Brasil, ChatGPT frente a la Ley de Protección de Datos

Brasil, ChatGPT frente a la Ley de Protección de Datos. Polémica en Brasil debido a que ChatGPT no cumpliría con la Ley de Protección de Datos. Testimonio y denuncia ante el regulador.

Brasil ChatGPT Datos

Por Luca Belli

Después de testificar en el Senado de los EE. UU., instando a los legisladores a regular la Inteligencia Artificial, el director ejecutivo de OpenAI llegó a Río de Janeiro para debatir el futuro de la tecnología.

A pesar de todos los escenarios apocalípticos presentados recientemente en cartas abiertas por varios investigadores y estrellas como Elon Musk, confieso que mi mayor preocupación no es el futuro de la Inteligencia Artificial, sino el presente.

El escenario actual parece demostrar no solo la clara necesidad de regular la IA, sino también un posible incumplimiento de las regulaciones existentes, particularmente con respecto a los marcos de protección de datos personales como la Ley General de Protección de Datos de Brasil (LGPD).

Este desprecio por las obligaciones de protección de datos existentes se debe en gran medida a dos factores. En primer lugar, el enorme incentivo de mercado que anima a las empresas y startups a lanzar nuevos sistemas de IA generativa lo más rápido posible, con evaluaciones de impacto muy cuestionables o simplemente inexistentes, para ser los primeros en recibir jugosas rondas de inversión y captar la atención de los usuarios.

En segundo lugar, cierto letargo de las autoridades reguladoras de la gran mayoría de los 162 países que actualmente cuentan con leyes generales de protección de datos al reconocer que muchos sistemas de IA generativa están en total incumplimiento de tales leyes.

Denuncia

En los siguientes párrafos, intentaré ilustrar los puntos mencionados con base en una experiencia personal, analizando por qué servicios como ChatGPT, desarrollado por OpenAI, violan la LGPD de múltiples maneras y por qué tomé la iniciativa de presentar una petición a la Autoridad de Protección de Datos de Brasil, la ANPD — para que dicho incumplimiento sea debidamente investigado.

El 10 de abril, envié una solicitud por correo electrónico, el único canal de comunicación disponible en el sitio web de OpenAI, para recibir información sobre los siguientes puntos:

  • La identidad del controlador de datos de ChatGPT, que de acuerdo con todas las leyes de protección de datos existentes, incluida la LGPD, debe divulgarse explícitamente.
  • Acceso a todos mis datos personales en poder de OpenAI, incluidos los utilizados para entrenar los modelos de lenguaje grande (LLM) que impulsan ChatGPT, así como información clara y precisa sobre el origen de dichos datos, la forma y la duración del procesamiento de dichos datos por OpenAI, de conformidad con los artículos 9, 11, 18 y 19 de la LGPD.
  • Información clara y adecuada sobre los criterios y procedimientos utilizados por el servicio ChatGPT para preparar respuestas cuando se le pregunta sobre «quién es Luca Belli» o «dónde vive Luca Belli», considerando que las respuestas a tales preguntas, claramente preparadas con base únicamente en el tratamiento recopilación automatizada de datos personales, incluyen una amplia gama de datos personales de Luca Belli junto con una amplia gama de información que es fácticamente incorrecta, pero presentada como verdadera, por lo que afecta directamente a mis intereses, de conformidad con el artículo 20 de la LGPD.

Experiencia

Después de recibir una respuesta automática simple en inglés, a pesar de haber escrito en portugués como cualquier otro brasileño tiene derecho a hacerlo, envié un correo electrónico adicional para solicitar una respuesta o definición de una fecha límite para una respuesta.

Solo un mes después recibí otra respuesta automática, nuevamente en inglés, a pesar de haber escrito en portugués, sin ofrecer ningún elemento útil para responder a las preguntas planteadas el 10 de abril, simplemente explicando la introducción de algunas características nuevas por parte de OpenAI para facilitar los datos. portabilidad.

Fue ese día que comencé a sospechar seriamente que el servicio ChatGPT podría estar infringiendo por completo los artículos 9, 11, 18, 19, 20, 37, 39 y 41 de la LGPD.

Cabe señalar que el verdadero nudo gordiano no es la recopilación por parte del servicio ChatGPT de los datos de sus usuarios, sino qué datos personales se procesan y cómo crear los sistemas que permiten el funcionamiento de ChatGPT y otras IA generativas, las denominadas Modelos de lenguaje grande (LLM).

La autoridad italiana de protección de datos, Garante, ya planteó preguntas sobre el procesamiento de datos personales por parte de ChatGPT, lo que provocó que OpenIA bloqueara el acceso a ChatGPT en Italia durante un mes hasta que se introdujeron las nuevas funciones de control de datos.

Información

Para comprender el segundo punto, es importante recordar que los LLM que habilitan los sistemas de IA generativa como ChatGPT están capacitados en enormes bases de datos, generalmente extraídas de Internet, que procesan enormes cantidades de información accesible en línea, incluidos los datos personales.

