En los últimos meses hemos asistido a un uso masivo de ChatGPTun sistema de chat desarrollado por OpenAI (que cuenta con Microsoft como uno de sus principales inversores) que, según el propio ChatGPT, está “basado en inteligencia artificial (IA) y en el procesamiento del lenguaje natural para simular conversaciones de tipo humano con los usuarios”.

La popularización de esta aplicación ha planteado toda índole de cuestiones, incluso éticas, especialmente en el ámbito educativo, ya que la intensificación de su uso se ha dado especialmente entre los más jóvenes en el ámbito académico para realizar sus tareas y trabajos.

A pesar del uso viral de esta herramienta, no muchos usuarios se han preguntado por el destino y uso de los datos que introducen en la aplicación a pesar de que se plantean muchas cuestiones en el ámbito de la privacidad y la protección de datos. ¿Cumple ChatGPT con la normativa europea en materia de protección de datos?

Vayamos a lo fácil. Si preguntamos a ChatGPT su respuesta nos garantiza que esta herramienta cumple con el Reglamento General de Protección de Datos (“RGPD”) de la Unión Europea, sin que ChatGPT almacene datos personales. Además, ChatGPT señala en su respuesta que solo recopila información de identificación personal cuando es necesario para cumplir con una solicitud específica del usuario, en cuyo caso se obtendría el consentimiento explícito del mismo previamente, de acuerdo con los principios y regulaciones del RGPD.

Sin perjuicio de la respuesta de la propia herramienta afirmando que cumple rigurosamente con el RGPD sin intromisión alguna, lo cierto es que si acudimos a la política de privacidad disponible en la página web de OpenAI podemos observar que de hecho sí se derivan ciertas implicaciones en relación con el tratamiento de los datos personales de los usuarios que nos hacen plantearnos la veracidad de esta afirmación.

En primer lugar, para analizar la política de privacidad de OpenAI, debemos tener en cuenta que la misma está sujeta a la legislación de California y que en dicha política de privacidad se establece específicamente que, para aquellos usuarios internacionales, estos reconocen entender que su información personal será transferida desde su ubicación a las instalaciones y servidores de OpenAI en Estados Unidos. No obstante, ello no significa que no exista la obligación de cumplir con lo establecido en el RGPD de la UE por su parte, ya que el propio RGPD especifica que el mismo es de aplicación al tratamiento de datos personales en el contexto de las actividades del responsable o del encargado del tratamiento de datos personales en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión o no.

Vayamos un poco más allá en el estudio de esta política de privacidad, en la que nos encontramos con varios puntos relevantes:

  • OpenAI recopila información personal de los usuarios cuando estos crean una cuenta en OpenAI o se comunican con la misma. Asimismo, recopila el contenido de cualquier mensaje que se envíe. En cuanto a esto último, la redacción de la política de privacidad no deja claro si se refiere a comunicaciones que los usuarios intercambien con OpenAI con fines meramente comunicativos o si también incluye los mensajes y preguntas que dejamos en ChatGPT cuando usamos la herramienta. Desde luego, esta redacción indirecta deja abiertas ambas posibilidades, lo que, a priori, podría no cumplir con el principio de transparencia establecido por el RGPD.
  • Cuando el usuario interactúa con los servicios ofrecidos por ChatGPT, puede recabar información sobre su visita, su uso o las interacciones realizadas, incluyendo la dirección IP del usuario y cómo ha interactuado con la herramienta.
  • Se recopila automáticamente información sobre el uso de la aplicación por parte de los usuarios, tanto sobre los tipos de contenido que se visualizan, las funciones que se utilizan y las acciones que se realizan, como la zona horaria, país, sistema operativo, tipo de ordenador o dispositivo móvil del usuario.

Dado que es una tecnología basada en IA, ChatGPT necesita “alimentar” esta IA con los datos de los usuarios para mejorar y optimizar su rendimiento constantemente, razón por la que necesitan recabar y tratar ciertos datos de los usuarios, como acabamos de ver.

No obstante, según lo dispuesto en la propia política de privacidad, su uso no se queda ahí, ya que se establece igualmente que OpenAI puede compartir cierta información personal de los usuarios con sus proveedores de servicios para ayudar a OpenAI en sus operaciones comerciales, así como a realizar ciertos servicios, incluidos servicios de hosting, servicios en la nube y otros servicios tecnológicos.

De hecho, según las instrucciones que estos proveedores reciban por parte de OpenAI, los mismos podrán acceder, procesar o almacenar esta información personal en el curso del desempeño de sus funciones para OpenAI. Además, ciertas acciones realizadas por los usuarios que accedan al servicio ofrecido por OpenAI pueden ser visibles para otros usuarios de dicho servicio.

Como podemos ver, la lectura de la política de privacidad disponible en la web de OpenAI no deja del todo claro que esté en cumplimiento con el RGPD, a pesar de que la propia herramienta de IA afirme lo contrario.

En primer lugar, nuestro RGPD establece el principio de minimización de los datos, para cuya observación deben establecerse las medidas de carácter técnico y organizativo necesarias, de manera que los datos personales que se sometan a tratamiento sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Ello no aclara en relación a los datos que puedan ser almacenados en el modelo basado en IA en el que consiste ChatGPT. Tampoco queda claro que se estén respetando los principios de licitud, lealtad y transparencia a la hora de tratar dichos datos, pues la redacción abierta de la política de privacidad deja lugar a interpretaciones sobre qué datos está recogiendo la herramienta.

Otra de las preocupaciones que están sobre la mesa es la relativa al derecho que tenemos bajo el RGPD a solicitar que nuestra información personal sea eliminada de los archivos de una compañía (conocido como el derecho de supresión o derecho al olvido), derecho reconocido en virtud del artículo 17 del RGPD y que se pone en duda que pueda ser respetado por un modelo de IA que se alimenta constantemente de los datos almacenados, recogidos de otros usuarios y los cuales son necesarios para su propio funcionamiento, así como la mejora de su rendimiento. Tampoco se menciona nada al respecto por parte de OpenAI, de la misma forma que tampoco pone a disposición del usuario la existencia del derecho a solicitar el acceso a sus datos personales, la limitación de su tratamiento o a oponerse al mismo, información categorizada como necesaria por el RGPD para garantizar un tratamiento de datos legal y transparente.

Si bien es indudable que avances tecnológicos de esta magnitud son importantes, no debemos perder de vista que, concretamente ChatGPT, está cerca de superar la cifra de 100.000.000 usuarios activos mensuales, lo que inevitablemente lleva a plantear discusiones no solo tecnológicas sino también éticas y jurídicas.

Es igualmente inevitable que las leyes siempre vayan más lentas que estos avances tecnológicos puesto que, como sabemos, la sociedad crea el Derecho, siendo el grupo social el lugar de origen del mismo, pero, ante un uso masificado de esta herramienta de IA como el que estamos viviendo, debemos preguntarnos e indagar en mayor medida sobre el destino de nuestros datos (que a fin de cuentas es el precio que pagamos por el uso de algunas aplicaciones y herramientas tecnológicas, en ausencia de retribución económica tangible), así como sobre el cumplimiento de las leyes de protección de datos personales (del RGPD en nuestro caso, que no parece que ChatGPT cumpla rigurosamente), para evitar un aprovechamiento de nuestros datos personales a cambio del uso de ciertos servicios tecnológicos.

El artículo original ha sido publicado en LegalToday, puedes leerlo a través del siguiente enlace: ¿Cumple ChatGPT con la normativa europea en materia de protección de datos?

Un artículo de Celia Udías

Protección de datos