Dos días después de una carta abierta que pedía una moratoria en el desarrollo de modelos de IA generativa más potentes para que los reguladores puedan ponerse al día con ChatGPT, la autoridad de protección de datos de Italia acaba de enviar un recordatorio oportuno de que algunos países hacer tienen leyes que ya se aplican a la IA de vanguardia, ordenando a OpenAI que deje de procesar los datos de las personas localmente con efecto inmediato.

La DPA italiana dijo que le preocupa que el fabricante de ChatGPT esté violando el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Específicamente, el Garantía Dijo que emitió la orden para bloquear ChatGPT por preocupaciones de que OpenAI ha procesado ilegalmente los datos de las personas, y también por la falta de un sistema para evitar que los menores accedan a la tecnología.

La empresa con sede en San Francisco tiene 20 días para responder a la orden, respaldada por la amenaza de sanciones importantes si no cumple. (Recordatorio: las multas por infracciones del régimen de protección de datos de la UE pueden escalar hasta el 4 % de la facturación anual o 20 millones de euros, lo que sea mayor).

Vale la pena señalar que, dado que OpenAI no tiene una entidad legal establecida en la UE, cualquier autoridad de protección de datos está facultada para intervenir, según el RGPD, si ve riesgos para los usuarios locales. (Entonces, donde interviene Italia, otros pueden seguir).

Conjunto de problemas del RGPD

El RGPD se aplica cada vez que se procesan datos personales de usuarios de la UE. Y está claro que el gran modelo de lenguaje de OpenAI ha estado procesando este tipo de información, ya que puede, por ejemplo, producir biografías de personas nombradas en la región bajo demanda (lo sabemos, lo hemos probado). Aunque OpenAI se ha negado a proporcionar detalles de los datos de entrenamiento utilizados para la última versión de la tecnología, GPT-4. Pero ha revelado que los modelos anteriores fueron entrenados con datos extraídos de Internet, incluidos foros como Reddit. Entonces, si ha estado razonablemente en línea, el bot probablemente sepa su nombre.

Además de eso, se ha demostrado que ChatGPT produce información totalmente falsa sobre personas nombradas, aparentemente fabricando detalles de los que carecen sus datos de entrenamiento. Lo que potencialmente genera más preocupaciones sobre el RGPD, ya que la regulación otorga a los europeos una serie de derechos sobre sus datos, incluido el derecho a rectificar errores. Y no está claro cómo/si las personas pueden pedirle a OpenAI que corrija los errores de pronunciación sobre ellos generados por el bot, en solo un escenario de ejemplo.

Él GarantíaLa declaración también destaca una violación de datos que sufrió el servicio a principios de este mes, cuando OpenAI admitió que una función del historial de conversaciones había estado filtrando los chats de los usuarios y dijo que podría haber expuesto la información de pago de algunos usuarios. .

Las violaciones de datos son otra área que regula el RGPD, con un enfoque en garantizar que las entidades que procesan datos personales estén protegiendo adecuadamente la información. La legislación paneuropea también contiene requisitos para notificar a las autoridades supervisoras pertinentes sobre infracciones significativas dentro de plazos ajustados.

Sobre todo, esta es la pregunta más importante: ¿en qué base legal se ha basado OpenAI para procesar los datos de los europeos en primer lugar? Aka, la legalidad de este tratamiento.

El RGPD permite una serie de posibilidades, desde el consentimiento hasta el interés público, pero la escala del procesamiento para entrenar estos grandes modelos de lenguaje complica la cuestión de la legalidad, ya que la Garantía notas (que apuntan a la “recolección y almacenamiento masivos de datos personales”), siendo la minimización de datos otro gran enfoque en la regulación, que también contiene principios que requieren transparencia y equidad. Sin embargo, al menos, la (ahora) empresa con fines de lucro detrás de ChatGPT no parece haber informado a las personas cuyos datos se están reutilizando para entrenar sus IA comerciales. Lo cual podría ser un problema bastante complicado para él.

Si OpenAI ha procesado los datos de los europeos de forma ilegal, las autoridades de protección de datos de todo el bloque podrían ordenar que se eliminen los datos, aunque es una pregunta abierta si eso obligaría a volver a entrenar a los modelos entrenados con datos obtenidos ilegalmente, ya que una ley existente se encuentra con tecnología de punta.

Por otro lado, Italia puede haber prohibido todo el aprendizaje automático por accidente… 😬

“[T]El Garante de Privacidad señala la falta de información a los usuarios y a todos los interesados ​​cuyos datos son recogidos por OpenAI pero, sobre todo, la ausencia de una base legal que justifique la recogida y almacenamiento masivo de datos personales, con el fin de ‘entrenar’ a los subyacentes. algoritmos el funcionamiento de la plataforma”, escribe la DPA en su comunicado de hoy [which we’ve translated from Italian using AI].

“Como muestran los controles realizados, la información proporcionada por ChatGPT no siempre se corresponde con los datos reales, lo que determina un tratamiento inexacto de los datos personales”, agregó.

La autoridad agregó que le preocupa el riesgo de que OpenAI procese los datos de menores, ya que la empresa no impide activamente que las personas menores de 13 años se registren para usar el chatbot, por ejemplo, mediante la aplicación de tecnología de verificación de edad. .

Los riesgos para los datos de los niños es un área en la que el regulador ha estado muy activo: recientemente ordenó una prohibición similar en el chatbot de IA de amistad virtual, Replika, por preocupaciones de seguridad infantil. En los últimos años, también persiguió a TikTok por uso de menores de edad, lo que obligó a la compañía a purgar más de medio millón de cuentas que no pudo confirmar que no pertenecieran a niños.

Entonces, si OpenAI no puede confirmar definitivamente la edad de los usuarios registrados en Italia, podría, como mínimo, verse obligado a eliminar sus cuentas y comenzar de nuevo con un proceso de registro más sólido.

Se contactó a OpenAI para obtener una respuesta a la Garantíaorden de .

Lilian Edwards, experta en protección de datos y derecho de Internet de la Universidad de Newcastle, quien está a la vanguardia de la realización de investigaciones sobre las implicaciones de “recordar algoritmos”, dijo a Tecno: “Lo que es fascinante es que más o menos copió y pegó Replika en el énfasis en el acceso de los niños a contenido inapropiado, pero la verdadera bomba de relojería es la negación de la base legal, que debería aplicarse a TODOS o al menos a muchos sistemas de aprendizaje automático, no solo a la IA generativa”.

Volvió a señalar el caso fundamental del ‘derecho al olvido’, relacionado con la búsqueda de Google, en el que se cuestionó el tratamiento no consentido de datos personales por parte de una persona en España, pero mientras los tribunales europeos establecieron el derecho de las personas a pedir a los motores de búsqueda que eliminen información inexacta o desactualizada sobre ellos (en contra de una prueba de interés público), los reguladores de la UE no rechazaron el procesamiento de datos personales por parte de Google en ese contexto (búsqueda en Internet) sobre la legalidad del punto de procesamiento, aparentemente en por tratarse de la prestación de un servicio público. Pero también, en última instancia, porque Google terminó otorgando derechos de borrado y rectificación a los interesados ​​de la UE.

“Los grandes modelos de lenguaje no ofrecen esos remedios y no está del todo claro si lo harían, podrían o cuáles serían las consecuencias”, agregó Edwards, sugiriendo que la retención forzada del modelo puede ser una posible solución.

O, bueno, que tecnologías como ChatGPT simplemente pueden haber violado la ley de protección de datos…

Este informe se actualizó con un comentario adicional