Hasta hace poco lo la inteligencia artificial nos sonaba a ciencia ficción y un futuro aún por llegar, sin embargo, la irrupción de las IA generativas de texto, especialmente ChatGPT, han acercado mucho ese futuro y cada vez son más los usuarios, particulares y empresas, que se animan a usar esta tecnología con infinidad de fines. Pero como toda tecnología que aún se está desarrollando, la IA puede entrañar riesgos para la privacidad de sus usuarios; por ello, en este artículo abordamos los problemas que plantea el uso de ChatGPT para la protección de datos.
En este artículo hablamos de:
¿Qué datos personales recopila ChatGPT?
Es la pregunta que cualquier persona que esté pensando en hacerse una cuenta de usuario y usar ChatGPT debería hacerse. La respuesta, que podemos hallar en la política de privacidad de OpenAI, la empresa matriz de esta IA, sin embargo, no es todo lo clara y transparente que debería ser.
De acuerdo a la política de privacidad (que está en inglés), ChatGPT recaba los siguientes datos personales de sus usuarios:
- Datos para crear una cuenta de usuario y usar el chat de OpenAI, entre los que se incluyen nombre, email, móvil, contraseñas e información de pago.
- Contenido de nuestros mensajes o de las preguntas o textos o imágenes (si estamos usando ChatGPT-4) que introducimos en la plataforma
- Dirección IP, tipo de navegador y configuración, fecha y hora de la interacción y cómo se interacciona con el sitio. Así como datos del país, tipo de dispositivo y conexión.
- Datos sobre cómo usamos la plataforma, como puede ser el tipo de contenido por el que preguntamos o compartimos, las funciones que usamos y las acciones que llevamos a cabo durante nuestro tiempo en la plataforma.
Estos son los datos personales que ChatGPT recaba con el consentimiento de los usuarios, ya que en el momento en que nos creamos una cuenta para poder usarlo, estamos dando ese consentimiento (de no querer hacerlo, no deberíamos pasar de la página de login de ChatGPT).
Es muy probable, dada la forma en la que se ha entrenado esta IA, que también se recaben datos personales de no usuarios (datos personales que puedan aparecer en los textos subidos a internet con los que se alimenta a estos tipos de inteligencia artificial).
¿Cumple ChatGPT el Reglamento general de Protección de Datos?
Esta es la pregunta que se han comenzado a hacer diferentes autoridades de control de protección de datos europeas y algunos usuarios; ¿cumple ChatGPT el Reglamento General de Protección de Datos (RGPD)?
Atendiendo a su política de privacidad, parece que ChatGPT no estaría cumpliendo con el Reglamento europeo de protección de datos de manera adecuada. Ya para empezar, la política de privacidad está en inglés, cuando debería ofrecerse en el idioma del país en el que se presta el servicio. Pero los problemas con la transparencia en la información de los tratamientos de datos personales que realiza no acaban ahí.
La redacción de la propia política es abierta y muchas veces vaga, por ejemplo, no se especifican a qué terceros se pueden comunicar los datos personales que recaba OpenAI a través del uso del chat, ni con qué fines de manera clara (más allá de una descripción genérica relacionada con sus obligaciones legales y necesidades comerciales), solo nos advierten de qué puede ocurrir.
Esa redacción abierta también hace dudar sobre el origen de los datos personales que el chat puede darnos en las respuestas, cómo decíamos antes, es posible que se estén compartiendo datos personales sin el consentimiento de los interesados, y que, además, esos datos puedan ser erróneos.
Y esto nos lleva a otra cuestión, la relacionada con los derechos ARSULIPO. Los usuarios con cuenta pueden solicitar el acceso a sus datos y rectificar aquellos que no sean correctos en su perfil. Sin embargo, los no usuarios no tienen ninguna forma de ejercer sus derechos de supresión, rectificación o limitación, lo que ya contradice el RGPD.
Además, las «conversaciones» mantenidas con ChatGPT se conservan durante 30 días, y, si aceptamos que se guarden en nuestro historial, también aceptamos que sean usadas para entrenar a ChatGPT, por lo que cualquier información personal, propia o de terceros, que hayamos introducido en esas conversaciones, podría quedar expuesta (este es uno de los motivos por lo que en algunas empresas que manejan información confidencial, se ha prohibido su uso).
