Breve análisis del Informe del CEPD sobre ChatGPT

Uno de los principales desafíos de ChatGPT es garantizar la legalidad del tratamiento de los datos personales involucrados en su servicio. Según el RGPD, cualquier tratamiento de datos personales debe disponer de al menos una de las bases de licitud establecidas en su artículo 6 y, en su caso, cumplir con los requisitos adicionales del artículo 9, si se trata de categorías especiales de datos personales.

El uso de ChatGPT implica diferentes etapas de tratamiento de datos personales, como recopilar datos de diversas fuentes en Internet (por ejemplo, mediante la técnica de web scraping), preprocesar y filtrar los datos, entrenar el modelo, generar resultados basados en las entradas del usuario y volver a entrenar el modelo con las entradas del usuario. Según el RGPD, cada una de estas etapas requiere una evaluación cuidadosa de la base jurídica y del impacto potencial sobre los derechos y libertades de los interesados.

En cuanto al web scraping, OpenAI considera que su base legitimadora es el interés legítimo contemplado en el artículo 6.1.f) del RGPD, pero el CEPD recuerda que para utilizar dicha base de licitud deberán cumplirse tres criterios: la existencia de un interés legítimo, la necesidad del tratamiento y el equilibrio de intereses.

Asimismo, el Comité recalca, por un lado, que el mero hecho de que los datos sean accesibles públicamente no significa que el interesado haya hecho manifiestamente públicos esos datos, y, por el otro, que es esencial implementar medidas o salvaguardas apropiadas para reducir el impacto indebido en los interesados, lo cual puede inclinar la prueba de ponderación a favor del responsable. Como ejemplos de estas medidas, se cita la supresión o anonimización de los datos personales que se hayan obtenido mediante esta técnica, tanto antes como después de su obtención.

En lo que respecta a la lealtad en el tratamiento, los datos no pueden ser tratados de forma discriminatoria, inesperada o confusa para el interesado. Del mismo modo, estos riesgos no deben transferirse a los interesados mediante, por ejemplo, cláusulas en los Términos y Condiciones que hagan responsables a los usuarios por la información contenida en sus chats.

Finalmente, respecto a la transparencia, el CEPD distingue dos situaciones. En primer lugar, cuando se obtienen datos personales mediante web scraping de fuentes públicas, es necesario cumplir con el artículo 14 del RGPD. No obstante, dado el gran volumen de datos, a menudo no es factible ni posible notificar a cada interesado, por lo que podría aplicarse la excepción del artículo 14.5.b) del RGPD si se cumplen todos los criterios establecidos en dicha disposición. 

En segundo lugar, la recopilación de datos personales durante la interacción directa con ChatGPT debe cumplir con el artículo 13 del RGPD. En este escenario, es especialmente relevante informar a los interesados sobre cómo la información que proporcionan al interactuar con ChatGPT, ya sea mediante prompts o preguntas, puede ser empleada para el entrenamiento y la mejora del algoritmo.

El principio de exactitud de los datos, en el contexto de ChatGPT, se aplica tanto a los datos de entrada (por ejemplo, datos recopilados mediante web scraping) como a los datos de salida generados por ChatGPT.

El CEPD señala que no debe olvidarse que la finalidad del procesamiento de datos en ChatGPT es entrenar el modelo y no necesariamente proporcionar información fácticamente precisa. La naturaleza misma de este modelo se basa en algoritmos probabilísticos que aprenden de grandes volúmenes de datos para generar respuestas que parezcan coherentes y naturales. Dado que el aprendizaje del modelo se fundamenta en patrones estadísticos, no se puede garantizar que la información generada sea siempre exacta o libre de sesgos. Por lo tanto, es posible que el sistema genere contenido que no solo sea inexacto sino también sesgado.

Existe la posibilidad de que los usuarios interpreten como veraz y exacta la información generada por ChatGPT. Por ello, es esencial vincular el principio de exactitud con el de transparencia. En este sentido, el Comité subraya la importancia de proporcionar información detallada sobre cómo se generan los resultados probabilísticos y su fiabilidad limitada. Esto incluye hacer referencia explícita al hecho de que el texto generado, aunque sea gramaticalmente correcto, puede estar sesgado o ser ficticio.

En la protección de datos personales, el respeto a los derechos de los interesados es un pilar fundamental. Es decir, debe garantizarse que los interesados puedan ejercer sus derechos de acceso, rectificación, oposición, supresión (también conocido como el “derecho al olvido”) y la limitación del tratamiento.

En el informe se indica que OpenAI ha tomado medidas proactivas para asegurar su cumplimiento. Por ejemplo, a través de la versión europea de su política de privacidad, la entidad ha proporcionado un canal de comunicación directo, una dirección de correo electrónico, para que los interesados puedan ejercer sus derechos. Además, en situaciones donde la rectificación de datos no resulta viable debido a obstáculos técnicos, OpenAI recomienda optar por la supresión de los mismos.

Sin embargo, la eficacia de estas medidas aún está bajo escrutinio, con investigaciones en curso que buscan evaluar su impacto real en la protección de los derechos de los interesados.