La Autoridad de Protección de Datos italiana ha vuelto a denunciar a OpenAI por no cumplir con la normativa de privacidad
Italia lo ha vuelto a hacer. Tras casi un año después de la restricción impuesta por el Garante para la Protección de Datos Personales en Italia, el regulador italiano ha vuelto a acusar a OpenAI de infringir varios preceptos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “Reglamento General de Protección de Datos” o “RGPD”).
Antecedentes a la denuncia a OpenAi
Recordemos que, en marzo de 2023, Italia impuso una medida de emergencia ante los siguientes incumplimientos por parte de ChatGPT:
- La falta de información sobre el tratamiento de los datos. Los artículos 13 y 14 del Reglamento General de Protección de Datos exigen que se informe a los interesados sobre el tratamiento de sus datos personales. La información que se debe proporcionar dependerá de si los datos se han obtenido directamente del interesado o no.
- La falta de una base jurídica adecuada que haga lícito el tratamiento de datos personales. De acuerdo con el artículo 6 del RGPD, para que el tratamiento sea lícito, se debe cumplir alguna de las bases de legitimación que proporciona el mismo artículo, entre las que se encuentra: el consentimiento del interesado, ejecución de un contrato, cumplimiento de una obligación legal, protección de los intereses vitales del interesado o de otra persona física, por interés público o para la persecución de los intereses legítimos.
- La inexactitud de los datos y la ausencia de toda verificación de la edad de los usuarios. Uno de los principios de tratamiento recogidos en el Reglamento General de Protección de Datos es la exactitud de los datos objeto del tratamiento. Dispone el artículo 5 que “los datos personales serán exactos, y si fuese necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
La autoridad de control italiana otorgó a la compañía tecnológica un plazo de 20 días para demostrar si cumplía con la ley.
Casi un mes después de la restricción, Italia levantó el veto después de que OpenAI realizase una serie de cambios. Ahora la página web muestra información detallada sobre qué datos personales son recopilados y cómo son procesados para el entrenamiento de algoritmos.
Además, ahora los usuarios tienen la posibilidad de oponerse a que sus datos sean utilizados para entrenar modelos de IA.
Ya no hace falta registrarse en el servicio para conocer detalladamente las prácticas de procesamiento de datos. Se ha incluido una nueva página de bienvenida que hace referencia a la nueva política de privacidad y a los métodos de procesamiento de datos personales para el entrenamiento de modelos de IA.
La compañía ha declarado a los usuarios que, aunque continuará procesando ciertos datos personales para garantizar el correcto funcionamiento del servicio, procesará sus datos personales con el fin de entrenar algoritmos, a menos que indiquen lo contrario con las alternativas habilitadas. Los usuarios que ya se hayan registrado deberán declarar que son mayores de edad para utilizar el servicio.
Por último, los nuevos usuarios deberán proporcionar la fecha de nacimiento y, al hacerlo, se bloqueará el registro si son menores de 13 años y no tienen el consentimiento de sus padres o tutores legales para utilizar el servicio.
OpenAI transmitió a través de un correo electrónico a Reuters que creen que sus prácticas están alineadas con las leyes de privacidad de la UE y que estaban trabajando “activamente para reducir los datos personales en la capacitación de nuestros sistemas como ChatGPT” y que planea “continuar trabajando de manera constructiva con el Garante”
Denuncia a OpenAi por vulneraciones de protección de datos
Sin embargo, al parecer, estas medidas no han sido suficientes para el Garante de la Privacidad italiano que, el pasado 29 de enero, a través de un comunicado oficial, notificó que sigue habiendo vulneraciones de la legislación en materia de protección de datos.
Se desconocen cuáles son los principios exactos que OpenAI estaría violando, pero sabemos que están relacionados con la recopilación de datos y la protección de la edad. Italia le ha dado a OpenAI un plazo de 30 días para que realice sus alegaciones y que cuenta con la participación del grupo especial de trabajo creado por el EDPB para abordar específicamente la presencia de ChatGPT en Europa.
Este plazo de 30 días ya se ha cumplido y no tenemos novedades del pronunciamiento de OpenAI. Suponemos que estarán muy ocupados preparando el lanzamiento de ChatGPT-5.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.