Google anuncia nuevas iniciativas de ciberseguridad
Google, el gigante tecnológico global, ha publicado un libro blanco en el que propone varias propuestas para hacer frente a las amenazas actuales. El sector de la ciberseguridad ha mejorado en muchos aspectos, tanto en lo relacionado a los avances tecnológicos como a la colaboración. No obstante, como señala Charley Snyder, Head of Security Policy, en Google, aún tiene por delante numerosos retos, especialmente en el ámbito de la gestión de vulnerabilidades. La cuestión de las vulnerabilidades de seguridad parece atrapada en un círculo: se detecta una vulnerabilidad, se corrige con un parche, poco después aflora otra, y así una y otra vez. En los últimos años, Project Zero, un equipo independiente de Google que estudia vulnerabilidades de día cero en los sistemas de hardware y software, ha puesto en marcha nuevos estudios e iniciativas para implementar mejoras en la lucha contra dichas vulnerabilidades. Google planea contribuir a cerrar las brechas en el ecosistema Con frecuencia, los riesgos de las vulnerabilidades de día cero persisten incluso después de que se conozcan y se corrijan. Por ejemplo, existen riesgos asociados a los plazos de adopción de los parches por parte de los OEM, problemas durante las pruebas de los parches, dificultades para que los usuarios realicen actualizaciones etc. Y no solo eso: de todas las vulnerabilidades de día cero que han sido explotadas de alguna manera y que se detectaron a lo largo de 2022, más de una tercera parte fueron variantes de otras que ya se habían parcheado con anterioridad, lo que equivale a decir que la vulnerabilidad original no se había corregido por completo. Lea también: Ciberseguridad para padres: conoce una herramienta clave para una navegación segura En este escenario Google ha publicado un libro blanco en el que propone varias iniciativas para hacer frente a estos riesgos: Una mayor transparencia sobre la explotación de vulnerabilidades y la adopción de parches por parte de proveedores y organismos públicos, para que la comunidad pueda diagnosticar mejor si los enfoques actuales funcionan. Una mayor atención a los puntos de fricción en todo el ciclo de vida de las vulnerabilidades, para garantizar que los riesgos para los usuarios se abordan de forma exhaustiva. Buscar la causa raíz de las vulnerabilidades y promover prácticas modernas para el desarrollo de un software seguro, con capacidad para cortar en origen vías completas de ataque. ¿Cómo corregir el ecosistema? Según Google, para avanzar en seguridad hace falta cooperación entre todas las partes interesadas: la industria, que desarrolla plataformas y servicios susceptibles de ser atacados; los investigadores, que no solo detectan vulnerabilidades, sino que apuntan medidas correctivas que pueden cerrar vías completas de ataque; los usuarios, que (lamentablemente) se ven obligados a hacer más de lo que deberían en materia de seguridad; y los gobiernos, que pueden crear estructuras de incentivos e influir en el comportamiento de todos los demás actores. En esta coyuntura anuncia: Hacking Policy Council Por primera vez, se están haciendo leyes (unas ya aprobadas y otras en fase de propuesta) que exigen revelar las vulnerabilidades de forma privada a los gobiernos en determinadas circunstancias. Google es miembro fundador del Hacking Policy Council, un grupo formado por organizaciones y líderes con ideas afines, con un objetivo concreto: que toda la