Noticias

OpenAI se enfrenta a una multa de 15 millones de euros mientras la garantía italiana ataca de nuevo – Nueva tecnología

Published

16 horas ago

on

Resumen

Una vez más, OpenAI se encuentra bajo un intenso escrutinio por parte de la autoridad italiana de protección de datos, Garante Per La Protezione Dei Dati Personali (Garantia), después de que su investigación revelara varias violaciones de protección de datos en relación con su gestión de la herramienta de inteligencia artificial insignia de la compañía, ChatGPT. Las violaciones incluyeron el entrenamiento de ChatGPT “sin tener una base legal adecuada“y no cumplir con”obligaciones de información hacia los usuarios“. Además de imponer una multa de 15 millones de euros, OpenAI también tendrá que llevar a cabo una campaña de información durante un período de seis meses en las plataformas de medios italianas. Esta decisión es una de las acciones más importantes tomadas contra la potencia tecnológica y subraya la creciente demanda de Responsabilidad y transparencia con el procesamiento de datos en inteligencia artificial (AI) sistemas.

Los orígenes de la investigación.

La investigación de Garante sobre OpenAI comenzó en marzo de 2023, con un enfoque particular en ChatGPT, en medio de crecientes preocupaciones sobre su recopilación y procesamiento de datos personales. La investigación se intensificó rápidamente y Garante tomó una medida sin precedentes al imponer una “limitación temporal inmediata” sobre el uso de ChatGPT, citando varias violaciones de privacidad, incluidas:

  • recopilación y almacenamiento masivo de datos personales con el fin de “entrenar” los algoritmos“;


  • falta de informe “un error en una biblioteca de código abierto“exponer el historial de conversaciones de los usuarios; y


  • falta de mecanismos apropiados de verificación de la edad exponiendo a los menores a “respuestas absolutamente inadecuadas en comparación con su grado de desarrollo y conciencia“.

Sin embargo, la restricción duró poco. En menos de un mes, se levantó la prohibición y se restableció el uso de ChatGPT después de que OpenAI aceptara tomar medidas correctivas para cumplir con las obligaciones de protección de datos. Estos incluyeron:

  • aclarando la explicación de “las actividades de recolección y procesamiento“de datos de usuario”con fines de entrenamiento de algoritmos, la forma de procesamiento, la lógica detrás del procesamiento necesario para el funcionamiento del servicio, los derechos de los interesados ​​y cualquier otra información requerida…“;


  • cambiando la base legal para el tratamiento de los datos personales de los usuarios a “consentimiento o interés legítimo” para cumplir con el “principio de responsabilidad“; y


  • introducir mecanismos de verificación de edad para excluir el acceso al servicio a usuarios menores de 13 años.

Revelando violaciones de privacidad en curso

A pesar de los esfuerzos de OpenAI para abordar las preocupaciones iniciales sobre privacidad, Garante continuó con una revisión de amplio alcance de ChatGPT que concluyó con su decisión el 20 de diciembre de 2024. A partir de su investigación, Garante observó numerosas violaciones de protección de datos, entre ellas:

  • la ausencia de un “base legal apropiada“para procesar datos personales utilizados para entrenar ChatGPT;


  • incumplimiento de las obligaciones de transparencia, tal y como exige el Reglamento (UE) 2016/679 (Reglamento general de protección de datos (RGPD)), a sus usuarios; y


  • falta de medidas suficientes de verificación de la edad para proteger a los menores.

Según Garante, OpenAI había procesado datos de usuarios “entrenar ChatGPT sin identificar primero una base legal adecuada“, violando directamente el principio de transparencia del RGPD y su obligación de informar a los usuarios. Específicamente, determinaron que el procesamiento de datos personales se había producido antes del lanzamiento público de ChatGPT el 30 de noviembre de 2022. En su opinión, “al menos en esa fecha“Si no antes, OpenAI tenía la obligación de haber identificado una base legal, cuya ausencia significaba que había una violación ya que no había base legal “antes del inicio del procesamiento“.

