España acaba de acelerar el debate en Europa sobre el encaje de ChatGPT con tu privacidad tras su prohibición en Italia

A finales de marzo, el regulador italiano de la privacidad, Garante, exigió a OpenAI que dejara de extraer datos personales de sus usuarios italianos de forma inmediata. La medida respondía a una "falta de información" y "sobre todo" a la "ausencia de una base legal" con la que justificar "el almacenamiento masivo de datos personales".

El requerimiento de Garante provocó que ChatGPT, el popularísimo chatbot que funciona con el modelo de lenguaje natural GPT-3 (GPT-4 para los suscriptores de pago), dejase de funcionar en Italia. Y no lo hará hasta que demuestre que cumple de forma efectiva el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

La tormenta no ha amainado, y en Europa otras autoridades de protección de datos están sopesando emprender iniciativas similares. 

El CNIL francés tiene sobre la mesa varias reclamaciones por el tratamiento de datos de OpenAI. El organismo lo reconocía esta semana en un correo dirigido a Reuters. El ministro francés de Digitalización, Jean-Noël Barrot, ha sido más tajante, y en una entrevista ha concedido que la plataforma no cumple con el RGPD, pero es contrario a un hipotético veto como el italiano.

El responsable de protección de datos de Alemania no descarta una prohibición similar. Y en Politico se recogen las impresiones de las autoridades irlandesa, "que se coordinará con el resto de organismos de la Unión Europea sobre este asunto"; la belga, que considera que esto debe discutirse "a nivel europeo" o la noruega, que tampoco descartaban iniciar procedimientos en un futuro.

España lo ha llevado todo un pasito más allá. La Agencia Española de Protección de Datos (AEPD) ha confirmado a este medio que "entiende" que los tratamientos globales de datos "pueden tener un impacto sobre los derechos de las personas" y por lo tanto "requieren de decisiones coordinadas a nivel europeo".

"Por ello, ha solicitado que el tema de ChatGPT se incluya en el próximo plenario del Comité Europeo de Protección de Datos, de forma que se puedan poner en marcha acciones armonizadas en el marco de aplicación del RGPD".

En otras palabras, España ha pedido que en su próxima reunión el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), órgano comunitario que aglutina a todas las agencias nacionales de la Unión Europea, aborde este tema. Esa reunión será este jueves 13 de abril, y por el momento este punto no aparece en su agenda provisional.

De esta manera, la AEPD, que sigue sumido en la interinidad desde hace años, ha dado un paso adelante con respecto al resto de autoridades europeas formalizando esa petición. Fruto del encuentro se podría forzar un veto a ChatGPT en todos los países de la Unión Europea hasta que OpenAI no aclare cómo acata el RGPD y satisfaga a estas autoridades de control.

Lo único que por ahora aparece en el orden del día provisional del EDPB es un punto relacionado con una decisión que este organismo comunitario se vio obligado a adoptar después de que la tensión entre varias agencias nacionales europeas e Irlanda creciese, sobre todo por la laxitud de esta última al procesar a Meta (Facebook) por vulnerar el RGPD.

Este punto de por sí ya será un melón para el Comité Europeo de Protección de Datos, que está además inmerso en el proceso de sucesión para reemplazar su presidencia y su vicepresidencia. Hasta el 25 de abril se recogerán candidaturas y el 25 de mayo se votará a los nuevos encargados de dirigir este punto de encuentro.

En caso de que la propuesta española de abordar los problemas con OpenAI y su ChatGPT frente al RGPD no lleguen a tiempo para el plenario de este jueves 13 de abril, el siguiente encuentro del organismo se celebrará a finales de este mismo mes, el día 26.

Los problemas de OpenAI no se dan solo en Europa

En su requisitoria, Garante, la autoridad italiana de protección de datos, concluyó que OpenAI, aunque ofrece servicios únicamente a usuarios mayores de 13 años, en realidad no cuenta con ningún filtro que ayude a verificar la edad de las personas que accedan a su plataforma.

Por eso, entre otras razones, Italia acabó vetando temporalmente el uso de ChatGPT, dado que el chatbot expone a menores "a respuestas que son absolutamente inadecuadas con respecto a su grado de desarrollo y autoconciencia".

OpenAI no tiene sede en la Unión Europea pero sí ha designado un representante ante la misma. Ahora se sigue un proceso que culminará a finales de abril con un expediente favorable o desfavorable, lo que pone en juego la persistencia de esta IA generativa en el Viejo Continente. Garante ya ha recibido documentación de OpenAI.

Sin embargo, no solo las agencias europeas han comenzado a escrutar la política de privacidad de OpenAI. Un gobierno norteamericano como el canadiense ha emprendido acciones similares, lo que podría desembocar en un bloqueo como el italiano.

A todo esto hay que sumarle la ausencia de un acuerdo transatlántico que garantice el flujo de los datos personales de la Unión Europea a Estados Unidos. La Administración Biden ofreció una serie de nuevas garantías sobre las que la Comisión Europea se debe ahora pronunciar, cosa que se espera que suceda en los próximos meses.

Sin embargo, varios organismos —también la Eurocámara— han elevado recomendaciones contrarias a que la Comisión Europea acepte ese nuevo marco legal. El anterior marco, conocido como Privacy Shield, fue derribado en julio de 2020 por la justicia europea, tras una demanda de la plataforma de activistas en defensa de la privacidad None Of Your Business (Noyb).

Sin un marco legal que ampare esas transferencias de datos al otro lado del Atlántico —en particular a EEUU, donde OpenAI trata y almacena los datos de sus usuarios—, el servicio también podría ser inaccesible desde España. Esta circunstancia no le sería exclusiva, ya que otras grandes plataformas, como Facebook o Instagram, podrían verse obligadas a dejar el mercado europeo.

Los problemas para las herramientas de IA generativas como las que desarrolla OpenAI no solo se están produciendo en Europa, por otro lado. La propia Administración Biden ya está sondeando qué regulaciones serían necesarias para evitar que estas herramientas sean empleadas para cometer fraudes e incluso asesinatos.

Y en el otro lado del globo el gigante asiático, China, planea imponer un protocolo que contemplaría reseñas de seguridad para herramientas del estilo.