La Junta Europea de Protección de Datos creó el grupo de trabajo ChatGPT hace un año para establecer si el manejo de datos personales por parte de OpenAI cumplía con las leyes GDPR. Se ha publicado un informe que describe las conclusiones preliminares.
La UE es extremadamente estricta en cuanto a cómo se utilizan los datos personales de sus ciudadanos, y las normas del RGPD definen explícitamente lo que las empresas pueden y no pueden hacer con estos datos.
¿Las empresas de IA como OpenAI cumplen con estas leyes cuando utilizan datos para entrenar y operar sus modelos? Un año después de que el grupo de trabajo ChatGPT comenzara a funcionar, la respuesta corta es: tal vez, tal vez no.
El informe dice que estaba publicando resultados preliminares y que “aún no es posible proporcionar una descripción completa de los resultados”.
Las tres áreas principales que investigó el grupo de trabajo fueron legalidad, equidad y precisión.
Legalidad
Para crear sus modelos, OpenAI recopiló datos públicos, los filtró, los usó para entrenar sus modelos y continúa entrenando sus modelos con indicaciones de los usuarios. ¿Es esto legal en Europa?
El web scraping de OpenAI inevitablemente recopila datos personales. El RGPD establece que solo se puede utilizar esta información cuando exista un interés legítimo y se tengan en cuenta las expectativas razonables que las personas tienen sobre cómo se utilizan sus datos.
OpenAI dice que sus modelos cumplen con el Artículo 6(1)(f) del RGPD, que dice en parte que el uso de datos personales es legal cuando “el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por un tercero”.
El informe dice que “deben existir medidas para eliminar o anonimizar los datos personales que se hayan recopilado mediante web scraping antes de la etapa de capacitación”.
OpenAI dice que cuenta con salvaguardas de datos personales, pero el grupo de trabajo dice que “la carga de la prueba para demostrar la efectividad de tales medidas recae en OpenAI”.
Justicia
Cuando los ciudadanos de la UE interactúan con empresas, tienen la expectativa de que sus datos personales se traten adecuadamente.
¿Es justo que ChatGPT tenga una cláusula en los Términos y condiciones que diga que los usuarios son responsables de sus entradas en el chat? GDPR dice que una organización no puede transferir la responsabilidad de cumplimiento de GDPR al usuario.
El informe dice que si “ChatGPT se pone a disposición del público, se debe suponer que, tarde o temprano, las personas ingresarán datos personales. Si esas entradas pasan a formar parte del modelo de datos y, por ejemplo, se comparten con cualquier persona que haga una pregunta específica, OpenAI sigue siendo responsable de cumplir con el RGPD y no debe argumentar que la entrada de ciertos datos personales estaba prohibida en primer lugar. “
El informe concluye que OpenAI debe ser transparente al decirles explícitamente a los usuarios que sus entradas rápidas pueden usarse con fines de capacitación.
Exactitud
Los modelos de IA alucinan y ChatGPT no es una excepción. Cuando no sabe la respuesta, a veces simplemente inventa algo. Cuando ofrece datos incorrectos sobre individuos, ChatGPT incumple el requisito del RGPD de exactitud de los datos personales.
El informe señala que “es probable que los usuarios finales consideren que los resultados proporcionados por ChatGPT son objetivamente precisos, incluida la información relacionada con individuos, independientemente de su precisión real”.
Aunque ChatGPT advierte a los usuarios que a veces comete errores, el grupo de trabajo dice que esto “no es suficiente para cumplir con el principio de precisión de los datos”.
OpenAI se enfrenta a una demanda porque ChatGPT sigue equivocando la fecha de nacimiento de una figura pública notable.
La compañía afirmó en su defensa que el problema no se puede solucionar y que la gente debería pedir que se borren del modelo todas las referencias a ellos.
En septiembre pasado, OpenAI estableció una entidad legal irlandesa en Dublín, que ahora depende de la Comisión de Protección de Datos (DPC) de Irlanda. Esto lo protege de los desafíos individuales del RGPD de los estados de la UE.
¿El grupo de trabajo ChatGPT hará conclusiones legalmente vinculantes en su próximo informe? ¿Podría OpenAI cumplir, incluso si quisiera?
En su forma actual, ChatGPT y otros modelos quizás nunca puedan cumplir completamente con las reglas de privacidad que se escribieron antes de la llegada de la IA.