En esa línea, cabe preguntarse también si se estaría produciendo un tratamiento automatizado de la información tal y como se recoge en el RGPD. A fin de cuentas, estamos introduciendo información personal en una plataforma que va a gestionarla y procesarla mediante un algoritmo, tanto para respondernos como para usar esos textos para su entrenamiento. Y si fuera el caso, no parece que tengamos posibilidad de ejercer nuestro derecho de oposición, al menos no tal y como exige el RGPD.
Otro problema de cumplimiento del RGPD que presenta ChatGPT, es la transferencia de datos a EE. UU., donde OpenAI tiene su sede y país al que, actualmente, la Comisión Europea no considera seguro enviar datos personales. En la política de privacidad no se habla de transferencias internacionales de datos a EE. UU., pero cabe pensar que se están realizando, puesto que OpenAI carece de sede en la UE por el momento.
¿Qué dice la AEPD sobre usar ChatGPT?
La AEPD (Agencia Española de Protección de Datos) todavía no se ha pronunciado oficialmente sobre si ChatGPT cumple o no con el RGPD, pero sí que ha comenzado de oficio actuaciones previas de investigación a OpenAI para determinar si se está incurriendo en un incumplimiento de la normativa.
Así mismo, también habría solicitado al Comité Europeo de Protección de Datos (CEPD) incluir ChatGPT en su siguiente reunión plenaria, para crear un grupo de trabajo que coordine y ponga en común las acciones y decisiones tomadas en torno a esta IA de las autoridades de control.
La autoridad de control de Italia ha prohibido el uso de ChatGPT
La que sí se ha pronunciado y de manera contundente ha sido la autoridad de control de Italia, Garante per la protezione dei dato personali, que a finales de marzo prohibió el uso de ChatGPT en el país de manera temporal, al considerar que vulneraba varios aspectos del RGPD.
Entre otras, la autoridad de control italiana alegó que OpenAI no justifica de manera suficiente el tratamiento de datos personales ni tiene un sistema de verificación de la edad adecuado, para evitar que los menores de 13 años usen el servicio sin supervisión.
Como decimos, la prohibición era temporal y finalmente se levantó el 30 de abril, día en que finalizaba el plazo dado por Garante para que OpenAi hiciera los cambios que le solicitaban. Entre esos cambios, están los que ya hemos abordado más arriba, la posibilidad de permitir o no que las conversaciones se guarden y se empleen para entrenar a ChatGPT, la posibilidad de exportar nuestros datos y, además, se habría habilitado un sistema para verificar la edad de los usuarios y no permitir que menores de 13 años utilicen ChatGPT.
¿Podría prohibirse el uso de ChatGPT en España?
Esta pregunta no es fácil de responder, porque aparte de los problemas de privacidad que presenta ChatGPT, OpenAI también tiene otros frentes abiertos en materia de derechos de autor y propiedad intelectual (porque todos esos textos con los que ha sido entrenada han sido creados por alguien y, aunque estén publicados en internet, eso no quiere decir que no estén sujetos a derechos de autor), por lo que una prohibición temporal como la de Italia en España no es del todo descartable.
Ahora mismo ChatGPT y otras IA similares están aprovechando un aparente vacío legal y explotando la curiosidad de los usuarios, para poder operar y seguir alimentándose y entrenándose. Pero en lo que respecta a inteligencia artificial y protección de datos no hay un vacío legal, está el RGPD y si OpenAI quiere seguir operando en la UE, tendrá que terminar por adecuarse a este o enfrentar multas elevadísimas en el futuro.
La IA ha llegado para quedarse y servicios como ChatGPT seguirán apareciendo y desarrollándose, es inevitable y prohibirlos será casi imposible (pasó con internet en sus comienzos y pasó con los buscadores), por ello es fundamental que antes de usarlas nos informemos sobre sus políticas de privacidad y qué hacen con nuestros datos. Como fundamental es que los gobiernos comiencen a legislar para evitar los problemas que el uso y abuso de estas tecnologías traerán consigo.