Mientras que la mayor parte de Europa aún estaba disfrutando de las sobras de chocolate navideño el mes pasado, el fabricante de ChatGPT, OpenAI, estaba ocupado enviando un correo electrónico con detalles de una actualización de sus términos que parece destinada a reducir su riesgo regulatorio en la Unión Europea.
La tecnología del gigante de la IA ha sido objeto de escrutinio temprano en la región por el impacto de ChatGPT en la privacidad de las personas, con varias investigaciones abiertas sobre preocupas de protección de datos relacionadas con cómo el chatbot procesa la información de las personas y los datos que puede generar sobre los individuos, incluidos los entes reguladores en Italia y Polonia. (La intervención de Italia incluso provocó una suspensión temporal de ChatGPT en el país hasta que OpenAI modificó la información y los controles que ofrecía a los usuarios.)
“Hemos cambiado la entidad de OpenAI que proporciona servicios como ChatGPT a residentes del EEE y Suiza a nuestra entidad irlandesa, OpenAI Ireland Limited,” escribió OpenAI en un correo electrónico enviado a los usuarios el 28 de diciembre.
Una actualización paralela a la Política de Privacidad de OpenAI para Europa estipula:
Si resides en el Área Económica Europea (AEE) o Suiza, OpenAI Ireland Limited, con su oficina registrada en 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublín 1, D01 YC43, Irlanda, es el responsable del procesamiento de tus Datos Personales como se describe en esta Política de Privacidad.
Los nuevos términos de uso que enumeran a su subsidiaria con sede en Dublín como el controlador de datos para los usuarios en el Área Económica Europea (AEE) y Suiza, donde está en vigor el Reglamento General de Protección de Datos (RGPD) de la UE, comenzarán a aplicarse el 15 de febrero de 2024.
A los usuarios se les informa que si no están de acuerdo con los nuevos términos de OpenAI, pueden eliminar su cuenta.
El mecanismo de ventanilla única (OSS) del RGPD permite a las empresas que procesan datos de europeos simplificar la supervisión de la privacidad bajo una única autoridad principal de protección de datos ubicada en un Estado miembro de la UE, donde están «principalmente establecidos», como lo expresa el argot regulatorio.
Obtener este estatus reduce eficazmente la capacidad de los entes reguladores de privacidad ubicados en otras partes del bloque para actuar unilateralmente en caso de preocupaciones. En su lugar, típicamente remitirían las quejas de nuevo al supervisor principal de la empresa establecida para su consideración.
Otros reguladores del RGPD aún conservan poderes para intervenir localmente si ven riesgos urgentes. Pero estas intervenciones suelen ser temporales. También son excepcionales por naturaleza, ya que la mayoría de la supervisión del RGPD se canaliza a través de una autoridad principal. Por eso este estatus ha resultado tan atractivo para las grandes tecnológicas, permitiéndoles simplificar la supervisión de la privacidad de sus procesamientos transfronterizos de datos personales.
Al preguntar si OpenAI está trabajando con la autoridad de protección de datos de Irlanda para obtener el estatus de principal establecimiento para su entidad con sede en Dublín, bajo el OSS del RGPD, una portavoz de la Comisión de Protección de Datos (DPC) de Irlanda dijo a TechCrunch: “Puedo confirmar que Open AI ha estado en contacto con la DPC y otras autoridades de protección de datos de la UE sobre este asunto.”
También se contactó a OpenAI para hacer comentarios.
El gigante de la IA abrió una oficina en Dublín en septiembre, contratando inicialmente a un puñado de empleados para puestos de políticas, legales y privacidad, además de algunos roles de oficina. Al momento de escribir esto, tiene solo cinco posiciones abiertas en Dublín de un total de 100 listadas en su página de carreras, por lo que la contratación local parece estar limitada. Un puesto de liderazgo de políticas y asociaciones de Estados miembros de la UE con sede en Bruselas que también está reclutando actualmente pide a los solicitantes que especifiquen si están disponibles para trabajar desde la oficina de Dublín tres días por semana. Pero la gran mayoría de las posiciones abiertas del gigante de la IA se enumeran como basadas en San Francisco/Estados Unidos.
Uno de los cinco roles anunciados en Dublín por OpenAI es para un ingeniero de software de privacidad. Los otros cuatro son para: director de cuentas, plataforma; especialista internacional en nóminas; jefe de relaciones con los medios en Europa; e ingeniero de ventas.
Quiénes y cuántos empleados está contratando OpenAI en Dublín será relevante para obtener el estatus de principal establecimiento bajo el RGPD, ya que no se trata simplemente de presentar un poco de documentación legal y marcar una casilla para obtener el estatus. La empresa tendrá que convencer a los reguladores de privacidad del bloque de que la entidad con sede en un Estado miembro que ha designado como responsable legal de los datos de los europeos es realmente capaz de influir en la toma de decisiones sobre ellos.
Esto significa contar con la experiencia y las estructuras legales adecuadas para ejercer influencia y poner controles de privacidad significativos en una empresa matriz estadounidense.
En otras palabras, abrir una oficina en Dublín que simplemente apruebe decisiones de productos tomadas en San Francisco no debería ser suficiente.
