En diciembre de 2023 la Autoridad Italiana de Protección de Datos Personales (el Garante) impuso una significativa sanción a OpenAI, la empresa detrás de ChatGPT. Esta multa ha puesto en primer plano una cuestión crucial: las empresas que desarrollan, utilizan o incluso permiten que sus empleados usen herramientas basadas en inteligencia artificial (IA) deben cumplir con estrictas normativas de protección de datos personales. Esto no solo afecta a grandes empresas tecnológicas, sino también a cualquier organización que emplee soluciones de IA, como ChatGPT, en sus operaciones diarias.
¿Qué ha ocurrido con OpenAI en Italia?
El caso comenzó con una violación de datos personales que afectó a una parte importante de los usuarios de ChatGPT en marzo de 2023. Aunque OpenAI notificó la filtración, la Autoridad Italiana determinó que no se notificó adecuadamente, ni dentro del tiempo estipulado por el Reglamento General de Protección de Datos (GDPR).
Aparte de este incumplimiento en la notificación, la investigación reveló que OpenAI no había obtenido una base legal adecuada para utilizar los datos personales de los usuarios con fines de entrenamiento de su modelo de IA. Según el GDPR, las empresas deben ser transparentes sobre cómo utilizan los datos y tener un fundamento legal claro para procesarlos, algo que en este caso no ocurrió. También se destacó que OpenAI no había implementado controles para impedir que menores de 13 años accedieran a ChatGPT, lo que resultó en una infracción adicional.
¿Qué implica esta sanción para las empresas que usan herramientas de IA?
Aunque la sanción se aplicó a OpenAI, su impacto va mucho más allá de esta empresa. Todas las organizaciones que utilicen herramientas basadas en IA, como ChatGPT, o que deleguen tareas a empleados que empleen estas tecnologías, deben cumplir con las normativas de protección de datos personales y las leyes emergentes sobre inteligencia artificial.
Esto incluye, pero no se limita a:
- Empresas de marketing que usan IA para generar contenido o analizar grandes volúmenes de datos.
- Departamentos de recursos humanos que emplean IA para la selección de personal o la evaluación de candidatos.
- Negocios que implementan chatbots o asistentes virtuales para la atención al cliente.
Aunque el proveedor de la tecnología (como OpenAI) juega un rol importante, las empresas que usan estas herramientas también comparten la responsabilidad de cumplir con las normativas de protección de datos, ya que procesan datos personales de sus usuarios o clientes.
Principales obligaciones legales para las empresas que usan IA
Tanto el GDPR como la Ley de Inteligencia Artificial (AI Act), imponen obligaciones claras a las empresas que desarrollan, comercializan o simplemente hacen uso de la inteligencia artificial. Entre las principales responsabilidades están:
- Base legal para el tratamiento de datos: Las empresas deben asegurarse de que tienen un fundamento legal claro para procesar los datos personales, como el consentimiento explícito del usuario o la necesidad contractual.
- Transparencia ante los usuarios: Es obligatorio informar a los usuarios de manera clara y comprensible sobre cómo se recogen y procesan sus datos. Esto incluye explicar el uso de IA en sus interacciones y los fines para los que se utilizan sus datos.
- Evaluaciones de impacto y auditorías: Las empresas deben realizar auditorías periódicas y, en muchos casos, evaluaciones de impacto sobre la privacidad (DPIA) para asegurarse de que no hay riesgos en el procesamiento de datos personales.
- Cumplimiento con la Ley de IA: Esta nueva normativa, que se implementará de forma progresiva en Europa hasta 2026 cuando entre completamente en vigor, establecerá regulaciones adicionales para el uso de IA, clasificando los sistemas en función de su nivel de riesgo y aplicando requisitos específicos según la categoría.
Lecciones clave para las empresas
La sanción a OpenAI resalta una lección importante para todas las empresas que utilizan inteligencia artificial: el cumplimiento de las normativas de protección de datos y las nuevas leyes de IA no es opcional, es fundamental. Aquí algunas acciones clave para evitar problemas similares:
- Establecer políticas claras y transparentes: Las empresas deben implementar políticas de privacidad que sean fácilmente accesibles y comprensibles para los usuarios y clientes, detallando cómo se manejarán sus datos.
- Obtener consentimientos claros: Es imprescindible obtener el consentimiento explícito de los usuarios para el uso de sus datos, especialmente cuando estos se emplean para entrenar modelos de IA.
- Realizar auditorías periódicas de cumplimiento: Tener un plan de auditoría regular que permita detectar posibles brechas en la gestión de datos personales y corregirlas antes de que se conviertan en un problema.
- Formación interna y asesoría externa: Los empleados deben estar capacitados en el manejo de herramientas de IA y las implicaciones legales que conlleva su uso. Además, contar con expertos en derecho digital y protección de datos es esencial para garantizar el cumplimiento normativo.
La importancia del cumplimiento normativo en el uso de la IA
El caso OpenAI subraya una tendencia creciente en la regulación de la inteligencia artificial en Europa. Las leyes como el GDPR y la Ley de Inteligencia Artificial están configurando el futuro de cómo las empresas pueden usar tecnologías avanzadas de manera ética y responsable. El cumplimiento normativo no solo es una obligación legal, sino una ventaja competitiva.
Las empresas que se adhieren a estas regulaciones ganan la confianza de sus usuarios, protegen su reputación y mitigan riesgos legales. Además, estando alineadas con la legislación, pueden operar de manera más eficiente y segura en el mercado europeo, que es uno de los más estrictos en cuanto a protección de datos.
Conclusión: Cumplir con las normativas es clave para tu negocio
El uso de herramientas basadas en inteligencia artificial, como ChatGPT, puede transformar la manera en que las empresas operan. Sin embargo, es esencial que todas las organizaciones, sin importar su tamaño, cumplan con las normativas de protección de datos y las nuevas leyes de inteligencia artificial. La sanción a OpenAI es solo un ejemplo de las consecuencias legales que pueden surgir del incumplimiento.
Si tu empresa utiliza inteligencia artificial en sus procesos, es crucial contar con asesoría legal especializada. Nuestros expertos en derecho digital y protección de datos están listos para ayudarte a cumplir con las regulaciones vigentes y a aprovechar al máximo las oportunidades que ofrece la IA sin poner en riesgo la privacidad de tus usuarios.
¿Necesitas ayuda para cumplir con las normativas de IA y protección de datos? Contáctanos hoy mismo para obtener el asesoramiento que tu empresa necesita para operar de manera ética y legal en el mundo digital.
