La Agencia Española de Protección de Datos (AEPD) abrió en abril de 2023 una investigación de oficio contra OpenAI por el posible incumplimiento del Reglamento General de Protección de Datos (RGPD) en la operación de ChatGPT. España se incorporaba así al conjunto de países europeos que ese mes empezaron a cuestionar legalmente el tratamiento de datos del chatbot más utilizado del momento.
La investigación no partió de ninguna denuncia concreta. La propia AEPD decidió actuar de oficio, lo que indica que la Agencia encontró indicios suficientes para abrir expediente sin esperar a que un ciudadano o empresa lo solicitara. Los focos de atención son los habituales en este tipo de casos bajo el RGPD: la base jurídica que OpenAI emplea para tratar los datos, la información que ofrece a los usuarios y la posibilidad de que el modelo genere contenido inexacto que afecte a personas reales.
El EDPB crea un grupo de trabajo específico para ChatGPT
Antes de iniciar su propia investigación, la AEPD solicitó al Comité Europeo de Protección de Datos (EDPB, European Data Protection Board) que incluyera ChatGPT en el orden del día de su siguiente reunión plenaria. El Comité accedió y decidió constituir un grupo de trabajo (task force) para coordinar la respuesta de las autoridades nacionales y compartir información sobre los expedientes que cada una tuviera abiertos. El propósito era evitar que España, Italia, Francia o Alemania llegaran a conclusiones opuestas sobre el mismo servicio.
La AEPD participa en ese grupo europeo al mismo tiempo que mantiene activa su investigación nacional, actuando dentro de sus competencias como autoridad de supervisión y en coordinación con sus homólogas a través del EDPB.
En esa misma sesión, el Comité también resolvió la disputa entre la autoridad irlandesa de protección de datos y Meta Platforms Ireland sobre la legalidad de las transferencias de datos de usuarios de Facebook a Estados Unidos, un expediente que llevaba abierto desde 2020 y que el mecanismo de coherencia del RGPD había escalado al nivel europeo.
El precedente italiano: bloqueo, negociación y vuelta del servicio
La acción que impulsó la respuesta coordinada fue la del Garante per la protezione dei dati personali italiano. El 31 de marzo de 2023, la autoridad italiana ordenó el bloqueo cautelar de ChatGPT alegando falta de base jurídica para el tratamiento de datos de entrenamiento y ausencia de mecanismos para verificar la edad de los usuarios. OpenAI desactivó el acceso desde Italia durante aproximadamente un mes. Tras negociar con el Garante, el servicio volvió con ajustes: información más detallada al registrarse, opciones para ejercer los derechos de acceso y supresión de datos, y un sistema de verificación de edad.
Fue ese movimiento italiano el que llevó a la AEPD a plantear en el EDPB la necesidad de una respuesta conjunta. Según la Agencia, los tratamientos con impacto transfronterizo exigen acciones armonizadas para que el RGPD se aplique de forma coherente en todos los Estados miembros.
Qué significa esto para empresas y desarrolladores que usan la API de OpenAI
El alcance de esta investigación no se limita a OpenAI. Quien integra la API de ChatGPT en un producto que procesa datos de ciudadanos europeos también queda dentro del ámbito del RGPD. Según el marco legal, el integrador puede actuar como corresponsable del tratamiento o como encargado de OpenAI, dependiendo del nivel de control que ejerza sobre los datos y las instrucciones que dé al modelo. En ningún caso la responsabilidad queda enteramente en manos del proveedor.
Con la inferencia de IA ya integrada como carga crítica en muchas empresas, estas obligaciones legales son cada vez más urgentes de abordar. Las sanciones por incumplimiento del RGPD pueden alcanzar el 4% de la facturación mundial anual o 20 millones de euros, la que resulte mayor. Y al coste real del uso de IA en las empresas hay que añadir también el de la adecuación legal, que pocas organizaciones calculan al inicio del proyecto.
Este tipo de investigaciones se enmarca en el debate más amplio sobre la soberanía digital en Europa y el control de datos en plataformas extranjeras. Revistacloud analiza cómo la nube europea gana peso ante el debate sobre la soberanía digital, una tendencia que se ha acelerado desde que los reguladores empezaron a cuestionar el flujo de datos de ciudadanos europeos hacia servidores fuera de la UE.
Preguntas frecuentes
¿Qué puede hacer la AEPD si confirma el incumplimiento del RGPD por parte de OpenAI?
La Agencia puede imponer sanciones de hasta 20 millones de euros o el 4% de la facturación mundial anual de OpenAI. También puede ordenar la suspensión del tratamiento de datos hasta que la empresa adopte medidas correctoras y coordinarse con otras autoridades europeas para una respuesta conjunta más contundente.
¿Se bloqueó ChatGPT en España como ocurrió en Italia?
No. La AEPD optó por iniciar una investigación formal sin medidas cautelares de bloqueo. El servicio estuvo disponible en España durante todo el proceso.
¿Qué es el EDPB y qué papel juega en este caso?
El Comité Europeo de Protección de Datos (EDPB) agrupa a todas las autoridades nacionales de protección de datos de la UE y coordina la aplicación del RGPD en casos que afectan a varios países. En el caso de ChatGPT, creó un grupo de trabajo para que las autoridades compartan información y actúen de forma coherente.
¿Qué datos procesa ChatGPT de sus usuarios?
ChatGPT trata el contenido de las conversaciones, la dirección de correo electrónico, la IP, el dispositivo y otros datos de uso. Durante el entrenamiento de los modelos, OpenAI también usa texto extraído de internet que puede incluir datos personales de terceros. Ese doble tratamiento, operativo y de entrenamiento, es el que genera más preguntas legales bajo el RGPD.
¿Qué ocurrió con Meta en esa misma sesión del EDPB?
El EDPB resolvió la disputa entre la autoridad irlandesa y Meta sobre las transferencias de datos de Facebook a Estados Unidos, estableciendo las condiciones bajo las que esas transferencias eran o no conformes al RGPD. Era un expediente abierto desde 2020 que el mecanismo de coherencia europeo había escalado al nivel del Comité.
