OpenAI violó la privacidad de los canadienses, afirman los organismos de control y exigen una reforma legal

OpenAI violó la privacidad de los canadienses, afirman los organismos de control y exigen una reforma legal

• El organismo de control de la privacidad de Canadá declaró este miércoles que OpenAI se ha comprometido a proteger mejor la información personal de los canadienses, luego de que una investigación conjunta con tres provincias revelara que la empresa realizó una recopilación de datos “excesivamente amplia” para entrenar los modelos iniciales de su chatbot de IA ChatGPT.

Sin embargo, el Comisionado de Privacidad, Philippe Dufresne, y sus homólogos de Quebec, British Columbia y Alberta afirmaron que su investigación ha reforzado la necesidad de modernizar las leyes de privacidad de Canadá para la era de la inteligencia artificial, señalando que OpenAI pudo aprovecharse de la falta de salvaguardias que ahora se necesitan con urgencia.

“OpenAI lanzó ChatGPT sin haber abordado completamente los problemas de privacidad conocidos”, declaró Dufresne en una conferencia de prensa en Ottawa. “Esto expuso a los canadienses a posibles riesgos de daño, como filtraciones y discriminación basadas en información sobre ellos”.

Un aspecto particularmente problemático fue la forma en que OpenAI recopiló información pública disponible en internet para entrenar sus modelos GPT-3.5 y GPT-4, que se utilizaban cuando se inició la investigación en 2023.

Dicha recopilación de datos se realizó sin transparencia ni el consentimiento de los canadienses cuya información se utilizó, e incluso se recopiló información que dio lugar a imprecisiones, según constataron los organismos de control. La investigación también reveló que los canadienses no tenían ningún recurso para acceder a su información personal, ni para corregirla o eliminarla.

El informe critica a OpenAI por lanzar apresuradamente sus productos ChatGPT al mercado sin contar con las salvaguardas de privacidad adecuadas, y por abordar las preocupaciones a posteriori, lo que infringió los requisitos de rendición de cuentas de la Ley Federal de Protección de la Información Personal y Documentos Electrónicos (PIPEDA).

«Tenemos declaraciones de líderes de la organización en aquel momento que afirman: “Sentimos que teníamos que actuar, sabíamos que había otras alternativas, así que lo lanzamos…” tras realizar pruebas limitadas», declaró Dufresne a los periodistas.

“Nos pareció problemático. Descubrimos que había cosas que podrían haber hecho, y de hecho ya las han hecho, que deberían haberse implementado antes del lanzamiento”.

Dufresne afirmó que, como resultado de la investigación, OpenAI ha aceptado medidas de seguridad adicionales, como una política de retención de datos personales, y ha limitado significativamente la información que utiliza para entrenar los modelos nuevos y futuros de ChatGPT.

Añadió que OpenAI también ha aceptado medidas de transparencia que mantendrán informados a los canadienses, en ambos idiomas oficiales, sobre las políticas de recopilación, uso y retención de datos de la empresa.

Al preguntársele si considera que ChatGPT es seguro hoy en día, Dufresne respondió afirmativamente y que los problemas planteados en el informe se han resuelto de forma condicional, y OpenAI se ha comprometido a continuar supervisando el cumplimiento.

Sin embargo, el Comisionado de Privacidad de British Columbia, Michael Harvey, sugirió que ChatGPT, por su diseño, “no puede cumplir” con la ley de privacidad de la provincia tal como está redactada actualmente, la cual prohíbe a las empresas basarse en el “consentimiento implícito” si no recopilan los datos directamente, sino a través de sitios web de terceros.

“Diría que también nos alientan muchas de las acciones que hemos visto realizar a ChatGPT durante la investigación, así como varios de los compromisos que han asumido”, añadió.

El informe señala que OpenAI no estuvo de acuerdo con las conclusiones de los comisionados, pero aun así aceptó medidas destinadas a abordar sus preocupaciones y prevenir futuras violaciones de la ley de privacidad.

Un portavoz de OpenAI hizo referencia a una publicación bilingüe en su blog, publicada el miércoles por la compañía “tras un proceso de colaboración con los comisionados”, que describe su enfoque de la privacidad, cómo se pueden utilizar los datos de los canadienses y los “controles” disponibles para los usuarios.

“Nos preocupamos profundamente por las personas que usan ChatGPT, y proteger su privacidad es fundamental para nuestro desarrollo”, afirma la publicación.

“También reconocemos que proteger la privacidad y abordar los riesgos graves de daño deben ir de la mano. Asumimos esta responsabilidad con seriedad y seguimos reforzando la forma en que detectamos y respondemos a amenazas creíbles de violencia, manteniendo al mismo tiempo las salvaguardas de privacidad”.

Harvey afirmó que los hallazgos demuestran la necesidad de que otras empresas de IA estén sujetas a controles mediante leyes de privacidad modernizadas, a diferencia de OpenAI, para evitar situaciones similares.

«Nos encontramos en un punto muerto», declaró.

«Por un lado, las aplicaciones de IA tienen beneficios potencialmente transformadores. Pero en ciertos casos, como el que nos ocupa, se desarrollan sin tener en cuenta la privacidad. Y por otro lado, esas leyes de privacidad se redactaron en otra época y están al límite de su capacidad. Tanto las empresas como la legislación deben cambiar».

Dufresne afirmó haber solicitado reiteradamente mayores facultades de supervisión en virtud de la ley federal PIPEDA, así como una redacción más moderna que restrinja la recopilación de datos excesivamente amplia y sin rendición de cuentas por parte de las empresas de IA.

La Comisionada de Privacidad de Alberta, Diane McLeod, señaló que en Canadá ya se están desarrollando modelos y productos de IA que cumplen con las leyes de privacidad vigentes, pero también hizo hincapié en la necesidad de establecer nuevas salvaguardias.

«Algunos podrían temer que estemos intentando cerrar el establo después de que el caballo ya se haya escapado. Hay algo de cierto en ello», declaró. «Las tecnologías avanzan tan rápidamente que resulta difícil, e incluso imposible, adelantarse a ellas mediante legislación o regulación».

«Sin embargo, siempre existe la oportunidad de reforzar la protección, si me permiten llevar la metáfora más allá. Es necesario establecer salvaguardias para garantizar que las empresas tecnológicas rindan cuentas en materia de protección de la privacidad».

Harvey declaró que escribiría al gobierno de British Columbia para solicitar legislación que actualice la ley de privacidad de la provincia.

El ministro de IA, Evan Solomon, prometió que se presentará legislación para modernizar la PIPEDA en algún momento de este año, pero ha recibido críticas de expertos de la industria e investigación por no proponer regulaciones con la suficiente rapidez para responder a la IA.

Un comunicado de la oficina de Solomon en respuesta al informe de los comisionados de privacidad no proporcionó un cronograma actualizado para la presentación de dicho proyecto de ley.

“Las conclusiones de hoy de los comisionados de privacidad federales y provinciales de Canadá subrayan la importancia de proteger la información personal de los canadienses en la era de la IA”, decía el comunicado.

“Modernizar el marco de privacidad de Canadá sigue siendo una prioridad para este gobierno. El panorama tecnológico evoluciona rápidamente y los canadienses merecen un marco integral que se mantenga al día, brinde a los reguladores las herramientas que necesitan y les dé la confianza de que sus derechos están protegidos”.

Solomon afirmó que las prácticas anteriores de recopilación de datos y las medidas de privacidad de OpenAI “no cumplían con los estándares que los canadienses deberían esperar”, y agregó que espera que la empresa cumpla plenamente con sus compromisos.