OpenAI está luchando contra una orden de la jueza Ona T. Wang del Tribunal del Distrito Sur de Nueva York que le ordena literalmente «conservar y separar todos los datos del registro de salida que, de otro modo, se eliminarían en adelante hasta nueva orden del Tribunal (en esencia, los datos del registro de salida que OpenAI ha estado destruyendo), ya sea que dichos datos se eliminen a petición del usuario o debido a numerosas leyes y regulaciones de privacidad que podrían obligar a OpenAI a hacerlo».
Este caso surge a raíz de la demanda interpuesta por The New York Times y otras organizaciones de noticias, que alegaron que los chats eliminados podrían contener evidencia del uso de noticias con derechos de autor para entrenar a los modelos de IA de la compañía. Se ven afectados por la orden judicial, los usuarios con suscripción a ChatGPT Free, Plus, Pro y Team o API. No afecta a los usuarios de ChatGPT Enterprise o ChatGPT Edu y API con acuerdo de retención de datos cero.
Para los usuarios cuyos datos se vean afectados, OpenAI indicó que –en virtud de la orden– se podrá acceder a sus chats eliminados, pero no se compartirán automáticamente con The New York Times. Los datos retenidos se almacenarán de forma separada, de forma que no se podrá acceder a ellos ni utilizarlos para fines distintos al cumplimiento de las obligaciones legales.
En un comunicado, OpenAI incide en que no entrenan sus modelos con datos comerciales de manera predeterminada y que esta orden judicial no cambia eso. Respecto a los clientes consumidores, estos controlan si sus chats se utilizan para ayudar a mejorar ChatGPT dentro de la configuración, y esta orden tampoco cambia eso. También advierten en su política de privacidad que las conversaciones eliminadas o no guardadas se eliminan en un plazo de 30 días, salvo que estén legalmente obligados a conservarlas.
La jueza plantea en su orden las siguientes cuestiones: ¿Existe alguna manera de segregar los datos de los usuarios que han solicitado expresamente la eliminación de sus registros de chat, o existe alguna manera de anonimizarlos de tal manera que se aborden sus preocupaciones sobre la privacidad? ¿Cuál es el problema legal aquí, por qué no se puede, en lugar de por qué no se debería? Formula las preguntas adecuadas, pero no da respuestas. Imagino que no las encontró.
Conclusión
OpenAI despliega sus servicios –como ChatGPT– en la Unión Europea y los ciudadanos de los Estados miembros pueden utilizar sus sistemas de IA; por tanto, el RGPD resulta aplicable.
La retención de datos personales por tiempo indefinido constituye una violación del principio de limitación del plazo de conservación previsto en el artículo 5, apartado 1, letra e) del RGPD.
La conservación de datos personales por tiempo indefinido no solo excede lo estrictamente necesario para el funcionamiento de ChatGPT, sino que también incrementa los riesgos de fugas o accesos no autorizados.
Para mitigar el impacto causado por la orden judicial, OpenAI ha implementado una serie de medidas, como el almacenamiento segregado de la información, el acceso restringido solo a un pequeño equipo legal y de seguridad de OpenAI y la presentación de recursos judiciales para restablecer sus políticas de retención alineadas con el marco europeo. Estas acciones no eliminan el riesgo de incumplimiento mientras persista la orden de conservación indefinida.
Según el Considerando 65 del RGPD, la retención ulterior de los datos personales debe ser lícita, por ejemplo, porque sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o la formulación, el ejercicio o la defensa de reclamaciones.
Una orden judicial extranjera no justifica el incumplimiento prolongado de los principios rectores de la protección de datos europeos. La empresa se encuentra en una situación de doble vinculación legal que probablemente requerirá la intervención de las autoridades europeas de protección de datos si la orden judicial se confirma por instancias superiores.
No se pierda nuestro podcast sobre el artículo
