velocidad a la que va toda la normativa regulatoria y por otro el de la tecnología. ChatGPT salió en noviembre del año pasado. Acaba de salir como aquel que dice".
OpenAI ha avanzado muy rápido, pero las leyes están para cumplirlas. El tipo de encaje que tenga ChatGPT en Europa dependerá de hasta qué punto los implicados flexibilizan su parte. Todos parecen estar de acuerdo en dos cosas: el enorme potencial de la IA y sus innumerables riesgos si no se aplica correctamente.
Ver 16 comentarios