OpenAI se enfrenta a posibles cargos por violación del RGPD en Italia

OpenAI, la organización detrás del chatbot de IA ChatGPT, está bajo escrutinio de la Autoridad de Protección de Datos italiana por posibles infracciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Tras una investigación de varios meses, la autoridad italiana ha emitido una notificación de objeción, sospechando que OpenAI podría haber incumplido la normativa de privacidad de la UE. Los detalles de las conclusiones preliminares no se han revelado, pero OpenAI tiene 30 días para responder y presentar una defensa contra las acusaciones.

Antecedentes y actuaciones previas de la autoridad italiana

La Autoridad Italiana de Protección de Datos ya había expresado su preocupación por el cumplimiento del RGPD por parte de OpenAI al ordenar la prohibición temporal del procesamiento local de datos de ChatGPT, lo que provocó la suspensión del chatbot de IA en el mercado italiano. La autoridad destacó problemas como la falta de una base legal adecuada para la recopilación y el procesamiento de datos personales con el fin de entrenar los algoritmos de ChatGPT. La seguridad infantil y la tendencia de la herramienta de IA a generar alucinaciones, generando información inexacta sobre las personas, también se consideraron preocupantes.

A pesar de haber abordado temporalmente algunas cuestiones planteadas por la autoridad italiana, OpenAI se enfrenta ahora a conclusiones preliminares de que ChatGPT infringe la legislación de la UE. El quid de la cuestión reside en la base legal que OpenAI alega para procesar datos personales con el fin de entrenar sus modelos de IA, especialmente considerando que ChatGPT se desarrolló utilizando datos extraídos de internet público, incluidos datos personales de particulares.

Base legal para el tratamiento de datos y posibles consecuencias

OpenAI inicialmente alegó la "ejecución de untrac" como base legal para el entrenamiento del modelo ChatGPT, pero la autoridad italiana le ordenó eliminar esta referencia. Esto dejó a OpenAI con solo dos posibles bases legales: consentimiento o intereses legítimos. Obtener el consentimiento de la gran cantidad de personas cuyos datos han sido procesados ​​parece poco práctico, dejando los intereses legítimos como base legal principal. Sin embargo, esta base requiere que OpenAI permita a los interesados ​​oponerse al procesamiento, lo que dificulta el funcionamiento continuo de un chatbot de IA.

La cuestión más importante es si el Garante, la Autoridad Italiana de Protección de Datos, aceptará en última instancia los intereses legítimos como base jurídica válida en este contexto. Decisiones anteriores del Tribunal Supremo de la UE sugieren posibles obstáculos, ya que los intereses legítimos exigen un equilibrio cuidadoso entre los intereses del encargado del tratamiento de datos y los derechos y libertades de las personas. Cabe destacar que el tribunal consideró que esta base era inadecuada para el negocio de publicidad comportamental de Meta.

La respuesta de OpenAI y los esfuerzos continuos para cumplir con el RGPD

OpenAI ha respondido a los crecientes riesgos regulatorios buscando establecer una base física en Irlanda, designándola como proveedor de servicios para los datos de los usuarios de la UE. El objetivo es obtener la categoría de "establecimiento principal" en Irlanda y que la Comisión de Protección de Datos de Irlanda supervise el cumplimiento del RGPD. Sin embargo, esta categoría está pendiente, y ChatGPT aún podría ser investigada por las Autoridades de Protección de Datos (APD) de otros países de la UE.

Además de la investigación italiana, OpenAI también está bajo escrutinio en Polonia tras una queja sobre información inexacta generada por ChatGPT y la respuesta de OpenAI al denunciante. Los esfuerzos de OpenAI para coordinarse con las autoridades de protección de datos de la UE a través del Comité Europeo de Protección de Datos podrían conducir a resultados más armonizados, pero cada autoridad sigue siendo competente para emitir decisiones en sus respectivos mercados.