Italia ordeno el 31 de marzo de 2023 el bloqueo inmediato de la inteligencia artificial Chat GPT por supuesta recopilación ilícita de datos personales que vulneran la ley de protección de datos europea y ha abierto una investigación en contra del chatbot.
La agencia italiana de protección de datos confirmó la noticia a través de un comunicado y restringió el acceso hasta que se compruebe que se cumple con el Reglamento General de Protección de Datos (GDPR)
“La falta de información a los usuarios y a todas las partes interesadas cuyos datos son recopilados por OpenAI, pero sobre todo la ausencia de una base legal que justifique la recopilación y el almacenamiento masivo de datos personales, con el propósito de entrenar los algoritmos que subyacen al funcionamiento de la plataforma” detalla el comunicado |
De igual forma, aseguran que la IA no verifica la edad de los usuarios, violando sus términos de uso en cual se manifiesta que el servicio esta dirigido a mayores de 13 años, exponiendo a menores a respuestas inadecuadas.
También señalan que el pasado 20 de marzo ChatGPT sufrió un filtrado de datos relativo a conversaciones de los usuarios e información correspondiente al pago de los suscriptores del servicio de pago. En concreto, el organismo considera este servicio infringe los artículos 5, 6, 8, 13 y 25 del Reglamento.
- 6 Legalidad del procesamiento
- El procesamiento será lícito solo si y en la medida en que se cumpla al menos uno de los siguientes:
- El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos…
- El procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por un tercero, excepto cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando los datos del sujeto es un niño…
- 8 Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
- 1 cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta de servicios de la sociedad de la información directamente a un niño, el tratamiento de los datos personales de un niño será lícito cuando el niño tenga al menos 16 años. 2 cuando el niño sea menor de 16 años, dicho procesamiento será lícito solo si y en la medida en que el titular de la patria potestad sobre el niño dé o autorice el consentimiento. 3 los Estados miembros podrán prever por ley una edad inferior a estos efectos, siempre que dicha edad inferior no sea inferior a 13 años.
- El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento sea otorgado o autorizado por el titular de la patria potestad sobre el niño, tomando en consideración la tecnología disponible.
- El apartado 1 no afectará al derecho contractual general de los Estados miembros, como las normas sobre la validez, formación o efecto de un contrato en relación con un niño.
- 13 Información que debe proporcionarse cuando se recopilan datos personales del interesado
- Cuando los datos personales relacionados con un sujeto de datos se recopilen del sujeto de datos, el controlador deberá, en el momento en que se obtengan los datos personales, proporcionar al sujeto de datos toda la información siguiente:
- La identidad y los datos de contacto del responsable del tratamiento y, en su caso, del representante del responsable del tratamiento;
- Los datos de contacto del delegado de protección de datos, en su caso;
- Los fines del tratamiento a los que están destinados los datos personales, así como la base jurídica del tratamiento;
- Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero;
- Los destinatarios o categorías de destinatarios de los datos personales, si los hubiere…
- 25 Protección de datos desde el diseño y por defecto
- “… implementar medidas técnicas y organizativas apropiadas, como la seudonimización, que están diseñadas para implementar los principios de protección de datos, como la minimización de datos, de manera efectiva e integrar las garantías necesarias en el tratamiento para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados…”
La compañía estadounidense tiene 20 días para anunciar cuáles serán las medidas que tomarán para satisfacer la solicitud de las autoridades italianas. Se le podría imponer una multa de hasta 20 millones de euros en caso de no cumplir con la ley europea, o el 4% del volumen de negocios anual global.