A fines del mes pasado, mientras la mayor parte de Europa todavía disfrutaba del placer del chocolate festivo, el desarrollador de ChatGPT, OpenAI, estaba ocupado enviando un correo electrónico detallando una próxima actualización de sus términos que parecía tener como objetivo reducir su riesgo regulatorio en la UE.
La tecnología del gigante de la IA ha sido objeto de escrutinio temprano en la región por el impacto de ChatGPT en la privacidad personal: los reguladores en países como Italia y Polonia han llevado a cabo múltiples investigaciones públicas sobre cuestiones de protección de datos relacionadas con cómo los chatbots procesan la información de las personas y los datos personales que pueden generar. (La intervención de Italia incluso provocó una suspensión temporal de ChatGPT en ese país hasta que OpenAI revisara la información y los controles que proporciona a los usuarios).
"Hemos cambiado el nombre de la entidad OpenAI que proporciona servicios como ChatGPT a los residentes del Espacio Económico Europeo y Suiza a la entidad irlandesa OpenAIIrelandLimited", escribió OpenAI en un correo electrónico a los usuarios el 28 de diciembre.
La Política de privacidad europea de OpenAI actualizada simultáneamente establece además:
Si reside en el Espacio Económico Europeo (EEE) o Suiza, OpenAI Ireland Limited (registrada en 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01YC43, Irlanda) es el controlador responsable de procesar sus datos personales como se describe en esta Política de Privacidad.
Los nuevos términos de uso enumeran a su filial recientemente establecida en Dublín como controlador de datos para los usuarios en el Espacio Económico Europeo (EEE) y Suiza, y el Reglamento General de Protección de Datos (GDPR) del grupo entrará en vigor el 15 de febrero de 2024.
A los usuarios se les dijo que podían eliminar sus cuentas si no aceptaban los nuevos términos de OpenAI.
El mecanismo One Stop Shop (OSS) del RGPD permite a las empresas que procesan datos de europeos simplificar la regulación de la privacidad bajo una única autoridad de supervisión de datos ubicada en un estado miembro de la UE.
Al obtener este estatus, se reducirá efectivamente la capacidad de los reguladores de privacidad ubicados en otras partes de la UE para abordar cuestiones unilateralmente. En cambio, normalmente remiten las quejas al regulador principal de la empresa principal para su consideración.
Otros reguladores del RGPD aún conservan el poder de intervenir localmente si identifican riesgos urgentes. Pero esta intervención suele ser temporal. También son únicos por naturaleza, ya que la mayor parte del trabajo regulatorio del RGPD se lleva a cabo a través de la agencia principal. Es por eso que este estatus es tan atractivo para las Big Tech: permite a las plataformas más poderosas simplificar la supervisión de la privacidad de su procesamiento transfronterizo de datos personales.
Una portavoz de la Comisión de Protección de Datos (DPC) de Irlanda dijo cuando se le preguntó si OpenAI estaba trabajando con el organismo de control de la privacidad irlandés para obtener el estatus de agencia principal para su entidad de Dublín bajo el OSS del GDPR: "Puedo confirmar que OpenAI se ha comprometido con la DPC y otras DPA (autoridades de protección de datos) de la UE en este asunto".
El gigante de la IA abrió una oficina en Dublín en septiembre, inicialmente contratando personal de políticas, asuntos legales y de privacidad, así como personal administrativo.
Al cierre de esta edición, sólo había cinco vacantes en Dublín de los 100 puestos enumerados en su página de contratación, por lo que la contratación local parece seguir siendo limitada. Actualmente, la empresa también está contratando para un puesto de líder de políticas y asociaciones de los Estados miembros de la UE con sede en Bruselas, y pide a los candidatos que indiquen si pueden trabajar desde la oficina de Dublín tres días a la semana. Pero la gran mayoría de los puestos vacantes del gigante de la IA figuran en San Francisco/EE.UU.
Entre los cinco puestos para los que OpenAI está contratando en Dublín se encuentra un ingeniero de software de privacidad. Los otros cuatro puestos son: Director de Cuentas de Plataforma, Especialista en Nómina Internacional, Líder de Relaciones con los Medios Europeos e Ingeniero de Ventas.
