Chat GPT no tiene en cuenta la protección de datos de los usuarios de la aplicación

Chat GPT no tiene en cuenta la protección de datos de los usuarios de la aplicación

Chat GPT no tiene en cuenta la protección de datos de los usuarios de la aplicación.

Se ha prohibido en Italia, limitando el tratamiento de datos de los usuarios y abriendo una investigación a la compañía.

La razón detrás de la prohibición de dicha tecnología de inteligencia artificial es que el servicio no dispone de ninguna medida para verificar la edad de los usuarios. Disponiendo que la edad mínima para poder utilizar esta herramienta es de 13 años.

El Garante para la protección de Datos personales de Italia considera que se han infligido los artículos 5, 6, 8, 13 y 25 del Reglamento Europeo de Protección de Datos. La limitación en el servicio queda supeditada por ahora al resultado de la investigación.

En caso de que los resultados de la investigación sean favorables a la denuncia del Garante, se tomaran medidas que terminaran en sanciones penales y administrativas contra la compañía a la que pertenece Chat GPT. No obstante, obligaran al destinatario del tratamiento a comunicar en un plazo máximo de 20 días, las iniciativas que se han tomado por parte de la compañía para aplicar lo prescrito y proporcionar las infracciones mencionadas. La medida tomada por Italia ha hecho que los otros países de la Unión Europea, como España, decidan seguir el ejemplo aportado por Italia.

La compañía a la que pertenece la aplicación de inteligencia artificial, Open IA, no ha aplicado medidas técnicas ni organizativas apropiadas para proteger los datos personales de los Interesados, además de haber pedido más datos de los necesarios a los usuarios que se han registrado en la aplicación. Tampoco ha tenido en cuenta la medida de protección de seudonimización, que de por si era importante ya que dicha medida cambia los datos sensibles de los Interesados por un código que evita que los ya nombrados Interesados sean fácilmente reconocibles en todos los buscadores. Al no cumplir con ninguna de las medidas del Reglamento General de Protección de Datos, vigente y obligatoria desde el 27 de abril de 2016, Open IA está dejando a sus usuarios desprotegidos contra posibles daños tanto físicos como psíquicos que podría ocasionarles la venta de datos personales a Terceros.

Autora: Larissa Calvo

La falta de información proporcionada por ChatGPT según el Reglamento General de Protección de Datos

Como continuación al anterior post y tras el bloqueo de la tecnología de ChatGPT en Italia, a la que acusaba de no respetar la ley de protección de datos de los interesados, múltiples países europeos como España o Alemania estudian la posibilidad de tomar la misma decisión.

De esta forma, analizaremos la información solicitada al registrarse y la información dada a los usuarios sobre el tratamiento conforme al Reglamento General de Protección de Datos.  Los principios vulnerados a exponer serán principio de “minimización de datos” (1), principio de “licitud, transparencia y lealtad” (2) y el principio de “seguridad” (3).

En primer lugar, para hacer uso de la inteligencia artificial es necesario y obligatorio iniciar sesión con el correo electrónico y aportar un número de teléfono. Dichos datos pedidos no resultan demasiado pertinentes para el funcionamiento de la aplicación y en caso de que lo fuesen, al aportarlos no se presenta al usuario ninguna información acerca del tratamiento ni de su plazo de conservación. Por ello, se vulnera el principio de “minimización de datos”.

En base a dicha falta de información en la recogida de datos, se vulnera el principio de “licitud, transparencia y lealtad”. En el formulario en el que se rellenan los datos no se presentan:

  • Base jurídica del tratamiento que, en este caso, al aportar los datos sin información asociada al tratamiento, no sería consentimiento por parte del interesado.
  • Los fines del tratamiento, aunque en su política de privacidad señala: mejora del servicio, investigación y desarrollo, mejora del rendimiento y personalización del servicio.
  • Identidad de contacto del RT (OpenAI) y DPO si existe.
  • El plazo o criterios de conservación.
  • Derechos del interesado.
  • Destinatarios de los datos.

Además la tecnología ChatGPT se basa en la recopilación de datos de Internet y al procesar una respuesta cualquiera acude a ellos. Sin embargo, al realizar la respuesta no informa ni sobre la fuente de procedencia ni sobre la categoría de estos datos obtenidos de fuentes externas.

Una vez se inicia sesión en ChatGPT, se te informa a posteriori de la existencia de la figura de los “AI trainers”, los cuales tendrán la posibilidad de revisar tus conversaciones, siendo una ruptura del principio de “seguridad” (3), en concreto de la confidencialidad de nuestros datos personales.

Finalmente, señalar la falta de coherencia entre la política de privacidad de OpenAI y sus términos y condiciones. Mientras que la política de privacidad avisa que recopila la información proporcionada en el registro y los datos de cualquier mensaje que se envíe, los términos y condiciones no informan de ello. Además OpenAI recopila información de navegación (dispositivo, navegador, interacción de usuario, código IP  y cookies), junto a la encontrada en sus barridos de páginas como redes sociales.

Autores: Javier Fraile y Alejandro Pajares

 

Chatgpt y la exposición de menores de edad

Debido a la reciente prohibicion de la IA chatgpt en Italia, distintos países están analizando la posibilidad de realizar el mismo movimiento que el país europeo. Una de las causas que más relevancia han dado es la exposición de los menores de edad ante respuestas que puedan llegar a ser inapropiadas para estos.