nueva reglamentación se base en las mejores prácticas sobre revelación y gestión de vulnerabilidades y que no suponga una merma de seguridad para los usuarios. Fondo para la Defensa Jurídica de la Investigación sobre Seguridad En muchos casos, los que detectan y comunican vulnerabilidades son individuos que trabajan de forma independiente y actúan de buena fe. Su labor da a los titulares de esos productos la oportunidad de corregir las vulnerabilidades antes de que un atacante pueda explotarlas en su beneficio. Sin embargo, no es raro que estas personas se enfrenten a amenazas legales, lo cual desincentiva la investigación sobre seguridad y la divulgación de vulnerabilidades, sobre todo en el caso de personas sin acceso a un buen asesoramiento legal. El Fondo para la Defensa Jurídica de la Investigación sobre Seguridad tiene como objetivo ayudar a financiar la representación legal de personas que realicen investigaciones de buena fe, en casos que aporten avances en ciberseguridad de interés público. Transparencia sobre las actividades de explotación Una mayor transparencia en torno a la explotación de las vulnerabilidades ayuda a los usuarios a tomar medidas para protegerse, permite conocer cómo actúan los atacantes y puede resultar en una mayor protección general. Según Google esta transparencia debería formar parte de las políticas estándar del sector sobre divulgación de vulnerabilidades. La transparencia se convierte así en un elemento explícito y se asume compromiso de divulgar públicamente cualquier situación en la que se ha explotado alguna vulnerabilidad de cualquiera de los productos de la compañía. FUENTE: Enériz, Pilar. »Google anuncia nuevas iniciativas de ciberseguridad» Elperiodico.com. 15/04/23. (https://www.elperiodico.com/es/tecnologia/20230415/google-anuncia-nuevas-iniciativas-ciberseguridad-86036838https://www.elperiodico.com/es/tecnologia/20230415/google-anuncia-nuevas-iniciativas-ciberseguridad-86036838).
Vietnam emite un decreto histórico de protección de datos personales
El gobierno de Vietnam promulgó el Decreto No. 13/2023/ND sobre Protección de Datos Personales («PDPD»), luego de una extensa consulta pública y múltiples rondas de revisión desde la primera publicación de la versión preliminar en febrero de 2021. Este es el instrumento legal largamente esperado que fue diseñado para ser la primera regulación integral de protección de datos personales en Vietnam. Está previsto que el PDPD entre en vigor el 1 de julio de 2023, sin ningún período de transición. Todas las organizaciones e individuos vietnamitas y extranjeros ubicados en Vietnam y/o directamente involucrados o relacionados con actividades de procesamiento de datos personales en Vietnam deben cumplir con la PDPD. Como era de esperar, la PDPD de Vietnam establece requisitos significativamente nuevos con respecto al procesamiento de datos personales. Las disposiciones más importantes incluyen: Responsabilidades de los interesados y encargados del tratamiento, dentro de los aportes principales de la nueva PDPD Vietnamita Otras noticias: Bruselas espera aprobar en verano decisión para transferencia de datos a EE.UU. PDPD tendrá efectos de gran alcance en prácticamente todas las operaciones comerciales en Vietnam. FUENTE: Zacarias, Eugénio. »Vietnam emite un decreto histórico de protección de datos personales» Islalocal.com. 18/04/23. (https://www.islalocal.com/vietnam-emite-un-decreto-historico-de-proteccion-de-datos-personales/).
