ChatGPT reanuda el servicio en Italia después de agregar divulgaciones y controles de privacidad
Unos días después de que OpenAI anunciara un conjunto de controles de privacidad para su chatbot generativo de IA, ChatGPT, el servicio volvió a estar disponible para los usuarios en Italia, resolviendo (por ahora) una suspensión regulatoria anticipada en uno de los 27 estados miembros de la Unión Europea. , incluso mientras continúa una investigación local sobre su cumplimiento con las reglas de protección de datos de la región.
Al momento de escribir este artículo, los usuarios de Internet que navegan por ChatGPT desde una dirección IP italiana ya no reciben una notificación de que el servicio está «deshabilitado para los usuarios en Italia». En cambio, son recibidos con una nota que dice que OpenAI está «feliz de hacerse cargo de la oferta de ChatGPT en Italia».
Luego, la ventana emergente indica que los usuarios deben confirmar que tienen 18 años o más con el consentimiento de un padre o tutor para usar el servicio, haciendo clic en un botón que dice «Cumplo con los requisitos de edad de ‘IA abierta’.
El texto de la notificación también llama la atención sobre la política de privacidad de OpenAI y los enlaces a un artículo del Centro de ayuda donde la empresa dice que proporciona información sobre «cómo desarrollamos y entrenamos ChatGPT».
Los cambios en la forma en que OpenAI presenta ChatGPT a los usuarios en Italia tienen como objetivo satisfacer un conjunto inicial de condiciones establecidas por la autoridad local de protección de datos (DPA) para que pueda reanudar el servicio con un riesgo regulatorio controlado.
Resumen rápido de la historia de fondo aquí: a fines del mes pasado, Garante de Italia ordenó una detención temporal del procesamiento en ChatGPT, diciendo que temía que los servicios pudieran violar las leyes de protección de datos de la UE. También ha abierto una investigación por presuntos incumplimientos del Reglamento General de Protección de Datos (RGPD).
OpenAI respondió rápidamente a la intervención bloqueando geográficamente a los usuarios con direcciones IP italianas a principios de este mes.
Esta decisión fue seguida, unas semanas después, por la publicación por parte de Garante de una lista de medidas que OpenAI debe implementar para que la orden de suspensión se levante a fines de abril, incluida la restricción de edad adicional para evitar que los menores accediendo al servicio. y cambiar la base legal reclamada para procesar datos de usuarios locales.
El regulador enfrentó críticas políticas en Italia y en otros lugares de Europa por la intervención. Si bien no es la única autoridad de protección de datos que plantea inquietudes, a principios de este mes, los reguladores del bloque acordaron lanzar un grupo de trabajo centrado en ChatGPT en un intento por respaldar las investigaciones y la cooperación en cualquier aplicación.
En un comunicado de prensa publicado hoy anunciando la reanudación del servicio en Italia, Garante dijo que OpenAI le había enviado una carta que detallaba las medidas implementadas en respuesta a la orden anterior, escribiendo: «OpenAI explicó que había ampliado la información de usuarios y no usuarios europeos, que había modificado y aclarado varios mecanismos e implementado soluciones modulares para permitir a los usuarios y no usuarios ejercer sus derechos. Sobre la base de estas mejoras, OpenAI restauró el acceso a ChatGPT para los usuarios italianos».
Profundizando en las medidas tomadas por OpenAI, la DPA indica que OpenAI ha ampliado su política de privacidad y ha proporcionado a los usuarios y no usuarios más información sobre los datos personales procesados para el entrenamiento de sus algoritmos, en particular al estipular que Todos tienen la derecho a optar por no participar. de dicho procesamiento, lo que sugiere que la empresa ahora se basa en un reclamo de intereses legítimos como base legal para procesar datos para entrenar sus algoritmos (ya que esta base requiere que ofrezca una opción de retiro).
Además, Garante revela que OpenAI ha tomado medidas para permitir que los europeos soliciten que sus datos no se utilicen para entrenar la IA (las solicitudes se pueden realizar a través de un formulario en línea), y para proporcionarles «mecanismos» para que se eliminen sus datos.
También le dijo al regulador que no podía corregir la falla de los chatbots que brindan información falsa sobre las personas nombradas en esta etapa. De ahí la introducción de “mecanismos que permitan a los interesados obtener la supresión de la información considerada inexacta”.
