¿Por qué Italia ha bloqueado ChatGPT?

La medida de emergencia del 30 de marzo, por la que la Autoridad Italiana de Protección de Datos (Garante Privacy) ordenó la «restricción temporal del tratamiento de datos personales de los interesados establecidos en territorio italiano» por parte de OpenAI L.L.C., una empresa estadounidense que desarrolla y opera ChatGPT, ha atraído mucha atención, no solo en Italia, sino en toda Europa¹. La medida, ordenada por la autoridad italiana en virtud del artículo 58, apartado 2, letra f), del Reglamento Europeo de Protección de Datos (RGPD), ha suscitado una reflexión sobre el impacto de este sistema en los datos personales, sobre el alcance de la intervención de la autoridad estatal y sobre la adecuación del GDPR en los avances tecnológicos. Una visión general de las diferentes etapas del caso puede ser útil, junto con algunas consideraciones sobre los puntos más controvertidos.

La medida de emergencia de Garante

Garante impugnó a OpenAI, en primer lugar, por la falta de información sobre el tratamiento de datos a través de ChatGPT, es decir, por la falta de comunicación sobre los fines y modalidades del propio tratamiento. Lo que falta, según la autoridad italiana, es un sistema que garantice la transparencia del posible consentimiento. En segundo lugar, Garante señala la falta de una base jurídica adecuada, es decir, una base que haga lícito el uso de datos personales (artículo 6 del GDPR), en el nivel de la recopilación de datos y de su tratamiento para impulsar los algoritmos que sustentan el funcionamiento de ChatGPT. La tercera queja se refiere a la inexactitud del tratamiento de los datos, «ya que la información facilitada por ChatGPT no siempre corresponde a los datos reales», según denuncian numerosos interesados; por último, se señala la ausencia de «toda verificación de la edad de los usuarios» (a pesar de que, según las condiciones publicadas por OpenAI, el servicio ChatGPT está reservado para mayores de 13 años), lo que expone a los menores de la edad estipulada a respuestas «inadecuadas para su grado de desarrollo y conocimiento de sí mismos».

La Autoridad exhortó a OpenAI a comunicar las iniciativas «adoptadas para aplicar las disposiciones prescritas» y a «proporcionar cualquier elemento que se considere útil para justificar las infracciones señaladas», en un plazo de 20 días. A raíz de esta medida, el mismo día de la decisión de Garante, la empresa bloqueó el uso del servicio desde Italia, aunque la Autoridad sólo ordenara la limitación temporal del tratamiento de datos de personas ubicadas en Italia. La limitación consiste, entre otras cosas, en hacer inaccesibles para los usuarios determinados datos personales o suprimir temporalmente los datos publicados por un sitio para que «no sean objeto de tratamiento ulterior» (considerando 67 del GDPR).

Tras la medida urgente, ratificada por el Colegio el 8 de abril, el 5 de abril de 2023, se celebró por teleconferencia una reunión entre Garante y la empresa. En notas remitidas a Garante los días 6 y 7 de abril, OpenAI manifestó su voluntad de colaboración y solicitó, asimismo, el levantamiento de la medida cautelar de restricción. Tomando en cuenta la información obtenida y la voluntad expresada por la empresa de «ejecutar una serie de medidas concretas para proteger los derechos y libertades de los interesados, cuyos datos fueron tratados para el entrenamiento de los algoritmos utilizados para la prestación del servicio ChatGPT y de los propios usuarios del servicio», el 11 de abril, Garante adoptó una nueva medida (de conformidad con el artículo 58, apartado 2, letra d), del GDPR)². Contiene una serie de medidas y requisitos que OpenAI deberá cumplir para que el tratamiento de los datos personales se ajuste al Reglamento de la Unión Europea.