Dicho esto, OpenAI puede estar observando con interés el ejemplo de X, la empresa anteriormente conocida como Twitter, que ha sacudido todo tipo de barcos después de un cambio de propiedad en otoño de 2022. Pero aún no ha salido del OSS desde que Elon Musk asumió el control, a pesar de que el propietario multimillonario errático ha reducido drásticamente el personal regional de X, expulsando la experiencia relevante y tomando decisiones extremadamente unilaterales sobre productos. (Así que, bueno, no se entiende del todo.)
Si OpenAI obtiene el estatus de principal establecimiento GDPR en Irlanda, obteniendo supervisión líder por la DPC irlandesa, se uniría a empresas como Apple, Google, Meta, TikTok y X, por nombrar algunas de las multinacionales que han optado por establecer su hogar en la UE en Dublín.
Por otro lado, la DPC continúa atrayendo críticas sustanciales por el ritmo y la cadencia de su supervisión del RGPD de las gigantes tecnológicas locales. Y si bien en los últimos años se han impuesto una serie de sanciones a las grandes tecnológicas que finalmente han salido de Irlanda, los críticos señalan que el regulador a menudo aboga por sanciones sustancialmente más bajas que sus pares. Otras críticas incluyen el ritmo glacial y/o la trayectoria inusual de las investigaciones de la DPC. O los casos en los que elige no investigar una queja en absoluto, o decide reformularla de manera que evite la preocupación clave (sobre este último, ver, por ejemplo, esta queja de adtech de Google).
Cualquier investigación existente del RGPD sobre ChatGPT, como la de los reguladores en Italia y Polonia, aún puede ser importante en términos de dar forma a la regulación regional del chatbot de IA generativa de OpenAI, ya que es probable que las investigaciones sigan su curso dado que se refieren al procesamiento de datos anterior a cualquier futuro estatus de principal establecimiento que pueda obtener el gigante de la IA. Pero no está claro cuánto impacto pueden tener.
Como recordatorio, el regulador de privacidad de Italia ha estado examinando una larga lista de preocupaciones sobre ChatGPT, incluida la base legal en la que se basa OpenAI para procesar los datos de las personas para entrenar sus IA. Mientras que el ente regulador de Polonia abrió una investigación tras una queja detallada sobre ChatGPT, incluyendo cómo el bot de IA alucina (es decir, fabrica) datos personales.
Es importante destacar que la política de privacidad europea actualizada de OpenAI también incluye más detalles sobre las bases legales que reclama para el procesamiento de los datos de las personas, con algunas nuevas formulaciones que indican que su afirmación de basarse en un interés legítimo para procesar los datos de las personas para el entrenamiento de modelos de IA es «necesaria para nuestros intereses legítimos y los de terceros y la sociedad en general» [énfasis nuestro].
Mientras que la política de privacidad actual de OpenAI contiene una línea mucho más seca sobre este elemento de su base legal reclamada: “Nuestros intereses legítimos en proteger nuestros Servicios del abuso, el fraude o los riesgos de seguridad, o en desarrollar, mejorar o promover nuestros Servicios, incluido cuando entrenamos nuestros modelos.”
Esto sugiere que OpenAI puede estar buscando defender su vasta recolección sin consentimiento de datos personales de usuarios de Internet para obtener ganancias de IA generativa a los reguladores de privacidad europeos preocupados, haciendo algún tipo de argumento de interés público para la actividad, además de sus propios intereses (comerciales). Sin embargo, el RGPD tiene un conjunto estrictamente limitado de (seis) bases legales válidas para el procesamiento de datos personales; los controladores de datos no pueden simplemente elegir bits de esta lista para inventar su propia justificación.
También vale la pena destacar que los entes reguladores del RGPD ya han estado tratando de encontrar puntos en común sobre cómo abordar la complicada intersección entre la ley de protección de datos y las IA alimentadas por datos masivos a través de un grupo de trabajo establecido dentro de la Junta Europea de Protección de Datos el año pasado. Aunque aún está por verse si surgirá algún consenso del proceso. Y dado que OpenAI ha establecido una entidad legal en Dublín como el controlador de los datos de los usuarios europeos, es posible que Irlanda tenga la última palabra en la dirección que tomará en cuanto a la IA generativa y los derechos de privacidad.
Si la DPC se convierte en el supervisor principal de OpenAI, tendría la capacidad de, por ejemplo, ralentizar el ritmo de cualquier aplicación del RGPD sobre la tecnología en rápido avance.
Ya, en abril pasado, tras la intervención italiana en ChatGPT, la comisionada actual de la DPC, Helen Dixon, advirtió en contra de que los reguladores de privacidad se apresuraran a prohibir la tecnología debido a preocupaciones sobre datos, diciendo que los reguladores deberían tomarse el tiempo necesario para averiguar cómo hacer cumplir la ley de protección de datos del bloque sobre las IA.
Nota: Los usuarios del Reino Unido están excluidos del cambio de base legal de OpenAI a Irlanda, ya que la empresa especifica que quedan bajo la jurisdicción de su entidad corporativa en Delaware, Estados Unidos. (Desde el Brexit, el RGPD de la UE ya no se aplica en el Reino Unido, aunque mantiene su propio RGPD del Reino Unido en la ley nacional, una regulación de protección de datos que todavía está basada históricamente en el marco europeo, lo que está a punto de cambiar a medida que el Reino Unido se aleja del estándar de oro del bloque sobre protección de datos a través del proyecto de reforma de datos que actualmente se está tramitando en el parlamento.)
