Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Il Garante de la privacidad en Italia limita la IA

La autoridad de control en materia de protección de datos de Italia (Garante per la Protezione dei Dati Personali) bloquea, con efecto inmediato, el acceso a ChatGPT. Haciendo clic aquí pueden acceder a la resolución de 30 de marzo de 2023.

Se acusa a la empresa estadounidense que desarrolla y administra ChatGPT, OpenAI, de carecer de una base legal adecuada en relación con la recopilación de datos personales y su tratamiento con el fin de entrenar los algoritmos que subyacen al funcionamiento de ChatGPT. También se censura que no tengan un mecanismo de verificación de la edad de los usuarios, y es que, según la política de privacidad publicada por OpenAI, la aplicación está reservada a personas físicas que hayan cumplido al menos 13 años.

La ausencia de filtros para los menores de 13 años los expone a respuestas inadecuadas con respecto a su grado de desarrollo y autoconciencia, lo que resulta inadmisible. 

La autoridad de control italiana impone a OpenAI una limitación temporal del tratamiento de datos personales de los usuarios establecidos en territorio italiano, con la obligación de informar, en los veinte días siguientes a la recepción de la resolución, acerca de las iniciativas que han emprendido para implementar las disposiciones en materia de protección de datos personales, proporcionando cualquier elemento que se considere útil para justificar las violaciones destacadas anteriormente.

La resolución advierte que el incumplimiento de una resolución y de una limitación del tratamiento impuesta por una autoridad de control es constitutivo de infracción, por tanto, de sanción (multa de hasta 20 millones de euros o hasta 4% de la facturación global anual).

Detrás de Italia parecen ir Francia, tras varias quejas contra ChatGPT presentadas ante la Commission Nationale de l’Informatique et des Libertés.

La autoridad de control en protección de datos de Alemania (Landesbeauftragten für Datenschutz) también se plantea la prohibición de ChatGPT, con la firme oposición del Ministerio Federal de Digital y Transporte, bajo el argumento de que «no necesitamos prohibir las aplicaciones de inteligencia artificial, lo que necesitamos es encontrar formas de garantizar valores como la democracia y la transparencia».

En España, la AEPD solicitó al Comité Europeo de Protección de Datos –del que la AEPD forma parte junto a otras autoridades de protección de datos del EEE– que se incluyera el servicio ChatGPT como tema a abordar en su próxima reunión plenaria, al considerar que los tratamientos globales que pueden tener un importante impacto sobre los derechos de las personas requieren de acciones armonizadas y coordinadas a nivel europeo en aplicación del RGPD. Al mismo tiempo, inició de oficio actuaciones previas de investigación a OpenAI por un posible incumplimiento de la normativa.

El caso de Replika

Il Garante también limita el acceso a «Replika». Haciendo clic aquí pueden consultar la resolución de 2 de febrero de 2023.

«Replika» es un chatbot, desarrollado por la empresa Luka Inc., basado en inteligencia artificial, que genera un «amigo virtual» capaz de interactuar con el usuario. Según sus desarrolladores se creó para mejorar el estado de ánimo y el bienestar emocional de los usuarios, ayudándoles a comprender sus pensamientos y sentimientos, calmar su ansiedad a través del manejo del estrés y trabajar hacia metas como el pensamiento positivo. El problema es que ciertas respuestas, por inadecuadas, pueden influir en el estado anímico del usuario, resultando especialmente peligroso en el caso de menores y personas emocionalmente frágiles.

Otro de los riesgos de este chatbot viene asociado al tipo de información que se comparta y es que el usuario puede revelar datos sensibles como datos de salud, orientación sexual, opiniones políticas, confesión religiosa, etc. En teoría, se mantiene la confidencialidad de la información, que está cifrada para mayor seguridad. Eso dice la política de privacidad del sitio web del responsable del chatbot, pero vaya Ud. a saber si las medidas que dicen tener son efectivas.

La aplicación está destinada a mayores de edad, pero no existe un mecanismo de verificación de edad. Durante la creación de una cuenta, basta con facilitar un nombre, un correo electrónico e indicar el género del usuario. Claro está que, de forma automática, según la política de privacidad del sitio web, se registra la siguiente información del usuario: «Dispositivo y datos de red. Esto incluye el sistema operativo, el fabricante y el modelo de su computadora o dispositivo móvil, el navegador, la dirección IP, los identificadores de dispositivos y cookies, la configuración de idioma, el operador del dispositivo móvil e información general sobre la ubicación, como la ciudad, el estado o el área geográfica».

Para la autoridad de control italiana, Replika viola la normativa europea sobre privacidad, no respeta el principio de transparencia, al no cumplir los requisitos de información establecidos en el artículo 13 del RGPD, y lleva a cabo un tratamiento ilícito de datos personales al implicar a menores de 13 años, infringiendo los artículos 5, 6, 8, 9 y 25 del RGPD.

Al igual que en el caso de ChatGPT, la autoridad de control italiana impone a la compañía responsable del chatbot una limitación temporal del tratamiento de datos personales de los usuarios establecidos en territorio italiano, con la obligación de informar, en los veinte días siguientes a la recepción de la resolución, acerca de las iniciativas emprendidas para implementar las disposiciones en materia de protección de datos personales, debiendo proporcionar cualquier información útil para justificar las violaciones destacadas anteriormente. 

Conclusión

No participen del juego de aplicaciones como Replika, que se aprovechan de la vulnerabilidad de los usuarios para entrenar a sus algoritmos y mucho cuidado con la información personal que compartan en chatGPT.

Estas aplicaciones pueden parecer inocentes, pero pueden no serlo. Imaginen que el algoritmo, ante la situación de desesperación del usuario, le recomienda como solución a sus problemas quitarse la vida. Una persona en su sano juicio no le haría caso, pero una persona desesperada y vulnerable igual sí.

La supervisión de la inteligencia artificial se advierte más necesaria que nunca. En España se delegó la capacidad de supervisión en la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Su puesta en marcha no parece ir todo lo rápido que debería, menos aún tras el litigio planteado ante el Tribunal Supremo por la candidatura de Granada tras designación de La Coruña como sede oficial.

Actualización (29.01.2024)

Il Garante afirma que ChatGPT viola la normativa de la Unión Europea sobre protección de datos

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).