Condiciones para la suspensión de la restricción provisional

Para obtener la suspensión de la restricción provisional, OpenAI deberá, en primer lugar, antes del 30 de abril, redactar una nota informativa dirigida a los interesados, aunque no sean usuarios del servicio, cuyos datos hayan sido tratados para impulsar el algoritmo, en la que explique «las modalidades del tratamiento, la lógica subyacente al tratamiento necesario para el funcionamiento del servicio, sus derechos como interesados y cualquier otra información exigida por el Reglamento de la Unión Europea». Además, «para los usuarios que se conecten desde Italia, habrá que presentar la nota informativa antes de proceder al registro; también, antes de proceder al registro, se les pedirá a los usuarios que declaren que son mayores de edad. Para los ya registrados, la nota informativa deberá presentarse en el primer acceso tras la reactivación del servicio y, en esa ocasión, se les pedirá que pasen un filtro de edad que excluye, en función de la edad declarada, a los usuarios menores de edad».

Además, OpenAI tendrá que poner a disposición de los interesados, incluidos los que no sean usuarios del servicio y los que se conecten desde Italia, «una herramienta que les permita solicitar y obtener la rectificación de sus datos personales que hayan sido tratados de forma inexacta en la generación de los contenidos o, en caso de imposibilidad debido al estado de la técnica, la supresión de sus datos personales». OpenAI también tendrá que cambiar la base jurídica del tratamiento con fines de formación de algoritmos, pasando del contrato al consentimiento o al interés legítimo. Cabe señalar que este último puede constituir una base jurídica válida si, tras sopesarlo con los intereses o derechos y libertades del interesado, el responsable del tratamiento (en este caso, OpenAI) lo considera superior en virtud del principio de responsabilidad. OpenAI también tendrá que permitirles a los interesados que no sean usuarios ejercer, de forma sencilla y accesible, su derecho a oponerse al tratamiento de sus datos personales utilizados para el entrenamiento de algoritmos y reconocerles un derecho similar a los usuarios, si identifica el interés legítimo como base jurídica del tratamiento.

Éstas son las condiciones que deben cumplirse antes de finales de abril para que se levante la restricción. Sin embargo, eso no es todo. Antes del 15 de mayo de 2023, OpenAI tendrá que presentar «una campaña informativa, de carácter no promocional, en todos los medios de comunicación principales de Italia (radio, televisión, periódicos e Internet), cuyo contenido deberá acordarse con Garante para informarle a la gente que sus datos personales pueden recopilarse con el fin de entrenar algoritmos, que se ha publicado un aviso informativo detallado en el sitio web de la empresa y que se pondrá a disposición una herramienta, también en el sitio web de la empresa, a través de la cual todos los interesados podrán solicitar y obtener la supresión de sus datos personales». Además, antes del 31 de mayo de 2023, deberá presentarse a la Autoridad un plan para la adopción de herramientas de verificación de edad que excluyan a los usuarios menores de 13 años y a los menores de edad del acceso al servicio en ausencia de manifestación expresa de voluntad por parte de quienes ejerzan la patria potestad. El plan deberá aplicarse antes del 30 de septiembre de 2023.

Crítica a la medida de emergencia de Garante

En la medida de emergencia, Garante ordenó que se identificaran los datos objeto de la restricción temporal y que se excluyeran del tratamiento. La empresa podría haber seguido ofreciendo su servicio aislando los datos de los usuarios afectados y facilitando las aclaraciones solicitadas. Evidentemente, no lo hizo porque el modo de funcionamiento de ChatGPT, cuyo sistema se basa en grandes e indistintas cantidades de datos, no permite excluir los datos de las personas en Italia. Una de las críticas formuladas hacia Garante se refiere, precisamente, a la imposibilidad de limitar el tratamiento, lo que condujo al inevitable y consiguiente bloqueo del servicio en Italia: esto demostró la insuficiencia de la medida adoptada, ya que exige una operación que no puede llevarse a cabo. 

