La autoridad de control en materia de protección de datos de Italia (Garante per la Protezione dei Dati Personali) bloqueó con efecto inmediato el acceso a ChatGPT en marzo de 2023. Haciendo clic aquí pueden acceder a la resolución.
Esta medida se fundamentó en preocupaciones sobre la falta de una base jurídica para la recopilación y el tratamiento de datos personales utilizados en el entrenamiento de los algoritmos de ChatGPT, así como en la ausencia de mecanismos de verificación de edad. Según la política de privacidad de OpenAI, el servicio estaba destinado a personas mayores de 13 años, pero no habían implementado filtros adecuados, exponiendo a los menores a respuestas potencialmente inadecuadas para su nivel de desarrollo y autoconciencia.
El Garante impuso a OpenAI una limitación temporal del tratamiento de datos personales de los usuarios establecidos en territorio italiano, con la obligación de informar, en los veinte días siguientes a la recepción de la resolución, acerca de las iniciativas emprendidas en materia de protección de datos personales, proporcionando cualquier elemento que se considere útil para justificar las violaciones destacadas anteriormente.
El 2 de noviembre de 2024, el Garante multó a OpenAI con 15 millones de euros por violaciones relacionadas con el uso de datos personales de usuarios italianos. OpenAI recurrió y el Tribunal de Roma, XVIII Sección Civil, ordenó, mediante auto de 21 de marzo de 2025, la suspensión cautelar de la ejecución de la prestación, previa constitución de una fianza, en el procedimiento registrado con el RG nº 4785/2025.
La acción del Garante fue seguida en Francia por la Commission Nationale de l’Informatique et des Libertés, tras varias quejas contra ChatGPT, si bien no impuso una prohibición; en su lugar, inició investigaciones que culminaron en recomendaciones para mejorar la transparencia.
La AEPD inició de oficio actuaciones previas de investigación a OpenAI por un posible incumplimiento de la normativa. En diciembre de 2025 no consta ninguna sanción.
El caso de Replika
El Garante italiano también limitó el acceso a «Replika» en febrero de 2023. Haciendo clic aquí pueden consultar la resolución.
Replika es un chatbot, desarrollado por la empresa Luka Inc., basado en inteligencia artificial, que genera un «amigo virtual» capaz de interactuar con el usuario. Según sus desarrolladores se creó para mejorar el estado de ánimo y el bienestar emocional de los usuarios, ayudándoles a comprender sus pensamientos y sentimientos, calmar su ansiedad a través del manejo del estrés y trabajar hacia metas como el pensamiento positivo. El problema es que ciertas respuestas, por inadecuadas, pueden influir en el estado anímico del usuario, resultando especialmente peligroso en el caso de menores y personas emocionalmente frágiles.
Otro de los riesgos de este chatbot está asociado al tipo de información que se comparte, ya que el usuario puede revelar datos sensibles como información sobre salud, orientación sexual, opiniones políticas, confesión religiosa. En teoría, se mantiene la confidencialidad de la información, que está cifrada para mayor seguridad, o eso dice la política de privacidad de Replika; pero vaya Ud. a saber si las medidas que dicen tener son realmente efectivas.
La aplicación está destinada a mayores de edad, pero no contaba con un mecanismo de verificación de edad. Para la creación de una cuenta, bastaba con facilitar un nombre, un correo electrónico e indicar el género del usuario. Según la política de privacidad del sitio web, de forma automática, se registra la siguiente información del usuario: «Dispositivo y datos de red. Esto incluye el sistema operativo, el fabricante y el modelo de su computadora o dispositivo móvil, el navegador, la dirección IP, los identificadores de dispositivos y cookies, la configuración de idioma, el operador del dispositivo móvil e información general sobre la ubicación, como la ciudad, el estado o el área geográfica».
Para la autoridad de control italiana, Replika violó la normativa europea sobre privacidad, no respetó el principio de transparencia, al no cumplir los requisitos de información establecidos en el artículo 13 del RGPD, y llevó a cabo un tratamiento ilícito de datos personales, al implicar a menores de 13 años, infringiendo los artículos 5, 6, 8, 9 y 25 del RGPD.
Al igual que en el caso de ChatGPT, la autoridad de control italiana impuso a la compañía una limitación temporal del tratamiento de datos personales de los usuarios establecidos en territorio italiano, con la obligación de informar, en los veinte días siguientes a la recepción de la resolución, acerca de las iniciativas emprendidas para implementar las disposiciones en materia de protección de datos personales, debiendo proporcionar cualquier información útil para justificar las violaciones destacadas anteriormente.
En mayo de 2025, el Garante le impuso a Luka Inc. una multa de 5 millones de euros por incumplimientos persistentes, ordenando ajustes en el procesamiento de datos.
Replika no es la única aplicación del mercado, hay otras muchas, como Hi Waifu ol Anima con los mismos riesgos asociados que Replika. Un informe de la Fundación Mozilla de 2023 advierte que el 90 % de estas aplicaciones podría vender o compartir datos personales de los usuarios con fines publicitarios.
Conclusión
No participen del juego de aplicaciones como Replika, que se aprovechan de la vulnerabilidad de los usuarios para entrenar a sus algoritmos y mucho cuidado con la información personal que compartan en chatGPT.
Estas aplicaciones pueden parecer inocentes, pero pueden no serlo. Imaginen que el algoritmo, ante la situación de desesperación del usuario, le recomienda como solución a sus problemas quitarse la vida. Una persona en su sano juicio no le haría caso, pero una persona desesperada y vulnerable igual sí, y ya hay casos registrados.