España ya se plantea prohibir ChatGPT por su impacto en la privacidad: Europa sigue el camino de Italia
Hace menos de dos semanas Italia decidió prohibir el uso de ChatGPT en el país. La razón, la supuesta recopilación ilícita de datos personales. La situación de esta plataforma de inteligencia artificial se complica en otras zonas del mapa, y el último país en plantear la prohibición es España. La Agencia Española de Protección de Datos (AEPD) presentó una solicitud ante el Comité de Protección de Datos de la Unión Europea. En esa petición se destacó la necesidad de evaluar el impacto que ChatGPT puede tener en la protección de los datos. En declaraciones a Reuters un portavoz de AEPD indicaba que «la AEPD entiende que los tratamientos globales que puedan tener un impacto significativo en los derechos de las personas requieren decisiones coordinadas a nivel europeo». Añadían además que en el próximo pleno del Comité se debata sobre este tema «para que se puedan poner en marcha acciones armonizadas en el marco de la aplicación del Reglamento General de Protección de Datos». Lea también: Protección de Datos en España, multa a BBVA con 140.000 euros por ceder al Banco de España información de una clienta Francia, Irlanda, Alemania, Estados Unidos y China también se muestran preocupados El país galo también ha mostrado sus reservas en este ámbito. La Comisión Nacional de Informática y Libertades (CNIL) anunció que está investigando varias quejas sobre ChatGPT, aunque no ofreció detalles específicos. Alemania e Irlanda también estaban considerando seguir los pasos de Italia. La administración Biden ha comenzado a evaluar si es necesario poner barreras al uso de ChatGPT. Es, según The Wall Street Journal, un primer paso hacia una potencial regulación. En ese texto también se menciona cómo la entidad reguladora de internet en China también propuso controles estrictos al tipo de contenido que se puede generar por parte de plataformas como ChatGPT. La capacidad de ChatGPT es asombrosa, pero desde su aparición se ha comprobado cómo esta plataforma de inteligencia artificial no sabe guardar un secreto. Tanto usuarios profesionales como particulares pueden acabar introduciendo información sensible o personal para resolver sus dudas, y puede que el tratamiento de datos de OpenAI no cumpla con el RGPD. De momento, poco. Su política de privacidad no menciona razones legales para usar la información personal de los usuarios para entrenar sus sistemas, pero se apoya en el «interés legítimo» cuando habla del desarrollo de servicios. En el informe técnico de GPT-4 se indica que sus datos de entrenamiento podrían incluir «información personal públicamente disponible», y se añade que OpenAI toma medidas para proteger la privacidad, incluyendo modelos afinados que evitan que se puedan realizar preguntas personales sobre la gente. FUENTE: Pastor, Javier. »España ya se plantea prohibir ChatGPT por su impacto en la privacidad: Europa sigue el camino de Italia» Xataka.com. 12/04/23. (https://www.xataka.com/robotica-e-ia/espana-se-plantea-prohibir-chatgpt-su-impacto-privacidad-cada-vez-paises-se-plantean-que-hacer).
Protección de Datos en España, multa a BBVA con 140.000 euros por ceder al Banco de España información de una clienta
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 140.000 euros –84.000 finalmente por pago voluntario y reconocimiento de hechos– al banco BBVA por incumplir dos artículos del Reglamento General de Protección de Datos (RGPD) relacionados con el tratamiento ilícito de datos y el derecho de acceso. Podría interesarle: EEUU evalúa medidas contra la empresa rusa de ciberseguridad Kaspersky Lab Pues bien, todo comenzó en noviembre de 2021. Una ciudadana acudió a la AEPD a poner una reclamación porque se había dado cuenta de que BBVA estaba tratando sus datos de forma incorrecta. El banco había facilitado datos suyos a la Central de Información de Riesgos del Banco de España (CIRBE) por dos supuestas deudas. Cuando se enteró de ello solicitó al banco el acceso a sus datos personales ya que, además, dejó de ser clienta de BBVA en el año 2012. En concreto, la usuaria solicitó datos relacionados con una copia de unas grabaciones, el extracto y liquidación de la supuesta deuda, justificantes de saldo y movimientos de la cuenta. BBVA dijo que era una deuda reclamada judicialmente BBVA respondió a la