El 13 de abril, la Agencia Española de Protección de Datos inició actuaciones de oficio para efectuar una inspección a OpenAI, la empresa propietaria de ChatGPT. La semana anterior, la agencia solicitó al Comité Europeo de Protección de Datos que se incluyera este chat en el orden del día de su reunión plenaria. Consideraba que se debía actuar con una única voz en el caso de que este servicio estuviera vulnerando el Reglamento General de Protección de Datos (RGPD). En Gesprodat queremos informarte de lo ocurrido.
Antecedentes de la investigación a ChatGPT
Todo comenzó el 31 de marzo en Italia, día en el que el organismo garante de la protección de datos personales en este país dispuso el bloqueo temporal con efectos inmediatos de este servicio. La gota que colmó el vaso ocurrió el 20 de marzo. Ese día, ChatGPT sufrió una pérdida masiva de datos de sus usuarios, así como de la información relativa a los pagos de sus abonados.
Las autoridades italianas consideran, además, que este servicio infringe los artículos 5, 6, 8, 13 y 25 del RGPD. La investigación iniciada por el grupo de trabajo del EDPB determinará si es así. En el caso de que lo sea, la empresa será sancionada de manera penal y administrativa.
Por otro lado, OpenAI ha de cumplir cinco requisitos antes del 30 de abril para desbloquear su servicio. Te hablamos de ellos.
Más transparencia en la información
Debe poner en su web la información relativa a los métodos, razones y procesamiento de todos los datos que acumula de los usuarios. También ha de dar cuenta de los derechos de los usuarios y de los no usuarios. Además, esta información tiene que ser accesible para la ciudadanía antes de finalizar el registro.
Base legal del tratamiento de los datos personales
Se solicita que elimine todas las referencias a la ejecución de un contrato respecto al tratamiento de los datos personales para el entrenamiento de algoritmos. En su lugar, puede sustituirlo por el consentimiento o el interés legítimo bajo el principio de responsabilidad.
Respeto a los derechos de las personas
En concreto, destacan dos:
- Derecho a la rectificación de los datos personales que genere erróneamente el servicio o su cancelación.
- Derecho de los no usuarios a oponerse al tratamiento de los datos de índole personal utilizados para el entrenamiento de los algoritmos.
Protección de los menores de edad
Antes del 31 de mayo (con una moratoria hasta el 30 de septiembre), la empresa debe implementar un sistema de verificación de la edad. El fin es que se excluya a los menores de 13 años que no cuenten con el consentimiento paterno.
Campaña de información en los medios
Antes del 15 de mayo, la empresa ha de promover campañas informativas en los distintos medios para explicar el uso que hará de los datos personales para entrenar los algoritmos.
¿Cuál es la postura de la AEPD?
La Agencia Española de Protección de Datos apoya el desarrollo de tecnologías innovadoras, como la inteligencia artificial. Sin embargo, es importante que se haga con el máximo respeto a la legislación vigente. Solo así podemos esperar un futuro en el que la relación entre tecnología y derechos de índole personal sea perfectamente coherente. Por tanto, ha abierto su propia investigación a la vez que participa en el grupo de trabajo europeo.