De hecho, la incapacidad de aislar los datos de los usuarios supuso el reconocimiento de una infracción del GDPR. Si OpenAI no puede responder a las solicitudes de la Autoridad, dado que el mecanismo implementado por la inteligencia artificial no permite excluir del sistema datos específicos de los usuarios, esto significa que dichos datos no pueden ser aislados por la empresa, incluso si los usuarios individuales solicitan que se actualicen, corrijan o eliminen o si desean que se restrinja su uso (precisamente, lo que solicitó Garante). Se trata de derechos que el GDPR les confiere a los interesados (artículos 15 a 22) y quienes tratan sus datos deben poder permitirles ejercerlos.

Ésta es la principal diferencia entre un motor de búsqueda, en el que el usuario es quien debe evaluar los resultados propuestos y decidir qué fuentes utilizar, y ChatGPT, que proporciona un resultado preempaquetado, cuya fuente se pierde en el proceso de entrenamiento: los datos proporcionados por cualquier motor de búsqueda siempre pueden aislarse, para corregirlos, modificarlos o eliminarlos a petición de los interesados, lo que, ciertamente, no es posible para ChatGPT. Además, los datos procesados por OpenAI no son sólo los utilizados para entrenar a la máquina para dar respuestas, sino, también, los que el usuario genera y comparte formulando sus propias preguntas. Estas preguntas se formulan al chatbot de forma más elaborada y personalizada que la forma en la que se expresan para un motor de búsqueda, lo que también implica la posible revelación de datos sensibles que contribuyen a apuntalar los activos informativos utilizados por el sistema.

Otra crítica formulada hacia Garante se refiere a la insuficiencia de la motivación de su medida, sobre todo, porque no se detectó emergencia ni gravedad real de la situación. En esencia, se objeta que la facultad de la Autoridad para adoptar medidas cautelares coercitivas deba ser proporcional a la urgencia de bloquear situaciones de tratamiento ilícito de datos que causen un perjuicio grave y real para los derechos de los interesados (como en el caso de la publicación de fotos y videos relacionados con pornografía vengativa, violencia contra menores o videos o audio publicados ilegalmente en línea). En estos casos, la gravedad y la urgencia de bloquear el tratamiento serían evidentes, lo que no ocurriría con el requerimiento judicial contra ChatGPT.

Estas críticas van acompañadas de observaciones sobre la inadecuación del GDPR para los usos de inteligencia artificial, una inadecuación que debería haberle sugerido a Garante una aplicación menos severa del Reglamento. Por esta razón, algunos señalan que la autoridad italiana habría hecho mejor en coordinarse con los demás Garantes europeos y con el Consejo Europeo de Protección de Datos (CEPD) en el caso de ChatGPT. Con respecto a esto, cabe señalar que, con OpenAI, el procedimiento coordinado previsto por el GDPR para la intervención de las distintas autoridades europeas (art. 60 del GDPR) no pudo aplicarse, ya que la empresa no tiene su sede en Europa (sólo un representante legal tiene su sede en Irlanda). En este caso, cada autoridad puede actuar de forma independiente. En otras palabras, la autoridad (la del país en el que tiene su sede la empresa, si radica en la Unión Europea, o la que detecta por primera vez una infracción) siempre puede actuar rápidamente, a la espera de una investigación más exhaustiva. En cambio, la coordinación previa de 27 autoridades, cada una con sensibilidades y prioridades diferentes, llevaría tiempo.

Estos puntos sobre la labor de Garante deben tomarse debidamente en cuenta. Sin embargo, hay que considerar un punto clave: nunca es fácil conciliar el cambio tecnológico con las normas existentes, que, de todos modos, siempre van a la zaga del progreso, debido a su propia naturaleza y al calendario de los procesos legislativos. La Autoridad dispone de una cierta caja de herramientas con la que puede intervenir cuando detecta el riesgo de una violación grave de los derechos de los usuarios, de modo que no continúe ningún tratamiento perjudicial y se protejan los derechos. En cuanto a la crítica de las modalidades utilizadas, es decir, una medida adoptada a toda prisa, cabe señalar que estas modalidades fueron una especie de adoquín en el estanque, al hacer visible el problema del tratamiento de datos personales en el contexto de un sistema de inteligencia artificial, no sólo a escala europea, sino mundial también.