usuaria y le explicó que se trataba de una deuda vencida y exigible que estaba siendo reclamada judicialmente, que no procedía suprimir sus datos por mantener posiciones activas con la entidad y que necesitaban más información respecto a las grabaciones que quería para poder localizarlas. En relación con la Central de Información de Riesgos del Banco de España, le comunicaron que dicho asunto estaba siendo tratado en los expedientes y que le darían respuesta cuando finalizasen. Contenido relacionado: Crece el Open Banking: ¿Cuáles son los peligros en ciberseguridad? Tras conocer los hechos, la AEPD comenzó a investigar para determinar qué era lo que había ocurrido. Pues bien, en relación con las deudas inscritas en CIRBE, desde la AEPD descubrieron que una era de 1999 y otra de 2014 fueron tipificadas como “descubiertos en cuenta” y fueron perdonadas por el banco tras la reclamación impuesta ante el Banco de España y la AEPD. Respecto al ejercicio del derecho de acceso, la usuaria solicitó unas grabaciones de conversaciones telefónicas efectuadas entre 2016 y 2021. Pero esos archivos nunca llegaron. El banco continuó reiterando que, para poder localizarlos, necesitaba más información como, por ejemplo, las fechas concretas o el número exacto de llamadas. Pero a la reclamante esto no le pareció una excusa al considerar que debían de llevar un control de ellas. Se le impuso un agravante en la sanción Por estos hechos se le ha imputado la comisión de dos infracciones por vulneración de los artículos 6.1 (licitud del tratamiento) y 6.15 (derecho de acceso) del RGPD. Y para determinar la cuantía de la sanción, ha considerado, en calidad de agravante, “la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de clientes o de terceros”. Pues además, el banco no remitió toda la información solicitada por la usuaria. Así las cosas, le impuso una sanción de 70.000 euros por cada una de las dos infracciones, por lo que la cantidad total ascendía a 140.000 euros. Pero la AEPD le dio la opción de acogerse a dos reducciones si reconocía los hechos y procedía al pago voluntario. El banco decidió aceptarlo y finalmente han pagado 84.000 euros que fueron pagados el 30 de enero de 2023.
Estados Unidos y China regularán el uso de ChatGPT
Estados Unidos y China anunciaron la implementación de regulaciones al uso de ChatGPT, al incumplir la normativa sobre protección de datos y carecer de filtros para menores. De esta manera, ambos países se suman a la decisión de Italia, que alegó la falta información para los usuarios y para todos los interesados cuyos datos recoge OpenAi y «una base jurídica que justifique la recogida y la conservación masiva de datos personales» para su prohibición. Contenido relacionado: ¿Cumple ChatGPT con la normativa europea en materia de protección de datos? La iniciativa del gobierno estadounidense para regular ChatGPT y otras tecnologías de IA El gobierno estadounidense dispuso un período de 60 días para recoger ideas sobre cómo legislar contra los efectos negativos de estos programas, que suponen un riesgo en campos tan dispares como la privacidad, la desinformación o el mercado laboral. ¿Qué dice el gobierno chino y cómo planea regular los servicios y uso de la Inteligencia Artificial en su país? Por su parte, la Administración del Ciberespacio de China dio a conocer un proyecto para regular los servicios de inteligencia artificial generativa, y aseguró que quiere que las empresas presenten evaluaciones de seguridad a las autoridades antes de lanzar sus productos al público. Lea también: Alemania podría seguir los pasos de Italia y prohibir la IA ChatGPT Más allá de lo sucedido en Italia, la Unión Europea pretende que los contenidos generados por inteligencia artificial lleven una advertencia específica para alertar a los usuarios. Alemania, Francia e Irlanda también implementarían regulaciones en el corto plazo. FUENTE: Internet y Tecnología. »Estados Unidos y China regularán el uso de ChatGPT» Ellitoral.com. 12/04/23. (https://www.ellitoral.com/internet-y-tecnologia/estados-unidos-china-regulacion-uso-inteligencia-artificial-chatgpt-italia-prohibicion-proteccion-datos-personales-menores-de-edad_0_eskZ60Jke0.html).
El Tribunal de Justicia de la Unión Europea dictaminó que corresponde a los tribunales nacionales definir si las clases online vulneran las normas sobre protección de datos.
