Diletta Ballarin, ha escrito un artículo para Noticias Jurídicas sobre cómo La Agencia italiana de Protección de Datos ha adoptado una resolución urgente limitando temporalmente el tratamiento de datos personales por la inteligencia artificial ChatGPT debido a supuestas infracciones del RGPD, incluyendo la falta de información para los interesados, la ausencia de una base jurídica para la recopilación de datos y la falta de filtros de edad.
El 30 de marzo de 2023 la Agencia italiana de Protección de Datos (el “Garante Privacy”) adoptó una resolución urgente1, mediante la cual impuso la limitación temporal con efectos inmediatos del tratamiento de los datos personales de los interesados establecidos en el territorio italiano, efectuado por la inteligencia artificial que ha protagonizado los blogs y las noticias de los últimos meses: ChatGPT.
La autoridad italiana ha llevado a cabo una auditoria sobre la arquitectura por la que se rige el funcionamiento del citado sistema, diseñado por OpenAI, L.L.C., y ha relevado varias (supuestas) infracciones del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD).
En primer lugar, parece que OpenAI no facilita en ningún momento a los interesados la información requerida por el artículo 13 del RGPD, esta es, la identidad y los datos de contacto del responsable (en este caso, al no tener OpenAI un establecimiento permanente en el Espacio Económico Europeo, los datos de su representante autorizado), los fines del tratamiento, su base jurídica, los derechos ARCO-POL, etc.
La Agencia italiana tampoco ha podido averiguar la presencia de una base jurídica que legitime la recogida de los datos personales de los interesados que OpenAI está llevando a cabo, para posteriormente destinarlos al entrenamiento de los algoritmos que componen el sistema.
Otra infracción del RGPD que se le imputa a la empresa estadounidense es el hecho de tratar datos de manera inexacta, dado que la información proporcionada por ChatGPT no corresponde siempre a la realidad.
Y, por último, pero no menos importante, de la autoría se ha desprendido una ausencia de cualesquiera filtros dirigido a verificar la edad de los usuarios de ChatGPT, herramienta que, según los términos y condiciones publicados por OpenAI, está reservada a personas mayores de 13 años.
Es importante resaltar que, conforme indica el artículo 8 del RGPD, el tratamiento basado en el consentimiento del menor se considera lítico solo cuando este ya ha cumplido los 16 años, salvo que los Estados Miembros hayan establecido por ley una edad inferior, la cual en ningún caso puede estar fijada debajo de los 13 años.
Es evidente que, si ChatGPT no prevé ningún mecanismo de verificación de la edad real de sus usuarios, los jóvenes menores de 13 años pueden fácilmente acceder a sus servicios, con la consiguiente exposición a información y datos no aptos para su nivel de madurez.
A partir de la publicación de la resolución, OpenAI tiene veinte días para comunicar las acciones emprendidas a fin de cumplir con la normativa en la materia y ejecutar lo exigido por la autoridad italiana. De no hacerlo, se expondrá la sanción administrativa dispuesta en el artículo 83, párrafo 5 del RGPD, es decir, a una multa de 20.000.000 euros, como máximo, o a una cuantía equivalente a hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior (optándose por la de mayor cuantía).
Además, en caso de que la empresa de EEUU decida incumplir la limitación del tratamiento que se la ha impuesto, la Agencia italiana le recuerda que puede incurrir asimismo en la pena de prisión de entre 3 meses y 2 años, previa querella de la persona ofendida, conforme dispone el Código de Protección de Datos italiano.
El pasado viernes, además, el CEO de OpenAI publicó un tuit2 en el que afirma que ya han dejado de ofrecer los servicios de ChatGPT en Italia, aunque piensa que sí están cumpliendo con las leyes y regulaciones italianas en materia de protección de datos.
La medida de limitación temporal del tratamiento de datos adoptada por el Garante Privacy se inserta, además, en una semana bastante entretenida para los profesionales del sector de la inteligencia artificial.
Hace unos pocos días salió a la luz la noticia de que el dueño de Tesla y, ahora, también de Twitter, Mr. Elon Musk se ha unido a las más de mil firmas3 para manifestar su preocupación en relación con el disruptivo y descontrolado avance de esta nueva tecnología, la cual, cada vez con mayor intensidad, parece ir mucho más por delante de la ley.
1. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870832