Esta información (piense en cualquier página web, entrada de Wikipedia, etc.) se utiliza como un recurso disponible gratuitamente. Sin embargo, los datos personales no son un recurso disponible gratuitamente. Este tema central es la razón por la cual existen marcos de protección de datos en los 162 países mencionados anteriormente, incluido Brasil.

Cualquier ley de protección de datos existente requiere el procesamiento de datos personales de manera transparente, incluso con respecto a la capacitación de LLM (que, por supuesto, califica como procesamiento de datos personales) para respaldar los servicios de IA. Dicha transparencia implica especificar qué datos se procesan y con qué propósito, cuál es la base legal para el procesamiento, quién es la persona responsable de definir cómo se procesarán los datos, es decir, el controlador de datos, etc. Todos estos elementos básicos ni siquiera se mencionan en el Sitio web de Chat GPT.

Sistema deficiente

Además, como se destacó anteriormente, cuando alguien le pregunta al chatbot «dime todo lo que sabes sobre Luca Belli», el servicio responde de manera detallada y fantasiosa, mezclando datos personales verdaderos con información creíble pero falsa. De hecho, las respuestas son realmente convincentes, a pesar de su inexactitud.

Esta es en realidad una de las principales peculiaridades de los sistemas de IA generativa basados en LLM: están estructurados para elaborar respuestas que parecen sintácticamente perfectas, pero no se preocupan de comprobar si tales resultados son fiables.

En este sentido, el sistema no es en absoluto un ejemplo de “inteligencia”. Más bien, simplemente es incapaz de diferenciar entre información verdadera y falsa. Los sistemas funcionan como los llamados “loros estocásticos”, es decir, gracias al entrenamiento sobre miles de millones de elementos lingüísticos, logra identificar qué palabra, estadísticamente, debe seguir los precedentes para ofrecer el resultado más parecido al lenguaje humano.

Pero si no está programado para ofrecer resultados basados en información real, simplemente no considera la verdad como un elemento necesario para su funcionamiento.

Protección personal

¿Es la IA generativa necesariamente incompatible con la protección de datos?

Los sistemas de IA difícilmente pueden definirse como compatibles con la protección de datos cuando se entrenan con cualquier dato (incluido el personal) disponible en línea sin el consentimiento del titular o cualquier otra base legal que permita el tratamiento, sin garantizar el pleno goce de los derechos de los interesados. .

¿Significa que la IA generativa es necesariamente incompatible con la protección de datos? Absolutamente no. Simplemente significa que se debe dedicar más tiempo, atención y evaluaciones de impacto a los sistemas de capacitación para asegurarse de que cumplan con la normativa vigente.

Las empresas tecnológicas tienen un gran incentivo de mercado para ser las primeras en implementar nuevos sistemas de IA para capitalizar dicha innovación (para OpenAI fue de 10 000 millones de USD). Sin embargo, el interés de la sociedad no es tener IA lo antes posible, sino tener la tecnología lo más segura posible y lo más compatible con la ley posible.

La vida de nadie habría cambiado negativamente si ChatGPT hubiera estado disponible un año más tarde, o quizás dos, después de probarlo y cumplir con la legislación existente, que claramente no ocupaba el primer lugar en la lista de preocupaciones, a pesar de la existencia de obligaciones legislativas al respecto.

Leyes

Es una falacia argumentar que la IA no puede desarrollarse legalmente. No solo es posible sino obligatorio desarrollar sistemas de IA de conformidad con la ley.

Las aplicaciones actuales de IA deben cumplir con la ley

En Brasil, como en los otros 161 países, la sociedad ya optó por tener un marco sólido de protección de datos. Sin embargo, lo que debemos entender es que simplemente de nada sirve consagrar la protección de datos personales en la Constitución, en la ley y crear una autoridad, si luego, en la práctica, se sigue desconociendo el marco normativo no solo sin consecuencias sino incluso siendo recompensado por el mercado.

La IA tiene un enorme potencial para ayudar a la humanidad y todos deberían poder beneficiarse de su innovación. Pero las empresas que están a la vanguardia de su desarrollo nos están demostrando claramente que el mayor riesgo que tenemos no es que la IA se vuelva consciente para someter a la humanidad. Es más bien que las empresas implementen sistemas de IA sin preocuparse por las obligaciones existentes, solo para ser los primeros en llevarlos al mercado.

Cabe señalar que en lugar de viajar por América Latina para pontificar sobre el futuro y pontificar sobre la necesidad de una regulación de la IA en el Senado de los EE. UU., el ejecutivo de OpenAI y sus colegas debieron considerar la necesidad de cumplir con las regulaciones que ya existen.

Nuestro mayor problema no es evitar un futuro en el que la IA someta a los humanos, sino abordar seriamente un presente en el que ciertos humanos creen que no están sujetos a la ley, y el mercado otorga miles de millones a esa creencia.