A OpenAI se le ha dicho que es sospechoso de violar la privacidad de la UE, luego de una investigación de meses de su chatbot de IA, ChatGPT, por parte de la autoridad de protección de datos de Italia.
Los detalles de la propuesta del gobierno italiano no han sido revelados. pero si Proporciona dijo que OpenAI fue notificado hoy y se le dio 30 días para responder con una defensa contra las acusaciones.
Las infracciones admitidas del régimen paneuropeo pueden acarrear multas de hasta 20 millones de euros, o hasta el 4% de la facturación anual mundial. Lo que resulta más inconveniente para un gigante de la IA como OpenAI es que las autoridades de protección de datos (APD) pueden emitir órdenes que exijan cambios en la forma en que se almacenan los datos para poner fin a las infracciones confirmadas. Por lo que quizá tenga que cambiar su forma de trabajar. O saque su servicio de los Estados miembros de la UE donde las autoridades de privacidad buscan imponer cambios que no les gustan.
Se ha contactado a OpenAI para obtener una respuesta. ProporcionaNotificación de incumplimiento. Actualizaremos este informe si publican una declaración.
En contexto, la legalidad del entrenamiento con modelos de IA.
El año pasado, la autoridad italiana expresó su preocupación sobre el cumplimiento de OpenAI con el Reglamento General de Protección de Datos (GDPR) del bloque, cuando ordenó que se detuviera una prohibición temporal del procesador de datos local ChatGPT que provocó que el chatbot de IA cerrara temporalmente el mercado.
Aquél ProporcionaLa propuesta de OpenAI del 30 de marzo, conocida como «registro de medidas», señaló tanto la falta de una base legal adecuada para la recopilación y el procesamiento de datos personales con el fin de entrenar los algoritmos bajo ChatGPT; y la propensión de la herramienta de inteligencia artificial a «alucinar» (es decir, su potencial para generar información inexacta sobre los individuos), entre los temas de preocupación en ese momento. Al mismo tiempo, se identificó como un problema la seguridad de los niños.
En general, la autoridad dijo que sospecha que ChatGPT viola los artículos 5, 6, 8, 13 y 25 del RGPD.
A pesar de reconocer esta larga lista de presuntas violaciones, OpenAI logró reiniciar el servicio ChatGPT en Italia con relativa rapidez el año pasado, después de tomar medidas para resolver algunos de los problemas planteados por la DPA. Sin embargo, las autoridades italianas dijeron que continuarían investigando las presuntas violaciones. Ahora se ha llegado a conclusiones preliminares de que el dispositivo viola la legislación de la UE.
Si bien las autoridades italianas aún no han dicho cuáles de las violaciones anteriores de ChatGPT se han confirmado en esta etapa, la base legal de OpenAI afirma que el procesamiento de datos personales para entrenar sus modelos de IA parece ser una cuestión particularmente importante.
Es por eso que ChatGPT se desarrolló utilizando grandes cantidades de datos extraídos de la Internet pública, información que incluye datos personales de individuos. El problema al que se enfrenta OpenAI en la UE es que necesita tener una base legal válida para procesar los datos de las personas de la UE.
El RGPD enumera seis posibles bases legales, la mayoría de las cuales son simplemente irrelevantes en su alcance. En abril pasado, OpenAI fue mencionado por Proporciona eliminando referencias al «cumplimiento contractual» para la capacitación del modelo ChatGPT, dejándolo con solo dos posibilidades: consentimiento o intereses legítimos.
Dado que el gigante de la IA nunca ha buscado el consentimiento de los millones (o miles de millones) de usuarios de la web cuyos datos recopiló y procesó para construir su modelo de IA, cualquier intento de afirmar que el consentimiento de los europeos parece haber un proceso. condenada al fracaso. Y cuando OpenAI actualizó su documentación ProporcionaLa intervención del año pasado parecía querer basarse en el reclamo de interés legítimo. Sin embargo, esta base legal todavía requiere que un procesador de datos permita a los interesados presentar una objeción y detener el procesamiento de su información.
Cómo OpenAI puede hacer esto en el contexto de su chatbot de IA es una pregunta abierta. (En teoría, podría necesitar retirar y destruir los modelos entrenados ilegalmente y volver a entrenar nuevos modelos sin los datos del objetor en el grupo de entrenamiento, pero, suponiendo que también pueda eliminar todos los datos almacenados ilegalmente de forma individual, tendrá que hágalo por los datos de cada oponente de la Unión Europea que ha dicho que se detenga… Lo cual, sin embargo, parece caro.)
