Recientemente, Twitter International (ahora rebautizada como "X") empezó a utilizar ilegalmente los datos personales de más de 60 millones de usuarios de la UE/EEE para entrenar sus tecnologías de IA (como "Grok") sin su consentimiento. A diferencia de Meta (que recientemente también tuvo que detener el entrenamiento de IA en la UE), Twitter ni siquiera informó a sus usuarios por adelantado. Esto fue demasiado lejos incluso para la Comisión Irlandesa de Protección de Datos (DPC): La semana pasada, inició un procedimiento judicial contra Twitter para detener el procesamiento ilegal, pero la DPC irlandesa parece haberse quedado corta a la hora de aplicar plenamente el GDPR. noyb sigue ahora con nueve denuncias.
- Denuncias presentadas en Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, España y Polonia
- Expediente judicial del caso DPC -v- Twitter en Irlanda
- Reportaje sobre la acción legal del CPD irlandés
¿Datos personales de 60 millones de personas para entrenar la IA? Como si El intento fallido de Meta de utilizar ilegalmente los datos personales de la gente para proyectos de IA no enviaba un mensaje lo suficientemente claro, Twitter es la siguiente empresa estadounidense en chupar los datos de los usuarios de la UE para entrenar la IA. En mayo de 2024, Twitter empezó a introducir de forma irreversible los datos de los usuarios europeos en su tecnología de IA "Grok", sin informarles ni pedirles su consentimiento.
El CPD irlandés toma medidas a medias. La flagrante ignorancia de la ley por parte de Twitter ha provocado una sorprendente respuesta por parte del (notoriamente pro-corporativo) DPC irlandés: La autoridad ha emprendido acciones judiciales contra Twitter para detener el tratamiento ilegal y ejecutar una orden para que sus sistemas cumplan con el GDPR. Sin embargo, una vista judicial celebrada el pasado jueves reveló que el DPC parece haberse preocupado principalmente de la llamada "mitigación"y el hecho de que Twitter iniciara el tratamiento cuando aún se encontraba en un proceso de consulta obligatorio con el CPD en virtud del artículo 36 del RGPD. El CPD no parece ir a por las infracciones principales.
Max Schrems, Presidente de noyb: "Los documentos del tribunal no son públicos, pero de la vista oral deducimos que el DPC no cuestionaba la legalidad de este tratamiento en sí. Al parecer, lo que le preocupaba eran las denominadas "medidas paliativas" y la falta de cooperación de Twitter. El DPC parece tomar medidas en los bordes, pero rehúye el núcleo del problema."
noyb solicita una investigación completa. Ya durante la primera audiencia, el CPD irlandés ha llegado a un acuerdo con Twitter (mediante un denominado "compromiso") para que se limite a pausar hasta septiembre el entrenamiento del algoritmo con datos de la UE. No se tomó ninguna determinación sobre la legalidad y muchas preguntas siguen sin respuesta. Por ejemplo: ¿Qué ha pasado con los datos de la UE que ya estaban incorporados a los sistemas y cómo puede Twitter separar (adecuadamente) los datos de la UE de los de fuera de la UE? Por esta razón noyb ha presentado reclamaciones GDPR ante las autoridades de protección de datos de nueve países, para asegurarse de que los principales problemas legales en torno a la formación en IA de Twitter se aborden en su totalidad. Cuantas más APD de la UE se impliquen en el procedimiento, mayor será la presión sobre el CPD irlandés para que siga adelante con su caso y sobre Twitter para que cumpla realmente la legislación de la UE.
Max Schrems, Presidente de noyb: "En los últimos años hemos visto innumerables casos de aplicación ineficaz y parcial por parte del Departamento de Protección de Datos. Queremos asegurarnos de que Twitter cumple plenamente la legislación de la UE, que -como mínimo- exige pedir el consentimiento de los usuarios en este caso."
Solución sencilla: Preguntar a los usuarios El GDPR de la UE ofrece una solución sencilla para que los usuarios "donen" sus datos personales para el desarrollo de IA: basta con pedir a los usuarios su consentimiento claro para dicho tratamiento. Si tan solo un pequeño número de los 60 millones de usuarios de Twitter dieran su consentimiento para el entrenamiento de sus sistemas de IA, Twitter tendría datos de entrenamiento más que suficientes para cualquier nuevo modelo de IA. Pero pedir permiso a la gente no es el enfoque actual de Twitter, sino que se limitan a tomar los datos de los usuarios sin informarles ni pedirles permiso.
