Italia da a OpenAI una lista inicial de tareas para levantar la orden de suspensión de ChatGPT
El organismo de control de la protección de datos de Italia ha establecido lo que OpenAI debe hacer para que se levante la orden contra ChatGPT emitida a finales del mes pasado, cuando dijo que sospechaba que el servicio de chatbot de IA infringía el Reglamento General de Protección de Datos (GDPR) de la UE y ordenó a la empresa estadounidense que dejara de procesar los datos de la población local.
El GDPR de la UE se aplica siempre que se procesan datos personales, y no hay duda de que los grandes modelos lingüísticos, como el GPT de OpenAI, han recogido grandes cantidades de datos de la red pública para entrenar sus modelos generativos de inteligencia artificial y poder responder de forma similar a la humana a las preguntas del lenguaje natural.
OpenAI respondió a la orden de la autoridad italiana de protección de datos bloqueando rápidamente el acceso a ChatGPT. En una breve declaración pública, el consejero delegado de OpenAI, Sam Altman, también confirmó en Twitter que había dejado de ofrecer el servicio en Italia, junto con la habitual advertencia de las grandes tecnológicas de que "pensamos que cumplimos todas las leyes de privacidad".
La versión resumida de la nueva exigencia de cumplimiento del regulador es la siguiente: OpenAI tendrá que ser transparente y publicar una nota informativa detallando su tratamiento de datos; debe adoptar inmediatamente un control de edad para evitar que los menores accedan a la tecnología y adoptar medidas de verificación de edad más sólidas; tiene que aclarar la base jurídica que alega para procesar los datos de las personas para entrenar su IA (y no puede basarse en el cumplimiento de un contrato, lo que significa que tiene que elegir entre el consentimiento o los intereses legítimos); También debe ofrecer a los usuarios (y no usuarios) la posibilidad de ejercer sus derechos sobre sus datos personales, incluida la posibilidad de solicitar la corrección de la desinformación generada sobre ellos por ChatGPT (o la eliminación de sus datos); asimismo, debe ofrecer a los usuarios la posibilidad de oponerse a que OpenAI procese sus datos para entrenar sus algoritmos; y debe llevar a cabo una campaña de concienciación local para informar a los italianos de que está procesando su información para entrenar sus IA.
La DPA ha dado de plazo hasta el 30 de abril para que OpenAI cumpla la mayor parte de estos requisitos. (La campaña local de concienciación por radio, televisión e Internet tiene un plazo algo más generoso, el 15 de mayo, para llevarse a cabo).
También hay un poco más de tiempo para el requisito adicional de migrar de la tecnología de seguridad infantil de bloqueo por edad exigida inmediatamente (pero débil) a un sistema de verificación de la edad más difícil de eludir. OpenAI tiene de plazo hasta el 31 de mayo para presentar un plan de implantación de la tecnología de verificación de la edad para filtrar a los usuarios menores de 13 años (y a los usuarios de 13 a 18 años que no hayan obtenido el consentimiento paterno), y la fecha límite para implantar ese sistema más sólido es el 30 de septiembre.
En un comunicado de prensa en el que se detalla lo que OpenAI debe hacer para que se levante la suspensión temporal de ChatGPT, ordenada hace dos semanas cuando el regulador anunció que estaba iniciando una investigación formal de presuntas infracciones del GDPR, escribe:
OpenAI tendrá que cumplir antes del 30 de abril con las medidas establecidas por la SA [autoridad de supervisión] italiana en relación con la transparencia, el derecho de los interesados -incluidos los usuarios y no usuarios- y la base jurídica del tratamiento para la formación algorítmica que se basa en los datos de los usuarios. Sólo en ese caso, la SV italiana levantará la orden que limitaba temporalmente el tratamiento de los datos de los usuarios italianos, al no existir ya la urgencia en la que se basaba la orden, de modo que ChatGPT volverá a estar disponible desde Italia.
Entrando en más detalles sobre cada una de las "medidas concretas" exigidas, la DPA estipula que la nota informativa obligatoria debe describir "las modalidades y la lógica del tratamiento de datos necesario para el funcionamiento de ChatGPT, junto con los derechos que asisten a los interesados (usuarios y no usuarios)", y añade que "deberá ser fácilmente accesible y colocarse de forma que pueda leerse antes de suscribirse al servicio".
Los usuarios de Italia deberán recibir este aviso antes de registrarse y confirmar que son mayores de 18 años. A los usuarios que se hayan registrado antes de la orden de la DPA de detener el tratamiento de datos se les tendrá que mostrar el aviso cuando accedan al servicio reactivado y también deberán pasar por una puerta de edad para filtrar a los usuarios menores de edad.
En cuanto a la base jurídica del tratamiento de datos personales por parte de OpenAI para entrenar sus algoritmos, se ha reducido las opciones disponibles a dos: consentimiento o intereses legítimos, estipulando que debe eliminar inmediatamente todas las referencias a la ejecución de un contrato "en línea con el principio de responsabilidad [del GDPR]". (La política de privacidad de OpenAI cita actualmente los tres motivos, pero parece inclinarse más por la ejecución de un contrato para la prestación de servicios como ChatGPT).
"Esto será sin perjuicio del ejercicio de las facultades de investigación y ejecución de la SA a este respecto", añade, confirmando que se reserva el juicio sobre si los dos motivos restantes también pueden utilizarse legalmente para los fines de OpenAI.
Además, el GDPR otorga a los interesados una serie de derechos de acceso, incluido el derecho a rectificar o suprimir sus datos personales. Por ello, el regulador italiano también ha exigido que OpenAI implemente herramientas para que los interesados -es decir, tanto los usuarios como los no usuarios- puedan ejercer sus derechos y conseguir que se rectifiquen las falsedades que el chatbot genere sobre ellos. O, si la rectificación de las mentiras generadas por la IA sobre las personas nombradas resulta "técnicamente inviable", la DPA estipula que la empresa debe proporcionar una forma de eliminar sus datos personales.
"OpenAI tendrá que poner a disposición de los no usuarios herramientas de fácil acceso que les permitan ejercer su derecho a oponerse al tratamiento de sus datos personales como base para el funcionamiento de los algoritmos. El mismo derecho tendrán que tener los usuarios si se elige el interés legítimo como base jurídica para el tratamiento de sus datos", añade, en referencia a otro de los derechos que el GDPR otorga a los interesados cuando se invoca el interés legítimo como base jurídica para el tratamiento de datos personales.
Todas las medidas que se han anunciado son contingentes, basadas en sus preocupaciones preliminares. Y su comunicado de prensa señala que sus investigaciones formales - "para determinar posibles infracciones de la legislación"- continúan y podrían llevarle a decidir tomar "medidas adicionales o diferentes si resulta necesario al término del ejercicio de investigación en curso".
Fuente: TechCrunch