Pero eso no es todo. La Garante también rechazó los intentos de OpenAI de defender sus acciones basándose en la evaluación de impacto de la protección de datos (EIPD) y evaluación del interés legítimo (LIA), ninguno de los cuales logró convencer a las autoridades. Según Garante, la DPIA y la LIA, presentadas el 19 de mayo y el 20 de noviembre de 2023 respectivamente, no eran “decisivo” al establecer que existía una base legal para el procesamiento antes del lanzamiento del servicio, haciéndolo “imposible“para los interesados”para ejercer sus derechos” violando directamente el “principio de responsabilidad“. En particular:

  • la DPIA, que señaló “intereses legítimos“como base para el procesamiento, no se ha acreditado que se haya realizado una evaluación de adecuación pertinente antes del 30 de noviembre de 2022; y


  • se produjo el LIA “sólo por petición expresa” del Garante y no proporcionó pruebas de que “la identificación de una de las bases jurídicas tuvo lugar antes del 30 de marzo de 2023“.

El fallo de Garante subrayó una cuestión fundamental: OpenAI había carecido de las salvaguardias legales necesarias desde el principio. Al tomar su decisión, Garante también citó el reciente dictamen del Consejo Europeo de Protección de Datos, emitido apenas unos días antes, sobre el uso legal de datos personales para el “diseño, desarrollo y despliegue” de los sistemas de IA.

La investigación también descubrió que OpenAI no había cumplido con el requisito de implementar mecanismos de verificación de edad, cuya ausencia colocaba a los menores de 13 años en riesgo de estar expuestos a contenido inapropiado generado por IA.

Para aumentar el peso de su decisión final, Garante también culpó a OpenAI por no informar a Garante, como exige el artículo 33 del RGPD, de una infracción que experimentó el 20 de marzo de 2023. La infracción, provocada por un error de seguridad interno en lugar de que un ataque externo, expuso datos personales, específicamente historiales de chat e información de pago de los suscriptores de ChatGPT Plus que estuvieron activos durante “una ventana específica de nueve horas“. Este fallo de seguridad comprometió la confidencialidad de los interesados. La Garante señaló que OpenAI debería haber notificado “todas las autoridades europeas de protección de datos cuyos interesados ​​hayan estado involucrados en la violación de datos. Dado que los documentos de la investigación mostraron que el evento afectó a 440 usuarios italianos, OpenAI debería haber notificado la violación de datos directamente a la Autoridad.“. No hacerlo socavó aún más la confianza en el compromiso de la empresa con sus obligaciones de transparencia.

Imposición de medidas correctoras y sanciones económicas

OpenAI se ha enfrentado a una fuerte sanción después de que la serie de acciones equivalieran colectivamente a varias violaciones de la protección de datos. La Garante no se ha quedado atrás, imponiendo una multa de 15 millones de euros equivalentes a aproximadamente el 1,58% del “Volumen de negocios anual total a nivel mundial para el ejercicio 2023“. El monto total se determinó con base en las siguientes proporciones:

  • 9.000.000 € por infracciones relacionadas con el tratamiento ilícito de datos personales;


  • 320.000 € por no informar al Garante de una violación de datos personales; y


  • 5.680.000,00 € por el incumplimiento de las medidas correctoras impuestas por la Garantía en 2023.

Al determinar la multa, Garante concluyó que el cálculo representa un “eficaz, proporcionada y disuasoria” sanción. Este enfoque no solo refleja la gravedad de las violaciones, sino que también envía un recordatorio crucial a las organizaciones para que prioricen los derechos de privacidad dentro de sus sistemas de inteligencia artificial.

Garante también invocó la autoridad que le otorga el artículo 166, párrafo 7 del Código de Privacidad, instruyendo a OpenAI a realizar un período de seis meses “campaña de comunicación institucional” en todos los medios de comunicación, incluidas cadenas de televisión, estaciones de radio y periódicos. El objetivo de la campaña es “promover la comprensión y la conciencia pública sobre el funcionamiento de ChatGPT“, particularmente con el “recopilación de datos de usuarios y no usuarios“con el fin de entrenar sistemas de IA y delinear derechos”ejercitable por los interesados“incluido el derecho a oponerse, rectificar y eliminar sus datos personales.