Ante este problema, hemos realizado una investigación sobre las políticas de privacidad de OpenAI, la empresa creadora de la famosa IA. Vemos que, además de incumplir con el principio de minimización de datos, es decir, están utilizando cantidades de información que realmente pueden ser innecesaria, encontramos un punto en el cual se habla sobre la información de redes sociales.

Según explica OpenAI, a través de la interacción de un usuario en alguna de sus redes sociales, siendo alguna de ellas YouTube, Facebook o Twitter, pueden mejorar los modelos de lenguaje natural de su producto asociado. A partir de este apartado sobre la información personal que se recopila encontramos otros fallos que pueden estar relacionados con las mismas redes sociales, según se establece en el Reglamento Europeo, la edad mínima para tener una cuenta, en la mayoría de Redes Sociales, son los 16 años y estableciendo como límite de edad a partir de los 13, siendo obligatorio el consentimiento de padres o tutores.

Por tanto, podemos observar que OpenAI seguiría obteniendo datos de los menores a través de su interacción en redes existiendo una brecha relacionada con la protección de los menores de edad y los métodos de comunicación existentes como las redes sociales o las aplicaciones de mensajería instantánea como Whatsapp.

También se están generando otras ideas relacionadas con esta IA y su implementación en los navegadores de búsqueda, como el caso de la empresa tecnológica Microsoft con su navegador Bing. Esto podría causar más injerencias dentro del ámbito de los menores de edad, ya que podrían emplear este servicio para analizar la información que buscamos en estos tipos de buscadores.

En conclusión, parece que la medida realizada por Italia sobre dicha prohibición es un movimiento necesario para establecer la seguridad de los datos personales, ya que la información es poder.

Autores: Diego de la Fuente y Diego Casquero

 

ChatGPT y los principios en materia de protección de datos

Italia ha prohibido el chatbot GPT, una de las tecnologías de inteligencia artificial más avanzadas, debido al incumplimiento de varios principios fundamentales de protección de datos personales y la falta de verificación de la edad para los menores. Esta decisión ha provocado un intenso debate sobre la privacidad de los usuarios y la necesidad de poder equilibrar la innovación tecnológica con la ética y la responsabilidad.

La Autoridad de Protección de Datos Personales de Italia descubrió que el chatbot GPT no cumplía con los principios de transparencia, limitación de finalidad, exactitud y confidencialidad e integridad de esos datos. Principios fundamentales para brindar privacidad y protección de los datos personales de los usuarios, aunque algunos afirmen que esta tecnología no es inherentemente mala, la decisión de Italia destaca la importancia de resolver los problemas de privacidad y protección de datos.

El chatbot GPT ignora el principio de transparencia en el procesamiento de datos, además de que los usuarios no tienen acceso a la información de una forma clara y fácil de entender sobre cómo están siendo tratados sus datos personales. También incumple el principio de limitación de la finalidad ya que los datos que se recopilan de los usuarios se utilizan para fines que no están relacionados con el original, lo que hace que los usuarios pierdan la confianza y su capacidad para controlar sus datos personales y junto con la falta de exactitud ya que puede procesar datos inexactos o incluso pueden estar desactualizados debido a la falta de medidas para poder actualizarlos. Además, ya ha habido varias brechas en la seguridad y terceros han accedido libremente a los datos de los usuarios, lo que hace que se agrave el problema con el chatbot GPT.

En la prohibición del chatbot GPT en Italia se puede destacar la importancia de abordar los problemas de protección de datos y la privacidad de estos en la tecnología de manera equilibrada y rigurosa. Debemos trabajar juntos como sociedad para poder garantizar que la tecnología sea utilizada de manera ética y responsable, para poder proteger los derechos y privacidad de los usuarios, esto implica que la tecnología debe aplicar rigurosamente los principios de protección de datos, así como una innovación responsable y colaborativa entre empresas y reguladores.

Algunas medidas que el chatbot GPT puede realizar son limitar la retención de datos eliminándolos después de un cierto periodo de tiempo, también puede anonimizar los datos de los usuarios para que estos no puedan ser identificados, además pueden implementar una encriptación de los datos de los usuarios para protegerlos de accesos no autorizados.

Una medida clave y necesaria sería requerir el consentimiento explícito del usuario antes de recopilar y utilizar sus datos, otra medida ejemplar sería ser transparente sobre la utilización de los datos de los usuarios y que proporcione control sobre estos, pudiendo acceder, modificar o eliminarlos, y en definitiva, ejercer cualquiera de los derechos reconocidos en la legislación en materia de protección de datos.

En resumen, la decisión de Italia de prohibir la tecnología de chatbot GPT se basó en el incumplimiento de varios principios fundamentales de protección de datos personales. Esta decisión destaca la necesidad de abordar los problemas de privacidad y protección de datos en la tecnología avanzada de manera equilibrada y rigurosa, y nos recuerda la importancia de la ética y la responsabilidad en la innovación tecnológica. Es probable que esta decisión tenga implicaciones más amplias para la regulación de este tipo de tecnologías y la privacidad de datos en todo el mundo.

Autores: Mario Rodríguez y Alejandro Casado