El investigador de ciberseguridad y privacidad Lukasz Olejnik presentó en agosto de 2023 una denuncia ante la Autoridad Polaca de Protección de Datos por supuesto incumplimiento del Reglamento General de Protección de Datos (GDPR) de la UE. Representado por el despacho GP Partners de Varsovia, Olejnik alega que OpenAI no ha respetado los principios de base legal, transparencia, equidad, derechos de acceso y privacidad por diseño que exige el GDPR. La denuncia, de 17 páginas, fue revisada por TechCrunch.
Cómo surgió la denuncia
El caso empezó en marzo de 2023 cuando Olejnik usó ChatGPT para generar una biografía propia y detectó varios errores. Pidió a OpenAI que los corrigiera y que le informara cómo se trataban sus datos para entrenar el modelo, dos derechos que el GDPR reconoce explícitamente. Después de varios intercambios de correos, OpenAI le comunicó que no podía corregir las inexactitudes y no le facilitó toda la información solicitada.
Para la denuncia, eso no es un fallo puntual: «OpenAI ignora sistemáticamente las disposiciones del GDPR sobre el procesamiento de datos para entrenar modelos dentro de ChatGPT, resultado de lo cual el Sr. Olejnik no fue debidamente informado sobre el procesamiento de sus datos personales», recoge el texto. El abogado de Olejnik, Maciej Gawronski, espera que el caso anime a las autoridades a profundizar en lo que considera violaciones sistemáticas, no excepciones.
El problema jurídico de la política de datos de OpenAI
El GDPR exige que el uso de datos personales sea justo, transparente y cuente con base jurídica clara. La política de datos de OpenAI ha sido cuestionada por ser vaga y difícil de entender, lo que en sí mismo puede constituir una infracción. Si las autoridades polacas dan la razón a Olejnik, el plazo estimado para la resolución oscila entre seis meses y dos años. La orden resultante obligaría a OpenAI a cumplir con las solicitudes del demandante.
Contexto: OpenAI y la regulación europea
Esta denuncia se sumó a una lista creciente de problemas legales para OpenAI en Europa. En junio de 2023 un bufete californiano presentó una demanda colectiva en EE. UU. por supuesto entrenamiento de ChatGPT con datos obtenidos sin permiso. Meses antes, Italia había bloqueado ChatGPT hasta que OpenAI demostrara cumplimiento con la normativa de privacidad, aunque el bloqueo se levantó pocas semanas después. La discusión sobre quién controla los datos usados para entrenar los modelos más potentes del mundo sigue siendo central en el debate sobre el futuro de la IA y sus condiciones de acceso.
El contexto regulatorio no afecta solo a OpenAI. Anthropic, con su enfoque en ciberseguridad y uso responsable de los modelos, ha apostado por diseñar sus sistemas con más transparencia desde el principio, lo que le da una posición diferente ante los reguladores europeos.
Fuente: TechCrunch
Preguntas frecuentes
¿Qué articulados del GDPR alega Olejnik que OpenAI ha incumplido?
La denuncia cita incumplimientos en los principios de base legal para el tratamiento de datos, transparencia, equidad, derechos de acceso del interesado y privacidad por diseño, todos ellos recogidos en el GDPR de la UE.
¿Puede OpenAI ser multada por esta denuncia?
Si la autoridad polaca determina que hubo infracción, puede ordenar medidas correctoras y, en su caso, imponer multas. El GDPR permite sanciones de hasta el 4% de la facturación anual global o 20 millones de euros, la cifra que sea mayor.
¿Ha sido ChatGPT prohibido en otros países europeos?
Sí. Italia bloqueó ChatGPT en marzo de 2023 por incumplimiento de la normativa de privacidad. El bloqueo se levantó en abril de ese año, tras acuerdos sobre medidas de transparencia y control para usuarios europeos.
¿Qué derechos da el GDPR a los usuarios sobre sus datos usados en IA?
El GDPR reconoce el derecho de acceso (saber qué datos se procesan), el derecho de rectificación (corregir inexactitudes), el derecho al olvido (pedir la eliminación de datos) y el derecho a oponerse al tratamiento automático, entre otros. En el contexto de los LLM, el ejercicio efectivo de estos derechos sigue siendo un territorio sin resolver.
