Italia da a OpenAI la primera lista de cosas que hacer para levantar la orden de suspensión de ChatGPT
El organismo de control de protección de datos de Italia explicó lo que debe hacer OpenAI para levantar una orden contra ChatGPT emitida a fines del mes pasado, cuando dijo que sospechaba que el servicio de chatbot de IA violaba el Reglamento General de Protección de Datos (GDPR) de la UE. y ordenó a la empresa con sede en EE. UU. que dejara de procesar los datos de los residentes.
El RGPD de la UE se aplica cada vez que se procesan datos personales, y no hay duda de que los grandes modelos de lenguaje como GPT de OpenAI han obtenido grandes cantidades de cosas del Internet público para formar sus modelos generativos de IA para poder responder de manera humana. como un medio de mensajes de lenguaje natural.
OpenAI respondió a la orden de la autoridad italiana de protección de datos bloqueando rápidamente el acceso a ChatGPT. En una breve declaración pública, el CEO de OpenAI, Sam Altman, también tuiteó confirmación de que había dejado de ofrecer el servicio en Italia, junto con el descargo de responsabilidad habitual de Big Tech de que «cree[s] Cumplimos con todas las leyes de privacidad.
El Garante italiano obviamente tiene un punto de vista diferente.
La versión corta de la nueva solicitud de cumplimiento del regulador es la siguiente: OpenAI deberá ser transparente y publicar un aviso que detalle su procesamiento de datos; debe adoptar de inmediato una restricción de edad para evitar que los menores accedan a la tecnología y pasar a medidas de verificación de edad más robustas; debe aclarar la base legal que reclama para procesar los datos de las personas para entrenar su IA (y no puede confiar en la ejecución de un contrato, lo que significa que debe elegir entre el consentimiento o los intereses legítimos); también debe proporcionar medios para que los usuarios (y los no usuarios) ejerzan sus derechos sobre sus datos personales, incluso solicitando correcciones a la información errónea generada sobre ellos por ChatGPT (o la eliminación de sus datos); también debe proporcionar a los usuarios la capacidad de oponerse al procesamiento de sus datos por parte de OpenAI para entrenar sus algoritmos; y debe llevar a cabo una campaña de concienciación local para informar a los italianos que procesa su información para entrenar sus IA.
La DPA le dio a OpenAI una fecha límite, el 30 de abril, para hacer la mayor parte. (La campaña local de concientización por radio, televisión e Internet tiene un plazo un poco más generoso para implementarse el 15 de mayo).
También hay un poco más de tiempo para el requisito adicional de migrar de la tecnología de seguridad infantil inmediatamente requerida (pero débil) a un sistema de verificación de edad más difícil de solucionar. OpenAI recibió hasta el 31 de mayo para presentar un plan para implementar la tecnología de verificación de edad para descartar a los usuarios menores de 13 años (y a los usuarios entre 13 y 18 años que no hayan obtenido el consentimiento de los padres), con la fecha límite para implementar esto más sistema robusto. al 30 de septiembre.
En un comunicado de prensa Al detallar lo que debe hacer OpenAI para levantar la suspensión temporal de ChatGPT, ordenada hace dos semanas cuando el regulador anunció que estaba abriendo una investigación formal sobre presuntas violaciones de GDPR, escribe:
OpenAI deberá cumplir antes del 30 de abril con las medidas previstas por la SA italiana [supervisory authority] en materia de transparencia, los derechos de los interesados —incluidos usuarios y no usuarios— y la base jurídica del tratamiento para la formación algorítmica basada en datos de usuario. Solo en este caso, la SA italiana levantará su orden que limitaba temporalmente el procesamiento de los datos de los usuarios italianos, ya que la urgencia subyacente a la orden ya no está presente, por lo que ChatGPT estará disponible nuevamente desde Italia.
Entrando en más detalles sobre cada una de las «medidas concretas» requeridas, la DPA estipula que el aviso de información obligatoria debe describir «los métodos y la lógica del procesamiento de datos necesarios para el funcionamiento de ChatGPT, así como los derechos otorgados a las personas interesadas ( usuarios y no usuarios)”, añadiendo que “debe ser de fácil acceso y estar colocado de manera que pueda ser leído antes de suscribirse al servicio”.
Los usuarios de Italia deben recibir este aviso antes de registrarse y también confirmar que son mayores de 18 años, esto es un requisito adicional. Mientras que los usuarios que se registraron antes de la orden de detención del procesamiento de datos de la DPA deberán ver el aviso cuando accedan al servicio reactivado y también deberán superar una barrera de edad para evaluar a los usuarios menores.
Sobre la cuestión de la base legal adjunta al procesamiento de datos de personas por parte de OpenAI para el entrenamiento de sus algoritmos, Garante redujo las opciones disponibles a dos: consentimiento o intereses legítimos, estipulando que debe eliminar de inmediato cualquier referencia a la ejecución de un contrato » de acuerdo con el [GDPR’s] principio de responsabilidad. (Política de privacidad de Open AI Actualmente cita los tres motivos, pero parece basarse más en el cumplimiento de un contrato para la prestación de servicios como ChatGPT).
«Esto será sin perjuicio del ejercicio de los poderes de investigación y aplicación de la SA en este sentido», agrega, y confirma que se abstiene de juzgar si los dos motivos restantes también pueden usarse legalmente para fines de OpenAI.
Además, el RGPD otorga a los interesados una serie de derechos de acceso, incluido el derecho a corregir o eliminar sus datos personales. Es por ello que el regulador italiano también ha exigido que OpenAI ponga en marcha herramientas que permitan a los interesados -es decir, tanto usuarios como no usuarios- ejercer sus derechos y rectificar las falsedades que el chatbot genera sobre ellos. O, si corregir mentiras generadas por IA sobre personas nombradas resulta «técnicamente inviable», la DPA dice que la empresa debe proporcionar un medio para eliminar sus datos personales.
“OpenAI proporcionará herramientas de fácil acceso para permitir que los no usuarios ejerzan su derecho a objetar el procesamiento de sus datos personales como se invoca para la operación de los algoritmos. El mismo derecho debe otorgarse a los usuarios si se elige el interés legítimo como base legal para el tratamiento de sus datos”, añade, refiriéndose a otro de los derechos que el RGPD otorga a los interesados cuando se invoca el interés legítimo como base legal. base para el procesamiento. datos personales.
Todas las medidas anunciadas por el Garante son contingencias, en base a sus preocupaciones preliminares. Y su comunicado de prensa señala que sus investigaciones formales -«para establecer posibles infracciones de la ley»- continúan y podrían llevarlo a decidir tomar «medidas adicionales o diferentes si resulta necesario al final de la investigación en curso». ”
Nos comunicamos con OpenAI para obtener una respuesta, pero la empresa no había respondido a nuestro correo electrónico hasta el momento de la publicación.