Para que una compañía digital pueda operar en Europa debe tener una política de privacidad transparente, con el consentimiento como eje central. ¿Cumple OpenAI, propietaria de ChatGPT, con la normativa? ¿Saben los usuarios cómo se utilizan sus datos? Expertos lo ponen en duda; hay motivos para la incertidumbre.
En pocos meses la inteligencia artificial ChatGPT, capaz de generar textos, imágenes o música a partir de datos existentes, ha pasado de ser una herramienta minoritaria, más cercana a un experimento de laboratorio, a un boom, y de ella preocupa, precisamente, la rapidez de su desarrollo, la propiedad intelectual, su utilización para desinformar, la ciberseguridad o su política de protección de datos.
El primero en dar la voz de alarma sobre la posible falta de privacidad fue Italia. El pasado 31 de marzo el país anunció el bloqueo del uso de ChatGPT por no respetar la ley de protección de datos de los consumidores, y la apertura de una investigación a OpenAI, a la que además solicitó una serie de medidas concretas.
El asunto ya está en Europa; el Comité Europeo de Protección de Datos ha creado un grupo de trabajo para fomentar la cooperación e intercambiar información sobre las acciones de las autoridades de protección de datos de los distintos países miembros, de Islandia, Liechtenstein y Noruega, que tienen asimismo dudas al respecto.
Desde España también se ha mostrado preocupación por un posible incumplimiento de la normativa. La Agencia Española de Protección de Datos (Aepd) anunció el pasado 13 de abril que iniciaba de oficio actuaciones previas de investigación a la empresa estadounidense.
La agencia defiende el desarrollo y la puesta en marcha de tecnologías innovadoras como la inteligencia artificial (IA) desde "el pleno respeto" a la legislación vigente, ya que considera que "solo desde ese punto de partida puede llevarse a cabo un desarrollo tecnológico compatible con los derechos y libertades de las personas".
La medida tomada por la Aepd "entra dentro de lo normal pero es algo excepcional", porque "no suele abrir investigaciones así", señala a EFE Sergio de Juan-Creix, abogado de Croma Legal y profesor de la Universitat Oberta de Catalunya (UOC), quien recuerda que el Reglamento General de Protección de Datos (RGPD) se aplica en toda la Unión Europea pero los estados siguen siendo soberanos en la materia.
Lo que está haciendo ahora la Aepd, explica, es pedir información a OpenAI para valorarla y establecer si el tratamiento de datos de esta empresa es acorde con las normas europeas y españolas.
Por ejemplo, habría que averiguar si OpenAI está transfiriendo datos de los usuarios a Estados Unidos; "Europa considera que el envío de datos a ese país no es seguro", dice, porque allí no hay una protección equivalente, "no se cumplen los mínimos que exige la UE".
Borja Adsuara, experto en derecho digital y profesor de la Universidad Complutense de Madrid, es de la misma opinión: "lo que ha dicho la Aepd es denos información porque es lo que exige el reglamento europeo".
Hay que conocer qué datos recaba, qué hace con ellos, si se ceden a terceros o si hay transferencia internacional.
Con la explosión de ChatGPT y otras herramientas de este tipo de IA "lo que está pasando es que la gente está volcando muchísima información, no solo propia sino de otros", detalla De Juan-Creix.
Adsuara pone un ejemplo de su propia profesión: hay despachos de abogados que están "jugueteando" con esta IA, hacen escritos y meten datos de sus clientes, pero ¿saben a dónde van esos datos y su uso?
"No quiero decir con esto que OpenAI los recopile o los use", pero el reglamento europeo contempla la obligación de informar.
Para el profesor de la UOC, "al parecer OpenAI no está informando de la base legal que aplica y sobre si envía datos a Estados Unidos. Al menos hay incertidumbre en todo esto. Yo no digo que termine en sanción, pero se tiene que investigar".
El reglamento europeo lo que tiene de particular -detalla- es que aplica a cualquier entidad que trate datos de ciudadanos europeos, da igual si está en Japón o Estados Unidos, y obliga a estas compañías a nombrar un representante en territorio europeo. Si no lo hacen pueden recibir una fuerte sanción.
Adsuara cree que OpenAI terminará abriendo delegación en Europa, "ninguna empresa va a querer renunciar al mercado europeo", y tendrá entonces "que pasar por el aro y cumplir el reglamento, que es claro".
¿Y podría la Aepd bloquear ChatGPT? Adsuara recuerda que según el reglamento europeo cada autoridad de control puede sancionar a todo responsable o encargado del tratamiento de los datos con una advertencia y con un apercibimiento si infringe lo dispuesto en la normativa de protección de datos, pero también puede imponer una limitación temporal o definitiva, incluida su prohibición.
No obstante, este experto en derecho digital no cree que el bloqueo llegue; "la compañía dirá que quiere cumplir. Vamos a llevarnos bien".
Además, las medidas que se pudieran tomar seguro que se cerrarán conjuntamente en el marco del Comité Europeo de Protección de Datos.
Ambos expertos coinciden en que más allá de esta materia preocupa también la desinformación o la propiedad intelectual.
En el primer caso la facilidad y "perfección" con la que se pueden crear noticias falsas, ¿seremos capaces de contrastarlo todo?
Y en el segundo caso, ¿a quién pertenece, por ejemplo, un cuadro "pintado" por esta herramienta? ¿Es de ChatGPT, de OpenAI o del usuario que pide a la IA que lo haga? Y como para ello esta inteligencia artificial se ha nutrido de creaciones anteriores y esas pueden tener sus derechos de autor, ¿es legal? Hay que regularlo.