El Consejo Europeo de Protección de Datos creó hace un año el Grupo de Trabajo ChatGPT para determinar si la gestión de los datos personales por parte de OpenAI cumplía la normativa del GDPR. Ahora se ha publicado un informe con las conclusiones preliminares.
La UE es extremadamente estricta en cuanto al uso de los datos personales de sus ciudadanos, y las normas del RGPD definen explícitamente lo que las empresas pueden y no pueden hacer con estos datos.
¿Cumplen las empresas de IA como OpenAI estas leyes cuando utilizan datos en el entrenamiento y funcionamiento de sus modelos? Un año después de que el Grupo de Trabajo ChatGPT iniciara su labor, la respuesta corta es: tal vez sí, tal vez no.
El informe dice que estaba publicando conclusiones preliminares y que "aún no es posible ofrecer una descripción completa de los resultados".
Las tres áreas principales que investigó el grupo de trabajo fueron la legalidad, la imparcialidad y la precisión.
Legalidad
Para crear sus modelos, OpenAI recopiló datos públicos, los filtró, los utilizó para entrenar sus modelos y sigue entrenando sus modelos con indicaciones de los usuarios. ¿Es esto legal en Europa?
El web scraping de OpenAI inevitablemente recoge datos personales. El GDPR establece que solo se puede utilizar esta información cuando exista un interés legítimo y se tengan en cuenta las expectativas razonables de las personas sobre el uso que se hace de sus datos.
OpenAI dice que sus modelos cumplen con el artículo 6 (1) (f) GDPR que dice en parte que el uso de datos personales es legal cuando "el tratamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por un tercero."
El informe señala que "deben adoptarse medidas para eliminar o anonimizar los datos personales que se hayan recogido mediante web scraping antes de la fase de formación".
OpenAI afirma que cuenta con salvaguardias de datos personales, pero el grupo de trabajo afirma que "la carga de la prueba para demostrar la eficacia de tales medidas recae en OpenAI".
Equidad
Cuando los ciudadanos de la UE interactúan con las empresas, esperan que sus datos personales se traten adecuadamente.
¿Es justo que ChatGPT tenga una cláusula en los Términos y Condiciones que diga que los usuarios son responsables de sus entradas de chat? El GDPR dice que una organización no puede transferir la responsabilidad del cumplimiento del GDPR al usuario.
El informe afirma que si "ChatGPT se pone a disposición del público, debe asumirse que los particulares introducirán tarde o temprano datos personales. Si esas entradas pasan a formar parte del modelo de datos y, por ejemplo, se comparten con cualquiera que formule una pregunta específica, OpenAI sigue siendo responsable del cumplimiento del GDPR y no debería argumentar que la entrada de determinados datos personales estaba prohibida en primer lugar."
El informe concluye que OpenAI debe ser transparente e informar explícitamente a los usuarios de que sus indicaciones pueden utilizarse con fines de formación.
Precisión
Modelos de IA alucinar y ChatGPT no es una excepción. Cuando no sabe la respuesta, a veces se la inventa. Cuando proporciona datos incorrectos sobre las personas, ChatGPT incumple el requisito del GDPR sobre la exactitud de los datos personales.
El informe señala que "es probable que los usuarios finales tomen los resultados proporcionados por ChatGPT, incluida la información relativa a las personas, como objetivamente exactos, independientemente de su exactitud real".
Aunque ChatGPT advierte a los usuarios de que a veces comete errores, el grupo de trabajo afirma que esto "no es suficiente para cumplir el principio de exactitud de los datos".
OpenAI se enfrenta a una demanda porque ChatGPT sigue equivocándose en la fecha de nacimiento de un personaje público notable.
La empresa declaró en su defensa que el problema no tiene arreglo y, en su lugar, la gente debería pedir que se borren del modelo todas las referencias a ellos.
El pasado mes de septiembre, OpenAI constituyó una entidad jurídica irlandesa en Dublín, que ahora depende de la Comisión de Protección de Datos (CPD) de Irlanda. Esto la protege de las impugnaciones individuales del GDPR por parte de los Estados miembros de la UE.
¿Presentará el Grupo de Trabajo ChatGPT conclusiones jurídicamente vinculantes en su próximo informe? ¿Podría OpenAI cumplirlas, aunque quisiera?
En su forma actual, es posible que ChatGPT y otros modelos nunca puedan cumplir completamente las normas de privacidad que se redactaron antes de la llegada de la IA.