Esta doble acción de sanción financiera y educación pública sirve como un claro recordatorio del creciente enfoque regulatorio en el desarrollo y despliegue legal de sistemas de IA.

La respuesta de OpenAI: retroceso y cooperación

Como era de esperar, OpenAI ha expresado su intención de apelar la sentencia de Garante, calificándola de “desproporcionado“. En una declaración pública, la compañía enfatizó sus esfuerzos de colaboración con los reguladores de privacidad, particularmente después de la prohibición temporal de 2023 – “cuando Garante nos ordenó dejar de ofrecer ChatGPT en Italia en 2023, trabajamos con ellos para restablecerlo un mes después… desde entonces han reconocido nuestro enfoque líder en la industria para proteger la privacidad en la IA, sin embargo, esta multa es casi 20 veces mayor. los ingresos que obtuvimos en Italia durante el período relevante“.

A pesar de esto, OpenAI ha reafirmado su compromiso de trabajar con las autoridades de privacidad para garantizar que ofrecen “IA beneficiosa que respeta los derechos de privacidad“.

Una perspectiva más amplia sobre la responsabilidad de la IA

La decisión de Garante marca un paso significativo en la regulación de la IA, mostrando un enfoque asertivo para hacer cumplir las disposiciones del GDPR, que incluyen especificar la base legal para el procesamiento, promover la privacidad del usuario, desarrollar prácticas transparentes para garantizar la responsabilidad y salvaguardar los derechos de los interesados. También envía un mensaje claro a la comunidad mundial de IA:
eso es – el cumplimiento de las leyes de protección de datos no es negociable.

Por lo tanto, los desarrolladores de IA deben asegurarse de incorporar principios de privacidad desde el diseño en el núcleo de los sistemas de IA para respaldar el desarrollo y la implementación responsable de modelos de IA. Se anima a las empresas a:

  • Garantice el cumplimiento del RGPD: Implementar o desarrollar sistemas de IA que cumplan con lo establecido en el RGPD.


  • Adopte un enfoque de privacidad primero: Proteja los datos personales de forma predeterminada incorporando un enfoque de privacidad desde el diseño dentro de los sistemas de inteligencia artificial.


  • Establecer una base legal: Evaluar, definir y documentar cuidadosamente la base legal para el procesamiento de datos personales. Recuerde que la base legal debe establecerse antes del procesamiento y no puede aplicarse retroactivamente.


  • Transparencia y rendición de cuentas: Actualizar las políticas de privacidad con información detallada y transparente sobre el uso de datos personales dentro de los sistemas de IA. Proporcionar a los usuarios orientación y mecanismos claros sobre cómo ejercer sus derechos, incluida la oposición al procesamiento de datos con fines de capacitación y la solicitud de eliminación de datos. La transparencia genera confianza.


  • EIPD: Completar una EIPD antes de la implementación del sistema de IA y en cada etapa del ciclo de vida de la IA. Sea proactivo, no reactivo, cuando se trata de riesgos de privacidad.


  • Revisar y actualizar: Revisar las prácticas organizativas y actualizar la documentación técnica para garantizar el cumplimiento de las prácticas de protección de datos y los estándares en evolución. Esto no solo cumplirá con los requisitos mínimos, sino que también incorporará activamente una estrategia de protección de datos en los sistemas de inteligencia artificial.

Una llamada de atención global

La multa contra OpenAI no es sólo una sanción, sino que puede ser el comienzo de una nueva era de responsabilidad en el mundo de la IA. Lo que está claro es que debe existir una base legal antes del procesamiento, ya que los sistemas de inteligencia artificial no deben ir en detrimento de la privacidad del usuario.

A medida que la IA se integre cada vez más en la vida diaria, los reguladores deberán colaborar para lograr un equilibrio entre la innovación y la protección de los derechos fundamentales. Los desafíos de OpenAI en Italia probablemente sean solo el comienzo, a medida que se intensifica la conversación global sobre una IA responsable.

El contenido de este artículo pretende proporcionar una guía general sobre el tema. Se debe buscar asesoramiento especializado sobre sus circunstancias específicas.

Related Topics:

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Trending

Exit mobile version