En la UE, el GDPR exige que la información sobre las personas sea exacta y que tengan pleno acceso a la información almacenada, así como información sobre la fuente. Sorprendentemente, sin embargo, OpenAI admite abiertamente que no puede corregir la información incorrecta en ChatGPT. Además, la empresa no puede decir de dónde proceden los datos ni qué datos almacena ChatGPT sobre personas concretas. La empresa es muy consciente de este problema, pero no parece importarle. En su lugar, OpenAI se limita a argumentar que "la precisión factual en grandes modelos lingüísticos sigue siendo un área de investigación activa". Por tanto, noyb ha presentado hoy una denuncia contra OpenAI ante la DPA austriaca.
ChatGPT sigue alucinando - y ni siquiera OpenAI puede pararlo. El lanzamiento de ChatGPT en noviembre de 2022 desencadenó un hype de IA sin precedentes. La gente empezó a utilizar el chatbot para todo tipo de propósitos, incluidas tareas de investigación. El problema es que, según la propia OpenAI, la aplicación solo genera "respuestas a las solicitudes de los usuarios mediante la predicción de las siguientes palabras más probables que podrían aparecer en respuesta a cada solicitud". Dicho de otro modo: Aunque la empresa dispone de numerosos datos de entrenamiento, no hay forma de garantizar que ChatGPT muestre a los usuarios información correcta. Por el contrario, se sabe que las herramientas de IA generativa suelen "alucinar", es decir, se inventan las respuestas.
Está bien para los deberes, pero no para los datos sobre las personas. Aunque la información inexacta puede ser tolerable cuando un estudiante utiliza ChatGPT para que le ayude con sus deberes, es inaceptable cuando se trata de información sobre personas. Desde 1995, la legislación de la UE exige que los datos personales sean exactos. Actualmente, esto está consagrado en el artículo 5 del GDPR. Las personas también tienen derecho a la rectificación en virtud del artículo 16 del GDPR si los datos son inexactos, y pueden solicitar que se suprima la información falsa. Además, en virtud del "derecho de acceso" del artículo 15, las empresas deben poder mostrar qué datos poseen sobre las personas y cuáles son sus fuentes.
Maartje de Graaf, abogada de protección de datos de noyb: "Inventar información falsa es bastante problemático en sí mismo. Pero cuando se trata de información falsa sobre personas, las consecuencias pueden ser graves. Está claro que las empresas son actualmente incapaces de hacer que chatbots como ChatGPT cumplan la legislación de la UE cuando tratan datos sobre personas. Si un sistema no puede producir resultados precisos y transparentes, no puede utilizarse para generar datos sobre individuos. La tecnología tiene que seguir los requisitos legales, no al revés"
Inventar datos sobre las personas no es una opción. Se trata de un problema estructural. Según un reciente informe del New York Times, "los chatbots inventan información al menos un 3% de las veces, y hasta un 27%". Para ilustrar esta cuestión, podemos echar un vistazo al denunciante (una figura pública) en nuestro caso contra OpenAI. Cuando se le preguntó por su cumpleaños, ChatGPT proporcionó repetidamente información incorrecta en lugar de decir a los usuarios que no dispone de los datos necesarios.
¿No hay derechos GDPR para las personas captadas por ChatGPT? A pesar de que la fecha de nacimiento del denunciante proporcionada por ChatGPT es incorrecta, OpenAI rechazó su solicitud de rectificación o borrado de los datos, argumentando que no era posible corregirlos. OpenAI afirma que puede filtrar o bloquear datos en determinadas solicitudes (como el nombre del denunciante), pero no sin impedir que ChatGPT filtre toda la información sobre el denunciante. OpenAI tampoco respondió adecuadamente a la solicitud de acceso del denunciante. Aunque el GDPR otorga a los usuarios el derecho a solicitar a las empresas una copia de todos los datos personales que se procesan sobre ellos, OpenAI no reveló ninguna información sobre los datos procesados, sus fuentes o destinatarios.
Maartje de Graaf, abogada de protección de datos de noyb: "La obligación de atender las solicitudes de acceso se aplica a todas las empresas. Está claro que es posible llevar un registro de los datos de formación que se han utilizado y al menos tener una idea de las fuentes de información. Parece que con cada "innovación", otro grupo de empresas piensa que sus productos no tienen que cumplir la ley"
Hasta ahora, los esfuerzos de las autoridades de control han sido infructuosos. Desde el repentino aumento de popularidad de ChatGPT, las herramientas de IA generativa se han visto rápidamente sometidas al escrutinio de los organismos europeos de control de la privacidad. Entre otros, la DPA italiana abordó la inexactitud del chatbot cuando impuso una restricción temporal al procesamiento de datos en marzo de 2023. Unas semanas más tarde, la Junta Europea de Protección de Datos (JEPD) creó un grupo de trabajo sobre ChatGPT para coordinar los esfuerzos nacionales. Queda por ver a dónde conduce todo esto. Por ahora, parece que OpenAI ni siquiera pretende cumplir el GDPR de la UE.
Denuncia presentada. noyb solicita ahora a la autoridad austriaca de protección de datos (DSB) que investigue el procesamiento de datos de OpenAI y las medidas adoptadas para garantizar la exactitud de los datos personales procesados en el contexto de los grandes modelos lingüísticos de la empresa. Además, pedimos a la DSB que ordene a OpenAI cumplir con la solicitud de acceso del denunciante y ajustar su procesamiento al GDPR. Por último, pero no menos importante, noyb solicita a la autoridad que imponga una multa para garantizar el cumplimiento en el futuro. Es probable que este caso se tramite a través de la cooperación de la UE.