Max Schrems, Presidente de noyb: "Las empresas que interactúan directamente con los usuarios simplemente tienen que mostrarles una pregunta de sí/no antes de utilizar sus datos. Lo hacen con regularidad para muchas otras cosas, así que sin duda también sería posible para el entrenamiento de la IA."
¿Los intereses de las empresas prevalecen sobre los derechos fundamentales de los usuarios? Normalmente, el tratamiento de datos personales es ilícito por defecto en la Unión Europea. Por lo tanto, para procesar datos personales, Twitter debe basarse en una de las seis bases jurídicas previstas en el artículo 6, apartado 1, del GDPR. Aunque la opción lógica sería el consentimiento expreso, Twitter -al igual que Meta- alega que tiene un "interés legítimo"que prevalece sobre los derechos fundamentales de los usuarios. Este planteamiento ya ha sido rechazado por el Tribunal de Justicia en un asunto relativo al uso por Meta de datos personales para publicidad selectiva. Sin embargo, parece que el CPD irlandés lleva meses "negociado" sobre el "interés legítimo"en una "consulta"con arreglo al artículo 36 del RGPD.
Max Schrems: "Los hechos que ahora conocemos del procedimiento judicial irlandés indican que el CPD no ha cuestionado realmente la cuestión central, que es la toma de todos esos datos personales sin el consentimiento del usuario."
Información facilitada a través de un post "viral" de X. Como ya se ha mencionado, Twitter nunca ha informado proactivamente a sus usuarios de que sus datos personales se están utilizando para entrenar la IA, aunque les envíe notificaciones cada vez que a alguien le gustan o retuitea sus publicaciones. Por el contrario, parece que la mayoría de la gente se enteró de la nueva configuración por defecto a través de un post viral de un usuario llamado @EasyBakedOven el 26 de julio de 2024, más de dos meses después de que comenzara el entrenamiento de la IA.
¿Qué ocurre con otros derechos del GDPR? Por el momento, los proveedores de sistemas de IA afirman en gran medida que no pueden cumplir otros requisitos del RGPD, como el derecho al olvido (artículo 17 del RGPD), una vez que los datos han sido incorporados a sus sistemas de IA. Del mismo modo, las empresas tienden a afirmar que no pueden responder a las solicitudes para obtener una copia de los datos personales contenidos en los datos de formación o las fuentes de dichos datos (como exige el artículo 15 del RGPD), ni pueden corregir los datos personales inexactos (como exige el artículo 16 del RGPD). Esto plantea cuestiones adicionales cuando se trata de la ingestión ilimitada de datos personales en sistemas de IA.
Las infracciones a gran escala del RGPD justifican un procedimiento de emergencia. Dado que Twitter ya ha comenzado a procesar los datos de las personas para su tecnología de IA, y que esencialmente no hay opción para eliminar los datos ingeridos, noyb ha solicitado un "procedimiento de urgencia" en virtud del artículo 66 del RGPD. Las autoridades de protección de datos (APD) de nueve países europeos (Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España) recibieron una solicitud de este tipo en nombre de los interesados locales. El artículo 66 autoriza a las APD a dictar suspensiones preliminares en situaciones como la descrita y permite una decisión a escala de la UE a través del OEPD. El CPD irlandés y Meta Ireland ya han sido objeto de dos "decisiones vinculantes urgentes" por parte del EDPB en situaciones similares (véase la Decisión Vinculante Urgente 01/2023 y la Decisión Vinculante Urgente 01/2021).
Vulneración de varias disposiciones del RGPD. Además de la falta de una base jurídica válida, es muy improbable que Twitter distinga correctamente entre los datos de usuarios de la UE/EEE y los de otros países en los que las personas no gozan de la protección del GDPR. Lo mismo ocurre con los datos sensibles en virtud del artículo 9 del GDPR (para los que el "interés legítimo), como los datos que revelan el origen étnico, las opiniones políticas y las creencias religiosas, así como otros datos para los que existe un "interés legítimo"interés legítimo". Con la introducción de su tecnología de IA, Twitter parece haber infringido otras disposiciones del RGPD, incluidos los principios del RGPD, las normas de transparencia y las normas operativas. En general, noybenumera infracciones de al menos los artículos 5, apartados 1 y 2, 6, apartado 1, 9, apartado 1, 12, apartados 1 y 2, 13, apartados 1 y 2, 17, apartado 1, letra c), 18, apartado 1, letra d), 19, 21, apartado 1, y 25 del RGPD.