El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó, en razón de una decisión prejudicial, que corresponde a los tribunales nacionales determinar si la normativa que regula la realización de clases escolares en modalidad online vulnera las normas europeas sobre protección de datos personales. Según la narración de los hechos, el Estado Federado de Hesse (Alemania), estableció un marco normativo para que durante la pandemia los escolares pudieran asistir a clases en modalidad videoconferencia, en plena pandemia del Covid-19. La legislación, que se mantuvo tras finalizar la emergencia, requiere el consentimiento de los padres para que sus hijos reciban clases a través de esta modalidad, o en su defecto, la autorización expresa de los estudiantes mayores de edad. Sin embargo, en virtud de la normativa no se necesita el consentimiento de los profesores. Por lo anterior, una asociación de docentes de Hesse interpuso un recurso contra las autoridades pertinentes, alegando que su exclusión vulnera la normativa sobre tratamiento de datos personales. En su contestación, las autoridades aseguraron que la legislación estatal prescribe que no se requiere el consentimiento de los profesores para la realización de las clases online. Lea también: Alemania podría seguir los pasos de Italia y prohibir la IA ChatGPT ¿Cómo interpretó el caso el Tribunal y cuál fue su análisis? Llegado el caso a instancias superiores, la corte albergó dudas sobre si la legislación de Hesse estaba en armonía con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, por lo que planteó una cuestión prejudicial al TJUE para que este interpretara la norma. En la especie, se debía determinar si “(…) la normativa nacional sobre cuya base se realiza el tratamiento de los datos personales de los docentes pertenece a la categoría de las «normas más específicas» que los Estados miembros pueden establecer, de conformidad con el artículo 88, apartado 1, del RGPD, para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral”. En su análisis de fondo, el Tribunal señala que “(…) una normativa nacional no puede constituir una “norma más específica”, a los efectos del apartado 1 del artículo 88, apartado 1, del RGPD, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo. Además, la aplicación de disposiciones nacionales adoptadas para garantizar la protección de los derechos y libertades de los trabajadores por lo que se refiere al tratamiento de sus datos personales en el ámbito laboral deberá excluirse cuando esas disposiciones no respeten las condiciones y los límites establecidos por el citado artículo 88”. Las conclusiones del Tribunal Agrega que “(…) uso de la expresión «más específicas», en el tenor del artículo 88, apartado 1, del RGPD, se desprende que las normas a las que se refiere esta disposición deben tener un contenido normativo propio del ámbito regulado, distinto de las reglas generales de dicho Reglamento. Asimismo, se desprende del tenor del artículo 88 del RGPD que el apartado 2 de este artículo delimita el margen de apreciación de los Estados miembros que pretenden establecer «normas más específicas» en virtud del apartado 1 de dicho artículo”. En definitiva, el Tribunal concluye que “(…) en caso de que el órgano jurisdiccional remitente llegara a la conclusión de que las disposiciones nacionales relativas al tratamiento de datos personales en el ámbito laboral no respetan las condiciones y los límites establecidos por el artículo 88, apartados 1 y 2, del RGPD, deberá comprobar además si dichas disposiciones constituyen una base jurídica contemplada en otro artículo del RGPD, que cumple las exigencias establecidas en el mismo Reglamento. Si es así, no deberá excluirse la aplicación de las disposiciones nacionales”. Al tenor de lo expuesto, el Tribunal resolvió que la normativa nacional sobre la realización de clases en modalidad online está comprendida dentro del ámbito de aplicación del RGPD, aunque corresponderá al tribunal remitente determinar si contraviene esta normativa. FUENTE: Noticias. »Normativa alemana que regula las clases en modalidad online está comprendida dentro del ámbito de protección de la legislación europea que regula el tratamiento de datos personales.» Diarioconstitucional.cl. 10/04/2023. (https://www.diarioconstitucional.cl/2023/04/10/normativa-alemana-que-regula-las-clases-en-modalidad-online-esta-comprendida-dentro-del-ambito-de-proteccion-de-la-legislacion-europea-que-regula-el-tratamiento-de-datos-personales/).
El INCIBE lanza un curso gratis de ciberseguridad: ¿Cómo puedes inscribirte?
