Acabábamos noviembre con un “provvedimento” del Garante al Grupo Editorial italiano Gedi indicándole que el acuerdo publicado con OpenAI en virtud del cual el primero compartirá los contenidos publicados “de forma prácticamente simultánea e inmediata” con el segundo, podría conculcar los arts. 9 (tratamiento de categorías especiales de datos), 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado), 14 (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) del RGPD.
Y esto es así a ojos de la autoridad de protección de datos italiana que, con motivo de la publicación del mencionado acuerdo, inició una investigación de oficio ya que:
- los tratamientos de datos afectados implican un gran volumen de datos personales, que pueden incluir datos de categorías especiales de datos y datos relativos a condenas e infracciones penales;
- la Evaluación de impacto aportada por el Grupo editorial establece como base de legitimación para tal cesión el interés legítimo, no quedando clara la base de legitimación en lo relativo a las categorías especiales de datos involucradas;
- los titulares de los datos cuyos datos se cederán en el marco de este acuerdo no pueden esperar razonablemente dicha comunicación;
- los contenidos añadidos a las políticas de privacidad para facilitar la información de protección de datos “no parece suficiente para considerar cumplida la obligación de transparencia establecida en los artículos 13 y 14 del Reglamento, dado que hasta la fecha dicho párrafo aún no ha sido publicado (por ejemplo, la declaración de política de privacidad de La Repubblica se ha actualizado a diciembre de 2023) y que se dirige a los usuarios registrados en los periódicos mencionados y no a los interesados cuyos datos se comunican a OpenAI” y finalmente, señala el Garante que parece que GEDI no esté en condiciones de garantizar los derechos de los interesados y en particular su derecho de oposición.
Seguimos en diciembre y el día 17 el Comité europeo de protección de datos publicaba su dictamen sobre «ciertos aspectos de la protección de datos relacionados con el tratamiento de datos personales en el marco de los modelos de inteligencia artificial«), en particular sobre aspectos con motivo de la solicitud realizada por la autoridad de protección de irlandesa de un posicionamiento común (a la que cómo veremos, el Garante había transferido algunos asuntos de especial calado en el marco de su investigación sobre ChatGPT).
La opinión resulta interesante, aunque en varias cuestiones nos remite al ya conocido análisis «caso a caso». Sin perjuicio de ello, nos da detalle de i) cómo determinar si un modelo de IA debe estar sujeto al RGPD, cuándo y qué factores nos llevarían a ello, ii) el uso del IL como base de legitimación para el entrenamiento y el uso de los modelos de IA; y «concluye» abordando, para tres únicos supuestos, si la ilicitud del tratamiento de datos para el entrenamiento de modelos IA «contamina» o no los usos posteriores.
Para la primera cuestión, señala el Comité que no es posible considerar, como regla general, que todos los modelos de IA sean anónimos, sino que será necesario hacer esa evaluación caso por caso teniendo en cuenta, si los datos personales pueden ser extraídos o no, y si el resultado producido por el modelo podrá o no relacionarse de nuevo con los titulares cuyos
datos se utilizaron para el entrenamiento. Y después de leerlo, parece que esto va a ir de valorar si es posible o no a través del modelo la reidentificación y cuán difícil puede resultar. Facilita el Comité elementos para evaluar esa posibilidad e incluso nos da «pistas» sobre la documentación necesaria a mantener para acreditar tal aspecto.
Para la segunda y tercera cuestión, el interés legitimo y su utilización como base de legitimación para el entrenamiento de los modelos -teniendo en cuenta que los datos pueden haberse obtenido tanto del propio titular como a través de terceros-, y el posterior uso, se remite el comité a cuestiones generales que conocemos de informes y opiniones precedentes. Así nos recuerda los 3 requisitos de esta base de legitimación (identificación, evaluación de la necesidad del tratamiento y test de sopesamiento); señala y ejemplifica las afectaciones a derechos fundamentales de estos tratamientos; y finaliza este apartado haciendo, a nuestro juicio especial énfasis, en la información a los titulares de los datos y a su expectativa razonable.
Finaliza su opinión el Comité, como os decíamos, planteando tres escenarios que parten de un tratamiento ilegítimo de datos para el entrenamiento de un modelo que, no siendo anónimo, posteriormente, usa el mismo responsable del tratamiento u otro y un último caso en el que, si bien el responsable del tratamiento que desarrolla el modelo lo hace de manera ilícita desde el punto de vista del RGPD, lo anonimiza y es solo después de esa anominización, que se da el uso por parte de otro responsable del tratamiento.
