¿Cumple ChatGPT con la normativa europea en materia de protección de datos?

En los últimos meses hemos asistido a un uso masivo de ChatGPT, un sistema de chat desarrollado por OpenAI (que cuenta con Microsoft como uno de sus principales inversores) que, según el propio ChatGPT, está “basado en inteligencia artificial (IA) y en el procesamiento del lenguaje natural para simular conversaciones de tipo humano con los usuarios”.

La popularización de esta aplicación ha planteado toda índole de cuestiones, incluso éticas, especialmente en el ámbito educativo, ya que la intensificación de su uso se ha dado especialmente entre los más jóvenes en el ámbito académico para realizar sus tareas y trabajos.

A pesar del uso viral de esta herramienta, no muchos usuarios se han preguntado por el destino y uso de los datos que introducen en la aplicación a pesar de que se plantean muchas cuestiones en el ámbito de la privacidad y la protección de datos. ¿Cumple ChatGPT con la normativa europea en materia de protección de datos?

Podría interesarle: Italia se convierte en el primer país occidental en bloquear el acceso total a ChatGPT

Si le preguntamos a ChatGPT, ¿Qué dice sobre sí misma?

Vayamos a lo fácil. Si preguntamos a ChatGPT su respuesta nos garantiza que esta herramienta cumple con el Reglamento General de Protección de Datos (“RGPD”) de la Unión Europea, sin que ChatGPT almacene datos personales. Además, ChatGPT señala en su respuesta que solo recopila información de identificación personal cuando es necesario para cumplir con una solicitud específica del usuario, en cuyo caso se obtendría el consentimiento explícito del mismo previamente, de acuerdo con los principios y regulaciones del RGPD.

Sin perjuicio de la respuesta de la propia herramienta afirmando que cumple rigurosamente con el RGPD sin intromisión alguna, lo cierto es que si acudimos a la política de privacidad disponible en la página web de OpenAI. podemos observar que de hecho sí se derivan ciertas implicaciones en relación con el tratamiento de los datos personales de los usuarios que nos hacen plantearnos la veracidad de esta afirmación.

En primer lugar, para analizar la política de privacidad de OpenAI, debemos tener en cuenta que la misma está sujeta a la legislación de California y que en dicha política de privacidad se establece específicamente que, para aquellos usuarios internacionales, estos reconocen entender que su información personal será transferida desde su ubicación a las instalaciones y servidores de OpenAI en Estados Unidos. Esto no significa que no exista la obligación de cumplir con lo establecido en el RGPD de la UE por su parte, ya que el propio RGPD especifica que el mismo es de aplicación al tratamiento de datos personales en el contexto de las actividades del responsable o del encargado del tratamiento de datos personales en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión o no.

Lea también: ChatGPT ayuda a los delincuentes, según la Europol

Vayamos un poco más allá en el estudio de esta política de privacidad, en la que nos encontramos con varios puntos relevantes:

• OpenAI recopila información personal de los usuarios cuando estos crean una cuenta en OpenAI o se comunican con la misma. Asimismo, recopila el contenido de cualquier mensaje que se envíe. En cuanto a esto último, la redacción de la política de privacidad no deja claro si se refiere a comunicaciones que los usuarios intercambien con OpenAI con fines meramente comunicativos o si también incluye los mensajes y preguntas que dejamos en ChatGPT cuando usamos la herramienta.
• Cuando el usuario interactúa con los servicios ofrecidos por ChatGPT, puede recabar información sobre su visita, su uso o las interacciones realizadas, incluyendo la dirección IP del usuario y cómo ha interactuado con la herramienta.
• Se recopila automáticamente información sobre el uso de la aplicación por parte de los usuarios, tanto sobre los tipos de contenido que se visualizan, las funciones que se utilizan y las acciones que se realizan, como la zona horaria, país, sistema operativo, tipo de ordenador o dispositivo móvil del usuario.

Como podemos ver, la lectura de la política de privacidad disponible en la web de OpenAI no deja del todo claro que esté en cumplimiento con el RGPD, a pesar de que la propia herramienta de IA afirme lo contrario.

La política de privacidad de la herramienta no es clara referente al RGPD

El RGPD establece el principio de minimización de los datos, para cuya observación deben establecerse las medidas de carácter técnico y organizativo necesarias, de manera que los datos personales que se sometan a tratamiento sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Ello no aclara en relación a los datos que puedan ser almacenados en el modelo basado en IA en el que consiste ChatGPT. Tampoco queda claro que se estén respetando los principios de licitud, lealtad y transparencia a la hora de tratar dichos datos.

Otra de las preocupaciones que están sobre la mesa es la relativa al derecho que tenemos bajo el RGPD a solicitar que nuestra información personal sea eliminada de los archivos de una compañía (conocido como el derecho de supresión o derecho al olvido), derecho reconocido en virtud del artículo 17 del RGPD y que se pone en duda que pueda ser respetado por un modelo de IA que se alimenta constantemente de los datos almacenados, recogidos de otros usuarios y los cuales son necesarios para su propio funcionamiento, así como la mejora de su rendimiento.

Es indudable que avances tecnológicos de esta magnitud son importantes, no debemos perder de vista que, concretamente ChatGPT, está cerca de superar la cifra de 100.000.000 usuarios activos mensuales, lo que inevitablemente lleva a plantear discusiones no solo tecnológicas sino también éticas y jurídicas.

FUENTE: Udías, Celia. »¿Cumple ChatGPT con la normativa europea en materia de protección de datos?» Legaltoday.com. 31/03/23. (https://www.legaltoday.com/legaltech/novedades-legaltech/cumple-chatgpt-con-la-normativa-europea-en-materia-de-proteccion-de-datos-2023-03-31/).