Los usuarios europeos que deseen objetar el procesamiento de sus datos personales para el entrenamiento de su IA también pueden hacerlo a través de un formulario puesto a disposición por OpenAI que, según la DPA, «filtrará sus chats y su historial de chat de los datos utilizados para entrenamiento». algoritmos”.
Así, la intervención de la DPA italiana ha supuesto cambios notables en el nivel de control que ChatGPT ofrece a los europeos.
Dicho esto, aún no está claro si los ajustes que OpenAI se ha estado apresurando a implementar serán (o pueden) ir lo suficientemente lejos como para abordar todas las preocupaciones de GDPR.
Por ejemplo, no está claro si los datos personales de los italianos que se utilizaron para entrenar su modelo GPT históricamente, es decir, cuando extrajo datos públicos de Internet, se procesaron con una base legal válida o, de hecho, si los datos utilizados para entrenar modelos anteriormente se eliminará o puede eliminarse si los usuarios solicitan que sus datos se eliminen ahora.
La gran pregunta sigue siendo qué base legal tenía OpenAI para procesar la información de las personas en primer lugar, cuando la empresa no era tan abierta sobre los datos que utilizaba.
La empresa estadounidense parece estar esperando abordar las objeciones planteadas sobre lo que hace con la información de los europeos proporcionando ahora controles limitados, aplicados a los nuevos datos personales entrantes, con la esperanza de que esto solucione el problema más amplio de todos los datos personales regionales. el procesamiento se hace históricamente.
Cuando se le preguntó acerca de los cambios que se están implementando, un portavoz de OpenAI envió a TechCrunch esta declaración resumida:
ChatGPT está disponible nuevamente para nuestros usuarios en Italia. Estamos encantados de darles la bienvenida de nuevo y seguimos comprometidos con la protección de su privacidad. Hemos abordado o aclarado las cuestiones planteadas por Garante, entre ellas:
Agradecemos a Garante por su colaboración y esperamos que continúen las discusiones constructivas.
«Muchos datos en Internet se relacionan con personas, por lo que nuestra información de capacitación también incluye información personal. No buscamos activamente información personal para entrenar a nuestros modelos.
Lo que se lee como un buen intento de eludir el requisito de GDPR de que tiene una base legal válida para procesar los datos personales que encuentra.
OpenAI amplía aún más su defensa en una sección (afirmativamente) titulada «¿Cómo cumple el desarrollo de ChatGPT con las leyes de privacidad?» — en el que sugiere que usó los datos de las personas legalmente porque A) quería que su chatbot fuera beneficioso; B) no tuvo elección porque se necesitaban muchos datos para crear la tecnología de IA; y C) afirma que no quería impactar negativamente a las personas.
“Por estas razones, basamos nuestra recopilación y uso de la información personal incluida en la Información de capacitación en intereses legítimos de acuerdo con las leyes de privacidad como GDPR”, también escribió, y agregó: “Para cumplir con nuestras obligaciones de cumplimiento, también hemos completado un evaluación de impacto de protección de datos para garantizar que recopilamos y usamos esta información de manera legal y responsable. »
Entonces, nuevamente, la defensa de OpenAI contra un cargo de violar la ley de protección de datos básicamente se reduce a: «¡Pero no quisimos decir nada malo, oficial!»
Su explicador también ofrece texto en negrita para subrayar la afirmación de que no usa estos datos para crear perfiles sobre individuos; contactarlos o hacerles publicidad; o tratar de venderles cualquier cosa. Nada de esto es relevante para determinar si sus actividades de procesamiento de datos violaron o no el RGPD.
La DPA italiana nos ha confirmado que su investigación sobre este importante tema continúa.
En su actualización, el Garante también señala que espera que OpenAI cumpla con las solicitudes adicionales establecidas en su orden del 11 de abril, señalando la obligación de que implemente un sistema de verificación de edad (para evitar de manera más efectiva que los menores accedan al servicio); y llevar a cabo una campaña de información local para informar a los italianos sobre la forma en que procesa sus datos y su derecho a rechazar el procesamiento de sus datos personales para el entrenamiento de sus algoritmos.
«La SA italiana [supervisory authority] reconoce los avances de OpenAI a la hora de conciliar los avances tecnológicos con el respeto a los derechos de las personas y espera que la compañía siga esforzándose por cumplir con la legislación europea de protección de datos”, añade, antes de subrayar que este es solo un primer paso. en este baile reglamentario.
Por lo tanto, todas las diversas afirmaciones de OpenAI de 100% de buena fe aún no se han probado de manera sólida.