O Comité Europeu para a Proteção de Dados criou o ChatGPT Taskforce há um ano para determinar se o tratamento de dados pessoais pela OpenAI estava em conformidade com as leis do RGPD. Foi agora publicado um relatório com as conclusões preliminares.
A UE é extremamente rigorosa quanto à forma como os dados pessoais dos seus cidadãos são utilizados, com as regras do RGPD a definirem explicitamente o que as empresas podem ou não fazer com esses dados.
Será que as empresas de IA como a OpenAI cumprem estas leis quando utilizam dados para treinar e operar os seus modelos? Um ano depois de o Grupo de Trabalho ChatGPT ter iniciado o seu trabalho, a resposta curta é: talvez sim, talvez não.
O relatório afirma que está a publicar resultados preliminares e que "ainda não é possível fornecer uma descrição completa dos resultados".
As três principais áreas investigadas pelo grupo de trabalho foram a legalidade, a equidade e a exatidão.
Legalidade
Para criar os seus modelos, a OpenAI recolheu dados públicos, filtrou-os, utilizou-os para treinar os seus modelos e continua a treinar os seus modelos com instruções do utilizador. Isto é legal na Europa?
A recolha de dados da Web da OpenAI recolhe inevitavelmente dados pessoais. O RGPD diz que só se pode utilizar esta informação quando existe um interesse legítimo e ter em conta as expectativas razoáveis que as pessoas têm sobre a forma como os seus dados são utilizados.
A OpenAI afirma que os seus modelos estão em conformidade com o artigo 6.º, n.º 1, alínea f), do RGPD, que diz, em parte, que a utilização de dados pessoais é legal quando "o tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros".
O relatório afirma que "devem ser tomadas medidas para apagar ou tornar anónimos os dados pessoais recolhidos através de raspagem da Web antes da fase de formação".
A OpenAI diz que tem em vigor salvaguardas para os dados pessoais, mas o grupo de trabalho afirma que "o ónus da prova para demonstrar a eficácia dessas medidas recai sobre a OpenAI".
Equidade
Quando os cidadãos da UE interagem com as empresas, têm a expetativa de que os seus dados pessoais sejam corretamente tratados.
É justo que o ChatGPT tenha uma cláusula nos Termos e Condições que diz que os utilizadores são responsáveis pelas suas entradas de chat? O RGPD diz que uma organização não pode transferir a responsabilidade pela conformidade com o RGPD para o utilizador.
O relatório afirma que se "o ChatGPT for disponibilizado ao público, deve presumir-se que as pessoas introduzirão, mais cedo ou mais tarde, dados pessoais. Se esses dados passarem a fazer parte do modelo de dados e, por exemplo, forem partilhados com qualquer pessoa que faça uma pergunta específica, a OpenAI continua a ser responsável pelo cumprimento do RGPD e não deve argumentar que a introdução de determinados dados pessoais era proibida à partida".
O relatório conclui que a OpenAI tem de ser transparente e informar explicitamente os utilizadores de que os seus dados podem ser utilizados para fins de formação.
Exatidão
Modelos de IA alucinar e o ChatGPT não é exceção. Quando não sabe a resposta, por vezes inventa algo. Quando fornece factos incorrectos sobre indivíduos, o ChatGPT viola o requisito do RGPD relativo à exatidão dos dados pessoais.
O relatório refere que "os resultados fornecidos pelo ChatGPT são susceptíveis de serem considerados factualmente exactos pelos utilizadores finais, incluindo informações relativas a indivíduos, independentemente da sua verdadeira exatidão".
Embora o ChatGPT avise os utilizadores de que por vezes comete erros, o grupo de trabalho afirma que isso "não é suficiente para cumprir o princípio da exatidão dos dados".
A OpenAI está a ser alvo de um processo judicial porque o ChatGPT está sempre a errar a data de nascimento de uma figura pública notável.
A empresa declarou na sua defesa que o problema não pode ser resolvido e as pessoas deveriam pedir que todas as referências a eles fossem apagadas do modelo.
Em setembro passado, a OpenAI criou uma entidade jurídica irlandesa em Dublin, que agora está sob a alçada da Comissão de Proteção de Dados da Irlanda (DPC). Este facto protege-a dos desafios do RGPD de cada Estado da UE.
O ChatGPT Taskforce vai apresentar conclusões juridicamente vinculativas no seu próximo relatório? A OpenAI conseguiria cumprir, mesmo que quisesse?
Na sua forma atual, o ChatGPT e outros modelos podem nunca ser capazes de cumprir completamente as regras de privacidade que foram escritas antes do advento da IA.