Sin duda, esta opinión requerirá de varias lecturas pero en esta primera, nos quedamos con lo siguiente: i) recuerda el Comité a las autoridades de protección de datos sus poderes no solo sancionadores sino también correctivos; ii) señala que la valoración deberá hacerse caso a caso y iii) si bien para los dos primeros supuestos habrá que estar a la responsabilidad proactiva y la necesidad de que el responsable que esté tratando los datos pueda asegurar en todo caso la legitimidad del tratamiento, en el último, el segundo responsable no se contamina de la ilicitud del primero siempre que haya mediado esa anomización. A no olvidar que el tratamiento posterior en el que se incluya como medio del tratamiento el modelo anónimo, si incluye datos personales, deberá cumplir con el RGPD.
Y finalmente, solo tres días después de esta opinión, vuelve a publicar el Garante. En este caso, la sonadísima resolución sobre OpenAI y su servicio de ChatGPT. Este expediente se inició por parte del Garante de oficio con motivo de la noticia de prensa en la que se señalaba que ChatGPT había tenido problemas técnicos y que usuarios podían visualizar “la cronología de los títulos de los chats de otros usuarios”.
En el marco de tal procedimiento, recordamos todos la medida cautelar establecida por el Garante en marzo de limitación en territorio italiano del servicio, medida que se levantó en abril bajo la condición de adopción por parte de OpenAI de medidas idóneas para garantizar la adecuación del tratamiento con el RGPD. Pues bien, el pasado día 20, la autoridad italiana ha publicado su resolución en la que reprocha a OpenAI y su servicio de ChatPGT:
- Incumplimiento de la obligación de comunicación de brechas de datos personales (art. 33 RGPD): a pesar de haber comunicado la brecha a la autoridad irlandesa, el Garante considera que se ha infringido el art. 33 RGPD ya que debería haberse comunicado a la autoridad italiana.
- Falta de licitud del tratamiento: considera el Garante que OpenAI no había individualizado durante el entrenamiento del ChatGPT la base jurídica necesaria para el tratamiento de datos que implicaba (arts. 5 y 6 RGPD). Importante señalar que el Garante no se manifiesta sobre si el interés legítimo es la base adecuada para el tratamiento de entrenamiento de los modelos, cuestión que traslada a la autoridad principal (autoridad de protección de datos irlandesa).
- Incumplimiento del deber de información (arts. 5.1.a, 12 y 13 RPGD). Señala el Garante que i) la política informativa únicamente estaba en inglés, ii) no resultaba fácil su localización, iii) no permitía su lectura antes del registro y iv) las referencia a la mejora del servicio no podían entenderse como información sobre la “específica, peculiar e innovativa finalidad de entrenamiento de modelos de IA generativa”, por lo que, considera que resulta del todo insuficiente en relación con los usuarios. Adicionalmente, considera el Garante que para los no usuarios cuyos datos se han utilizado para el entrenamiento del modelo, si bien la información publicada por OpenAI era mucha y técnicamente relevante, no sirve para el cumplimiento del art. 12 y 13 ya que los usuarios no tendrían porqué sentirse interpelados por los mismos y acceder a ellos. Con ello, considera el Garante que ante la ausencia de información no solo se conculcan las obligaciones específicas de información sino el propio principio de transparencia que va muchas más allá.
- Ausencia de mecanismos de verificación de la edad (arts. 8, 24 y 25 del RGPD). Entiende el Garante que la propia sociedad preveía en sus términos legales la posibilidad de utilización del servicio por menores de 13 a 18 años para lo cual preveía la necesidad de la autorización del tutor legal y, sin embargo, no había previsto ningún mecanismo para verificar ese permiso de los tutores.
- Inexactitud de los datos (art. 5.1 RGPD): entiende el Garante que la naturaleza probabilística del sistema pero concluye que ello no exime a la sociedad de cumplir con el principio de exactitud. Reproduce las medidas implementadas por OpenAI para mejorar la exactitud del modelo durante el procedimiento y concluye que, estando lejos de resolverse y atendiendo al mecanismo de ventanilla única, pasa la cuestión a la autoridad irlandesa.
- Falta de cumplimiento de la medida correctiva de campaña informativa a convenir con la autoridad (art. 83.5.d RGPD): entiende el Garante que la campaña realizada por OpenAI no cumple con lo requerido por la autoridad ya que i) no ha sido acordada con el Garante, ii) no resulta idónea (medios elegidos, modalidades de comunicación, tiempo limitado de la misma para llegar al público en general).
Resuelve el Garante con imposición de una sanción de 15 millones de euros y la obligación de realización de la campaña divulgativa.
Importantísimo, y a la espera quedamos de la resolución de las cuestiones que el Garante reenvía a la autoridad irlandesa en relación con el uso del interés legítimo como base de legitimación para el entrenamiento de modelo y el cumplimiento del principio de exactitud en el marco de estas tecnologías. Como veis, lectura asegurada para el 2025.
Esther García Encinas
Abogado senior en Privacidad, Inteligencia Artificial y Contratación Mercantil en CaixaBank
