La Autoridad italiana de protección de datos bloquea temporalmente el uso de ChatGPT

Como adelantábamos en una entrada anterior, el pasado mes de febrero la Autoridad de protección de datos italiana (el “Garante”) limitó temporalmente el uso del chatbot “Replika” por considerar que dicha tecnología podía implicar graves riesgos para la privacidad de sus usuarios.

Esta decisión, la primera adoptada en este sentido en la Unión Europea, alertaba de potenciales incumplimientos del Reglamento General de Protección de Datos como, por ejemplo, el tratamiento de datos especialmente protegidos o de datos personales de menores sin una base de legitimación.

Sumado a lo anterior, el Garante ha publicado una decisión por la que limita temporalmente el uso de ChatGPT, la herramienta de inteligencia artificial generativa propiedad de la compañía americana OpenAI, L.L.C.

Esta herramienta, tremendamente popular en los últimos meses, está basada en la rama de la inteligencia artificial generativa, es decir, es una herramienta que permite generar contenido que, a través del aprendizaje automático, imita el estilo y la estructura de los datos creados por humanos.

En relación con su creciente popularidad, el Garante ha realizado una verificación de oficio de la herramienta para comprobar su adecuación a la normativa de protección de datos. De esta investigación, el Garante ha concluido “que no se facilita información alguna a los usuarios, ni a los interesados cuyos datos son recogidos por OpenAI, L.L.C. y tratados a través del servicio de ChatGPT”.

Adicionalmente, el Garante destaca lo siguiente:

• Que el tratamiento de los datos personales de los interesados es inexacto en la medida en que la información facilitada por ChatGPT no siempre se corresponde con los datos reales contraviniendo, por tanto, el principio de exactitud del artículo 5.1.d) del RGPD.
• Además, si bien OpenAI establece en las condiciones generales que ChatGPT solo puede ser utilizado por mayores de 13 años, no se verifica la edad de los usuarios del servicio.
• Que, en este sentido, la ausencia de filtros para menores de 13 años les expone a respuestas absolutamente inadecuadas con respecto a su nivel de desarrollo y autoconciencia.

En consecuencia, el Garante considera que “el tratamiento de los datos personales de los usuarios, incluidos los menores de edad, y de los interesados cuyos datos utiliza el servicio infringe los artículos 5, 6, 8, 13 y 25 del RGPD”.

Por lo anterior, el Garante concluye que resulta necesario ordenar la restricción con efecto cautelar e inmediato, reservando cualquier otra determinación al resultado de la definición de la investigación preliminar abierta sobre el caso.

Por último, el Garante impone la obligación a OpenIA de comunicar en un plazo de 20 días aquellas medidas que haya adoptado para dar cumplimiento a la petición del Garante, so pena de una multa de hasta 20 millones de euros o hasta el 4% de su volumen de negocios anual global.