Quién contrata OpenAI en Dublín y cuántas personas contrata será relevante para determinar si puede obtener el estatus de organismo principal según el RGPD, porque no se trata solo de presentar algunos documentos legales y marcar una casilla. La empresa necesita convencer al organismo de control de la privacidad del grupo de que las entidades de los Estados miembros que designa como legalmente responsables de los datos de los europeos pueden en realidad influir en las decisiones sobre los datos.
Esto significa contar con la experiencia y las estructuras legales adecuadas para ejercer influencia y realizar controles de privacidad significativos en las empresas matrices estadounidenses. En otras palabras, no basta con tener una oficina principal en Dublín que simplemente apruebe las decisiones de productos en San Francisco.
Si OpenAI obtiene el estatus principal de GDPR en Irlanda y es supervisado por el DPC irlandés, se unirá a las filas de empresas multinacionales como Apple, Google, Meta, TikTok y X.
Al mismo tiempo, la DPC sigue atrayendo muchas críticas por la velocidad y el ritmo de la regulación GDPR de los gigantes tecnológicos locales. Si bien las sanciones impuestas por Irlanda a las grandes empresas tecnológicas han sido noticia en los últimos años, los críticos señalan que los reguladores a menudo abogan por sanciones mucho más bajas que sus pares. Otras críticas incluyen el ritmo lento y/o la trayectoria inusual de la investigación de la DPC. O la denuncia no se investiga en absoluto o se reformula de manera que se eviten cuestiones clave.
Cualquier investigación actual del RGPD sobre ChatGPT por parte de reguladores en países como Italia y Polonia aún puede tener un impacto en la regulación regional del chatbot de IA generativa de OpenAI, ya que es probable que estas investigaciones hayan concluido porque involucran un procesamiento de datos anterior al estatus de agencia importante que el gigante de la IA puede obtener en el futuro. Pero no está tan claro qué tan grande será el impacto que tendrán.
La política de privacidad actual de OpenAI contiene una línea mucho más seca sobre este elemento de su supuesta base legal: "Nuestros intereses legítimos en proteger nuestros servicios contra abusos, fraudes o riesgos de seguridad, o en desarrollar, mejorar o promover nuestros servicios (incluso cuando entrenamos nuestros modelos)".
Esto sugiere que, además de sus propios intereses (comerciales), OpenAI también puede intentar defender su extensa y continua recopilación de datos personales de los usuarios de Internet para obtener ganancias generadas por la IA ante los reguladores de privacidad europeos pertinentes presentando algún tipo de argumento de interés público para sus actividades. Sin embargo, el RGPD tiene restricciones estrictas (seis artículos) sobre la base jurídica válida para el procesamiento de datos personales; Los responsables del tratamiento de datos no pueden "elegir y elegir" de la lista e inventar sus propios motivos.
En particular, el organismo de control del RGPD creó el año pasado un grupo de trabajo dentro del Consejo Europeo de Protección de Datos para tratar de encontrar puntos en común sobre cómo abordar la espinosa intersección entre la ley de protección de datos y la inteligencia artificial basada en big data. Aunque está por ver si se podrá llegar a un consenso en este proceso. Dado que OpenAI establecerá una entidad legal en Dublín como controlador de los datos de los usuarios en Europa, es probable que Irlanda obtenga una voz decisiva en la IA generativa y los derechos de privacidad.
Si la DPC se convierte en el principal regulador de OpenAI, tendrá la capacidad de ralentizar el ritmo de aplicación del RGPD en esta tecnología en rápida evolución.
En abril pasado, tras la intervención de Italia en ChatGPT, la actual comisionada del DPC, Helen Dixon, advirtió a los reguladores de privacidad que no se apresuraran a prohibir la tecnología por cuestiones de datos; dijo que los reguladores deberían tomarse su tiempo para descubrir cómo hacer cumplir las leyes de protección de datos del grupo sobre IA.
Nota: OpenAI transfiere su base legal para los usuarios del Reino Unido a Irlanda, excluyendo a los usuarios del Reino Unido, que la compañía declara explícitamente que caen dentro de la jurisdicción de su entidad corporativa con sede en Delware, EE. UU. (Desde el Brexit, el RGPD de la UE ya no se aplica al Reino Unido; si bien el Reino Unido conserva su propio RGPD en su legislación nacional, esta regulación de protección de datos históricamente se ha basado en el marco europeo).