El Instituto Nacional de Ciberseguridad (INCIBE) es una de las entidades nacionales más importantes en materia de ciberseguridad en España y el mundo, y sus responsables acaban de anunciar el lanzamiento de un nuevo curso de formación, que permite potenciar el talento en este ámbito. El Curso básico técnico de ciberseguridad es de acceso gratuito y tiene como objetivo ofrecer una visión general de las características de esta tecnología, comenzando por los puntos básicos de la ciberseguridad divididos en tres temas transversales e introductorios, para dar paso a aspectos más avanzados. El temario se completa a través de 4 especialidades: Podría interesarle: Ciberseguridad para padres: conoce una herramienta clave para una navegación segura Desde INCIBE destacan que este curso está dirigido a «personas que, sin conocimientos previos, se plantean la ciberseguridad como profesión». Habrá un equipo docente como apoyo durante el curso y una gran variedad de ejercicios prácticos. Es además un curso especialmente completo, como demuestra el hecho de que consta de 250 horas distribuidas en 17 semanas. La formación tendrá lugar del 11 de abril al 8 agosto 2023. Según INCIBE, para completarlo «los interesados tendrán que dedicarle unas 14 horas por semana». Esta formación tendrá además un alto componente práctico. La iniciativa es interesante, sobre todo teniendo en cuenta «la actual escasez de profesionales en el sector a nivel mundial». Este tipo de perfiles están entre los más demandados, según un informe reciente elaborado por el propio INCIBE. En sus conclusiones se indicaba que es necesario cubrir más de 83.000 puestos de trabajo en ciberseguridad antes de 2024. Estamos ante un curso orientado a «impulsar la captación del talento en ciberseguridad». Tras completar la formación será posible lograr un certificado, aunque para ello antes será preciso superar todas las pruebas del curso con un mínimo de un 75% de acierdos. Es además necesario «participar activamente en el foro y rellenar la encuesta de satisfacción final». El certificado, eso sí, no aporta puntos para presentarse a una potencial oposición. La inscripción en el curso es, insistimos, gratuita, y el periodo de inscripción se abrió desde el pasado 11 de abril de 2023. El registro se puede realizar online en el sitio web oficial de Formación del INCIBE. Será necesario crear una nueva cuenta en este organismo si no la teníamos, a partir de lo cual podremos acceder al sitio web e inscribirnos. FUENTE: Pastor, Javier. »INCIBE lanza un curso gratis de ciberseguridad: cuál es su temario y cómo puedes apuntarte» xataka.com. 10/04/23. (https://www.xataka.com/seguridad/incibe-lanza-curso-gratis-ciberseguridad-cual-su-temario-como-puedes-apuntarte).
EEUU evalúa medidas contra la empresa rusa de ciberseguridad Kaspersky Lab
La administración de Joe Biden intensificó su investigación de seguridad nacional sobre el antivirus Kaspersky Lab en 2022, a medida que aumentaba el temor a ciberataques rusos tras la invasión de Moscú a Ucrania. El Departamento de Comercio de Estados Unidos está sopesando la adopción de medidas coercitivas contra la empresa rusa de ciberseguridad Kaspersky Lab, informó el viernes el Wall Street Journal citando a personas familiarizadas con el asunto. El gobierno del presidente Joe Biden está estudiando una acción contra la empresa en virtud de sus normas de seguridad en línea, según el informe. La administración intensificó su investigación de seguridad nacional sobre el antivirus ruso Kaspersky Lab el año pasado, a medida que aumentaba el temor a ciberataques rusos tras la invasión de Ucrania por parte de Moscú. Lea también: Reino Unido multó a TikTok por infracciones a la ley de protección de datos La Oficina de Industria y Seguridad del Departamento de Comercio de Estados Unidos y Kaspersky Labs no respondieron de inmediato a las solicitudes de Reuters para hacer comentarios. EEUU y una nueva política de sanciones contra empresas extranjeras, entre las que se incluye a Kaspersky Lab La medida contra Kaspersky se produce tras la introducción de una nueva legislación estadounidense que permitiría a la Casa Blanca prohibir TikTok, con sede en China, u otras tecnologías extranjeras si suponen un riesgo para la seguridad nacional. Contenido relacionado: Alemania podría seguir los pasos de Italia y prohibir la IA ChatGPT FUENTE: Reuters. »EEUU evalúa medidas contra la empresa rusa de ciberseguridad Kaspersky Lab» Vozdeamerica.com. 07/04/23. (https://www.vozdeamerica.com/a/eeuu-medidas-contra-empresa-rusa-de-ciberseguridad-kaspersky-lab/7041123.html).
