Las autoridades de privacidad de Canadá han determinado que OpenAI violó las leyes de protección de datos personales durante el desarrollo y entrenamiento de ChatGPT. La investigación conjunta, realizada por la Oficina del Comisionado de Privacidad de Canadá y sus homólogos de Quebec, Alberta y Columbia Británica, concluyó que la empresa recopiló y utilizó información de millones de personas, incluidos menores de edad, sin un consentimiento válido y con controles insuficientes para mitigar riesgos de privacidad.
Recolección masiva de datos
Según el informe oficial, OpenAI obtuvo enormes volúmenes de información personal mediante el rastreo automatizado de sitios web públicos, redes sociales, foros y otras fuentes en línea para entrenar sus modelos de inteligencia artificial GPT-3.5 y GPT-4. Los reguladores calificaron esta recolección como "excesivamente amplia" y señalaron que la empresa no pudo demostrar que las personas hubieran otorgado un consentimiento válido para el uso de sus datos.
Datos sensibles y de menores
Entre la información recopilada se encontraban datos sensibles como temas de salud, opiniones políticas e información de menores de edad. Las autoridades también criticaron la falta de transparencia de OpenAI sobre cómo recolectaba y procesaba los datos. El comisionado federal de privacidad, Philippe Dufresne, afirmó que este caso evidencia cómo las tecnologías de inteligencia artificial están desafiando los límites de las leyes de privacidad actuales.
Problemas de precisión y corrección
La investigación detectó además problemas con la precisión de la información generada por ChatGPT sobre individuos concretos. OpenAI carecía de mecanismos adecuados para corregir datos inexactos o eliminar información personal de sus modelos una vez incorporada. La compañía explicó que "desentrenar" un modelo para borrar datos específicos no es técnicamente viable, por lo que opta por bloquear respuestas y excluir datos en futuros entrenamientos.
Respuesta de OpenAI
OpenAI aseguró que ha implementado cambios en sus políticas y herramientas de protección de datos desde el lanzamiento inicial de ChatGPT y que continuará colaborando con las autoridades canadienses. Sin embargo, la empresa discrepó en general con las conclusiones de la investigación.
Contexto adicional
Estos señalamientos ocurren después de que, a finales de abril, la justicia de Estados Unidos recibiera siete demandas contra OpenAI en nombre de familias afectadas por un tiroteo en un pueblo canadiense en febrero. Las demandas alegan que OpenAI decidió no denunciar a Jesse Van Rootselaar, una mujer transgénero de 18 años que mató a ocho personas, "porque informar de un caso significaría informar de miles". El director ejecutivo de OpenAI, Sam Altman, se disculpó ante la comunidad de Tumbler Ridge por no haber advertido a las autoridades.
Conclusiones de los reguladores
- La recopilación inicial de información personal fue excesiva e inapropiada.
- No se obtuvo consentimiento válido para la recopilación, uso y divulgación de datos.
- No se cumplió con los requisitos de precisión establecidos en las leyes canadienses.
- No se proporcionó adecuadamente a los usuarios la capacidad de acceder, corregir y eliminar su información personal.
- No se cumplió con las obligaciones de rendición de cuentas sobre la información personal bajo su control.