Intervenciones en ChatGPT

Italia no está sola. El 30 de marzo, el Center for AI and Digital Policy (CAIDP) le pidió a la Comisión Federal de Comercio (FTC) de EEUU que investigara a OpenAI en relación con ChatGPT³; acusó a la empresa de violar la Sección 5 de la Ley de la Comisión Federal de Comercio, que prohíbe «actos desleales o engañosos relacionados con el comercio». La denuncia afirma que el uso de inteligencia artificial debe ser «transparente, explicable, justo y empíricamente válido y promover la responsabilidad», mientras que ChatGPT de OpenAI «no cumple ninguno de estos requisitos» y es «tendencioso, engañoso y supone un riesgo para la privacidad y la seguridad pública». Posteriormente, el Bureau Européen des Unions de Consommateurs (BEUC), organización conformada por 46 asociaciones europeas de consumidores de 32 países (Altroconsumo, en el caso de Italia), les pidió a las autoridades de protección de la intimidad que evaluaran el tratamiento de datos de ChatGPT⁴.

La autoridad canadiense de protección de datos también abrió una investigación para OpenAI, el 4 de abril, a raíz de una denuncia por recopilación, uso y divulgación de información personal sin consentimiento⁵. «La tecnología de IA y sus efectos sobre la privacidad son una prioridad» para «vigilar y anticiparse a los rápidos avances tecnológicos», según declaró Philippe Dufresne, comisario de la autoridad canadiense. Los supervisores de Francia, Alemania e Irlanda también han iniciado investigaciones sobre ChatGPT⁶ para determinar si OpenAI incumple el RGPD.

Por último, la Agencia Española de Protección de Datos le solicitó al EDPB que abordara la cuestión de OpenAI a escala europea⁷, con el fin de disponer de un enfoque y de una interpretación uniformes entre las distintas autoridades de la Unión. El 13 de abril, el EDPB decidió poner en marcha un grupo de trabajo sobre ChatGPT a raíz de la restricción provisional de tratamiento adoptada por Garante. «El objetivo de este grupo de trabajo es promover la cooperación y el intercambio de información sobre cualquier iniciativa de aplicación del Reglamento de la Unión Europea por parte de las autoridades de protección de datos». En otras palabras, el EDPB desempeñará la tarea (prevista para el Comité Europeo por el RGPD) de fomentar la cooperación entre los Estados y de evaluar la coherencia de la aplicación del Reglamento.

En conclusión, la intervención de Garante Privacy, estigmatizada por algunos por las consecuencias que habría tenido sobre el funcionamiento de ChatGPT en Italia, tuvo un resultado positivo. La Autoridad italiana fue la primera en señalar un problema que, gracias a su iniciativa, está bajo evaluación y en debate en el Comité Europeo. Así pues, contrariamente a lo que han afirmado algunos, la iniciativa de Garante, lejos de querer frenar la innovación digital y, en particular, el desarrollo de la inteligencia artificial, supone un paso importante para garantizar que el uso de nuevas tecnologías pueda llevarse a cabo respetando la protección de los datos personales dando a conocer las modalidades y finalidades del tratamiento de dichos datos. Esto beneficia no sólo a los usuarios del servicio y a las personas cuyos datos se tratan, sino al conjunto de la sociedad también. Es de esperarse que se adopte, cuanto antes, la legislación sobre la Ley de Inteligencia Artificial para formular las normas con visión de futuro y que no estén ya obsoletas en el momento de su promulgación. El caso de ChatGPT podría servir de lección.