Más allá de esa difícil cuestión, está la cuestión más amplia de si Proporciona al final se alcanzarán los intereses legítimos; es una base jurídica válida en este contexto.
Francamente, parece imposible. Porque LI no es una batalla campal. Requiere que los procesadores de datos equilibren sus intereses con los derechos y libertades de las personas cuyos datos se procesan, y cuestiones como si las personas esperan este uso de sus datos; y la posibilidad de que les cause un daño indebido. (Si no tuvieran expectativas ni riesgos de tal daño, la LI no se consideraría una base legal válida).
El proceso también debe ser necesario, independientemente de otra forma menos intrusiva para que el intercambio de datos llegue a su fin.
En particular, el tribunal más alto de la Unión Europea ha considerado anteriormente que los intereses legítimos son una base inapropiada para que Meta lleve a cabo un seguimiento y elaboración de perfiles de personas con el fin de llevar a cabo su negocio de publicidad conductual en sus redes sociales. Por lo tanto, existe un gran signo de interrogación sobre la noción de otro tipo de alma de IA que intenta justificar el procesamiento de datos humanos a gran escala para construir un negocio de IA comercialmente viable, especialmente cuando las herramientas en cuestión son para individuos. riesgos (desde información errónea y difamación hasta robo de identidad y fraude, por nombrar algunos).
Portavoz de Proporciona confirmó que la base legal para el procesamiento de datos humanos para el entrenamiento de modelos permanece en la mezcla que supuestamente viola ChatGPT. Pero no han confirmado exactamente qué (o más) artículos sospechan que violan OpenAI en este momento.
El anuncio del funcionario de hoy aún no es la última palabra, ya que esperará recibir la respuesta de OpenAI antes de tomar una decisión final.
Aquí lo tienes garante declaración (que tradujimos del italiano usando AI):
(Autoridad italiana de protección de datos) OpenAI, la empresa que gestiona la plataforma de inteligencia artificial ChatGPT, ha notificado su objeción por la violación de las normas de protección de datos.
Tras la limitación temporal de la orden del proceso, que por Proporciona contra la empresa el 30 de marzo, y como resultado de la investigación preliminar que se llevó a cabo, la Autoridad consideró que los elementos obtenidos pueden constituir una o más acciones ilegales según lo establecido en el Reglamento de la Unión Europea.
OpenAI tendrá 30 días para presentar sus escritos de defensa sobre la supuesta infracción.
Al presentar el proceso, Garante tendrá en cuenta el trabajo en curso del grupo de trabajo especial establecido por la Junta que convoca a las Autoridades de Protección de Datos de la Unión Europea (EDPB).
OpenAI también enfrenta una investigación en Polonia sobre el cumplimiento del GDPR de ChatGPT, luego de una queja el verano pasado que se centró en un ejemplo de la herramienta que genera información inexacta sobre un individuo y la respuesta de OpenAI a esa queja. Esa investigación separada del RGPD sigue en curso.
Mientras tanto, OpenAI ha respondido al mayor riesgo regulatorio en toda la UE buscando establecer una base física en Irlanda; y anunció, en enero, que esta entidad irlandesa sería el proveedor de servicios para los datos de los usuarios de la UE en el futuro.
Con estos pasos, espera obtener el estatus de «establecimiento principal» en Irlanda y, en cambio (como lo hace actualmente), potencialmente tener su negocio sujeto a la supervisión de la DPA desde cualquier lugar de la Unión donde sus dispositivos tengan usuarios locales.
Sin embargo, OpenAI aún no ha alcanzado este estado, por lo que ChatGPT aún podría enfrentar más consultas por parte de DPA en otras partes de la UE. E incluso si obtiene el estatus, la investigación y la ejecución italiana continuarán porque el procesador de datos en cuestión ya está cambiando su estructura de procesamiento.
Las autoridades de protección de datos del bloque han intentado coordinar el seguimiento de ChatGPT estableciendo un grupo de trabajo para considerar cómo afectará el RGPD a los chatbots, a través del Consejo Europeo de Protección de Datos, como Proporcionade las notas del anuncio. Ese esfuerzo (continuo) puede, al final, producir resultados más consistentes entre investigaciones separadas de ChatGPT GDPR, como las de Italia y Polonia.
Sin embargo, las autoridades siguen siendo independientes y competentes para tomar decisiones en sus mercados. Por lo tanto, igualmente, no hay garantía de que alguna de las consultas ChatGPT existentes alcance los mismos resultados.