Italia, ChatGPT, y la protección de datos

Italia, ChatGPT, y la protección de datos

La GPDP (Garante Per la Protezcione dei Dati Personali) se ha pronunciado sobre el servicio ChatGPT de OpenAI.

Después del bloqueo de ChatGPT por parte de la Autoridad italiana de protección de datos, esta se ha pronunciado en una Disposición de 11 de abril de 2023.

La Autoridad pone de relieve la voluntad mostrada por la Empresa (OpenAI) de poner en marcha una serie de medidas concretas para proteger los derechos y libertades de los interesados en relación con el uso de ChatGPT.

La GPDP alude a lo anterior dejando claro que se establecen estas medidas sin perjuicio de la continuación de la instrucción previa iniciada que permitirá revaluar la existencia de las condiciones que han previsto la prescripción provisional.

¿Qué medidas debe cumplir OpenAI en Italia? 

Os dejamos aquí un resumen de las medidas que debe cumplir OpenIA. Son las siguientes:

Elaborar y publicar en su sitio web un aviso (MEDIDA 1) explicando a los interesados (incluidos los no usuarios de ChatGPT) cuyos datos hayan sido recogidos y tratados con fines de entrenar algoritmos:

  • Los métodos de tratamiento.
  • La lógica subyacente al tratamiento necesario para el funcionamiento del servicio.
  • Sus derechos como interesados.
  • Cualquier otra información exigida por artículo 12 del RGPD.

Poner a disposición de los interesados que se conecten desde Italia (incluidos los no usuarios de ChatGPT) en su sitio web, una/s herramienta/s para:

  • Ejercer su derecho a oponerse al tratamiento de sus datos personales, obtenidos de terceros, efectuado por la empresa con fines de entrenamiento de algoritmos y de prestación del servicio (MEDIDA 2).
  • Solicitar y obtener la rectificación de los datos personales que les conciernan y que hayan sido tratados de forma inexacta en la generación de contenidos o, si ello fuera imposible debido al estado de la técnica, la supresión de sus datos personales (MEDIDA 3).
  • Ejercer el derecho de oposición al tratamiento de los propios datos adquiridos al utilizar el servicio de entrenamiento de algoritmos si la base jurídica elegida es el interés legítimo -relación con MEDIDA 5- (MEDIDA 6).

Incluir un enlace a la información (MEDIDA 4) que se encuentre en un lugar que permita su lectura antes de que el usuario se registre y antes del primer acceso tras la posible reactivación del servicio.

Modificación de la base de legitimación del tratamiento (MEDIDA 5) de los datos personales de los usuarios con fines de entrenamiento de algoritmos. Se eliminará cualquier referencia al contrato y se asumirá como base de legitimación el CONSENTIMIENTO o el INTERÉS LEGÍTIMO en relación con las evaluaciones de la empresa en una lógica de rendición de cuentas.

Incluir un control de edad (MEDIDA 7) que excluya a los menores de edad respecto a todos los usuarios que se conecten desde Italia, incluidos los ya registrados. Esto en caso de que se reactive el servicio.

Presentar (antes del 31 de mayo de 2023) ante la GPDP un plan para la adopción de herramientas de verificación de edad,(MEDIDA 8) excluyendo del servicio a menores de 13 años y menores en ausencia de consentimiento expreso de quienes ejerzan la patria potestad. La aplicación de este plan comenzará máximo el 30 de septiembre de 2023.

Promover (antes del 15 de mayo de 2023) una campaña (no promocional) en los principales medios de comunicación italianos (radio, televisión, periódicos e internet), con un contenido acordado con la GPDP, para informar de los fines de recogida de los datos personales y de que en su sitio web (de OpenIA) cuentan con información detallada y herramientas que les permiten ejercer sus derechos en materia de protección de datos. (MEDIDA 9)

En relación con las medidas 1 a 7 tienen como fecha límite para su cumplimiento el 30 de abril de 2023.

No es la única Autoridad que está poniendo entre la espada y la pared a OpenIA poniendo en duda su cumplimiento en materia de protección de datos. La Autoridad española (AEPD) publicó ayer en una nota de prensa que informaba del inicio de oficio de actuaciones previas de investigación a la empresa OpenIA por un posible incumplimiento de la normativa.

Recordemos que ya, la semana pasada la AEPD solicitó al Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) que se incluyera el servicio ChatGPT como tema a abordar en su reunión plenaria. El Comité ya ha decidido lanzar un grupo de trabajo (task force) para fomentar la cooperación e intercambiar información sobre las acciones llevadas a cabo por las autoridades de protección de datos.

Artículo escrito por:

Adriana Ranchal MetricsonAdriana Ranchal

Abogada especialista en Privacidad & IP

adriana.ranchal@metricson.com

 

 

 

Sobre Metricson

Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.

Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla

    Responsable: Metricson S.L.P.U.
    · Finalidad: Resolver tu petición o duda.
    · Legitimación:  Interés legítimo en responder cualquier cuestión planteada por ti.
    · Destinatarios: Prestadores de servicios tecnológicos, como encargados del tratamiento, que seguirán siempre nuestras instrucciones.
    · Derechos: Puedes acceder, rectificar, suprimir o solicitar la portabilidad de tus datos personales, así como oponerte o limitar el tratamiento de los mismos dirigiéndote a privacy@metricson.com.