El problema de las «alucinaciones» de ChatGPT ha enfrentado otra queja de privacidad en la UE

Créditos de imagen: Olivier Daulieri/AFP/Getty Images

OpenAI enfrenta otra queja de privacidad en la Unión Europea. Este caso, que fue presentado por una organización sin fines de lucro preocupada por los derechos de privacidad. noyb En nombre de un denunciante individual, apunta a la incapacidad del chatbot ChatGPT, impulsado por inteligencia artificial, para corregir la información errónea que genera sobre las personas.

La tendencia de las herramientas GenAI a producir información falsa está bien documentada. Pero también pone a la tecnología en curso de colisión con el Reglamento General de Protección de Datos (GDPR) del bloque, que rige cómo se procesan los datos personales de los usuarios regionales.

Las sanciones por incumplimiento del RGPD pueden ascender hasta el 4% del total de las ventas anuales globales. Más importante aún para un gigante rico en recursos como OpenAI: los reguladores de protección de datos podrían ordenar cambios en la forma en que se procesa la información, por lo que la introducción del RGPD podría remodelar la forma en que operan las herramientas de IA generativa en la UE.

OpenAI ya se vio obligada a realizar algunos cambios después de la intervención temprana de la Autoridad Italiana de Protección de Datos, que obligó brevemente a ChatGPT a cerrar localmente en 2023.

Ahora noyb ha presentado su última queja GDPR contra ChatGPT ante la Autoridad de Protección de Datos de Austria en nombre de un denunciante anónimo (descrito como una «figura pública») que descubrió que su chatbot impulsado por IA les había proporcionado una fecha de nacimiento incorrecta.

Según el Reglamento General de Protección de Datos, las personas en la UE tienen una serie de derechos asociados con la información sobre ellos, incluido el derecho a que se corrijan los datos inexactos. noyb afirma que OpenAI no cumple con esta obligación con respecto al resultado de su chatbot. Dijo que la empresa rechazó la solicitud del denunciante de corregir la fecha de nacimiento incorrecta, por considerar técnicamente imposible corregirla.

En cambio, ofreció filtrar o bloquear datos según ciertas indicaciones, como el nombre del denunciante.

Abierto AI política de privacidad Establece que los usuarios que noten que su chatbot de IA ha generado «información inexacta sobre usted» pueden enviar una «solicitud de corrección» a través de Privacidad.openai.com O por correo electrónico a [email protected]. Sin embargo, advierte sobre esta línea con la advertencia: «Debido a la complejidad técnica de cómo funcionan nuestros modelos, es posible que no podamos corregir las imprecisiones en todos los casos».

En este caso, OpenAI sugiere que los usuarios soliciten que su información personal se elimine por completo del resultado de ChatGPT, completando un formulario. formulario web.

El problema para el gigante de la IA es que sus derechos GDPR no son selectivos. Los ciudadanos de Europa tienen derecho a pedir corrección. También tienen derecho a solicitar la supresión de sus datos. Pero, como señala Noib, OpenAI no tiene derecho a elegir ninguno de estos derechos disponibles.

Otros elementos de la denuncia se centran en preocupaciones de transparencia del RGPD, y Noib alega que OpenAI no puede identificar la fuente de los datos que genera sobre las personas, ni los datos que el chatbot almacena sobre las personas.

Esto es importante porque el Reglamento, una vez más, otorga a las personas el derecho de solicitar dicha información mediante la presentación de la llamada Solicitud de acceso al sujeto (SAR). Sin embargo, OpenAI no respondió adecuadamente al SAR del denunciante y no reveló ninguna información sobre los datos procesados, sus fuentes o sus destinatarios.

Maartje de Graaf, abogado de protección de datos de noyb, comentó sobre la denuncia en un comunicado: “Inventar información falsa es un gran problema en sí mismo, pero cuando se trata de información falsa sobre individuos, puede tener consecuencias graves. Está claro que las empresas actualmente no pueden hacer que los chatbots como ChatGPT cumplan con la legislación de la UE; cuando procesan datos sobre personas, si un sistema no puede producir resultados precisos y transparentes, no se puede utilizar para generar datos sobre personas. La tecnología debe seguir los requisitos legales, no. al revés.

La compañía dijo que está pidiendo a la DPA de Austria que investigue la queja sobre el procesamiento de datos de OpenAI, además de instarla a imponer una multa para garantizar el cumplimiento futuro. Pero añadió que era «probable» que la cuestión se abordara mediante la cooperación con la Unión Europea.

OpenAI enfrenta una queja muy similar en Polonia. En septiembre pasado, la autoridad local de protección de datos abrió una investigación sobre ChatGPT luego de una queja de un investigador de privacidad y seguridad a quien OpenAI tampoco pudo corregir información incorrecta al respecto. Esta denuncia también acusa al gigante de la IA de no cumplir con los requisitos de transparencia establecidos en el reglamento.

Mientras tanto, la Autoridad de Protección de Datos italiana todavía está llevando a cabo una investigación abierta sobre ChatGPT. En enero, emitió un borrador de decisión, diciendo en ese momento que creía que OpenAI había violado el GDPR de varias maneras, incluso en relación con la tendencia del chatbot a producir información engañosa sobre las personas. Las conclusiones también se relacionan con otras cuestiones sustantivas, como la legalidad del tratamiento.

Las autoridades italianas le han dado a OpenAI un mes para responder a sus hallazgos. La decisión final aún está pendiente.

Ahora, con otra queja del RGPD lanzada en su chatbot, ha aumentado el riesgo de que OpenAI enfrente una serie de acciones de cumplimiento del RGPD en diferentes estados miembros.

El otoño pasado, la compañía abrió una oficina regional en Dublín, en una medida que parece tener como objetivo reducir los riesgos regulatorios mediante el desvío de quejas de privacidad por parte de la Comisión Irlandesa de Protección de Datos, gracias a un mecanismo en el GDPR destinado a simplificar la supervisión transfronteriza de quejas. Dirigiéndolos a una única autoridad del Estado miembro donde la empresa es una «empresa principal».