Alemania podría seguir los pasos de Italia y prohibir la IA ChatGPT
Alemania podría ser el siguiente país europeo en prohibir la popular herramienta de inteligencia artificial ChatGPT, tras la decisión que tomó Italia la semana pasada y que llevó a cabo con efecto inmediato. Así lo ha asegurado Ulrich Kelber, Comisionado Federal de Protección de Datos y Libertad de Información en Alemania, en una entrevista con el periódico Handelsblatt. El Garante Italiano para la Protección de Datos Personales, GPDP, prohibió la IA tras considerar que ChatGPT infringía los artículos 5, 6, 8, 13 y 25 del Reglamento General de Protección de Datos europeo. Preguntado por esta decisión, Kelber señaló que “en principio, una acción de este tipo también es posible en Alemania” y que correspondería a la jurisdicción de cada uno de los estados federados tomarla. Las autoridades reguladoras de Alemania y de otros países como Francia e Irlanda están en contacto con la italiana para “comprender la base de su acción y nos coordinaremos con todas las autoridades de protección de datos de la UE en relación con este asunto”, según ha explicado un portavoz del Comisionado de Protección de datos de Irlanda a Reuters. En la resolución publicada el pasado viernes, la autoridad italiana explicaba que abría una investigación sobre el tratamiento de los datos personales de los usuarios de ChatGPT que estaba realizando OpenAI, la empresa que ha desarrollado esta inteligencia artificial. Ordenó a la compañía “la limitación temporal del tratamiento de datos personales de los usuarios en el territorio italiano” y la dio un plazo de veinte días para comunicar las medidas que tome para funcionar de acuerdo a la reglamentación europea. De no hacerlo, OpenAI se expone a una multa de 20 millones de euros o de hasta el 4% de su facturación anual. El caso ChatGPT en Italia que marca un precedente para países como Alemania, Francia e Irlanda en la UE La compañía respondió inmediatamente a Italia suspendiendo el acceso a ChatGPT desde su territorio y procediendo al reembolso de la última cuota pagada por los suscriptores de la modalidad de pago de la herramienta, ChatGPT Plus. También señaló que colaboraría con las autoridades italianas. Podría interesarle: ¿Por qué Italia investiga a ChatGPT por su protección de datos y qué implica para el resto de la UE? ¿Por qué Italia ha prohibido ChatGPT? El GPDP alegó varias preocupaciones sobre el tratamiento de los datos personales que realiza ChatGPT. Por un lado, “la ausencia de base jurídica que justifique la recogida y almacenamiento masivos de datos personales con el fin de ‘entrenar’ los algoritmos que gestionan el funcionamiento de la plataforma” y el hecho de que los usuarios no tengan ninguna información sobre si sus datos forman parte de aquellos con los que ha sido entrenada la herramienta. La inexactitud de la información que ChatGPT proporciona en ocasiones es otro motivo, dado que lo considera un tratamiento erróneo de los datos personales. La Agencia Española de Protección de Datos no ha iniciado ninguna investigación sobre ChatGPT, pero sí ha declarado a Newtral que ha solicitado que el asunto se incluya en el próximo Plenario del Comité Europeo de Protección de Datos. FUENTE: Biurrun, Alfredo. »Alemania podría seguir los pasos de Italia y prohibir la IA ChatGPT» Larazon.es. 05/04/23. (https://www.larazon.es/tecnologia/alemania-podria-seguir-pasos-italia-prohibir-chatgpt_20230405642dc4757e9ad3000156b7a1.html).
