Boletín Legal Nº 58 – Abril de 2023.

ChatGPT: ¿Qué marco legal existe para las nuevas aplicaciones de inteligencia artificial?

ChatGPT, Google Bard, Difusión estable y Dall-E son Modelos de lenguaje a gran escala (LLM, por sus siglas en inglés) una subcategoría de los modelos de lenguaje existentes.

Los modelos de lenguaje son programas informáticos diseñados para procesar y generar texto de forma similar a como lo haría un ser humano.

Incluyen, por ejemplo, reconocimiento de voz, traducción automática, conversión de texto a voz y generación de contenido. Los modelos LLM son más grandes y complejos que los modelos tradicionales.

Se entrenan con corpus de texto muy extensos, que a veces constan de millones de páginas de texto, y utilizan arquitecturas de redes neuronales profundas para aprender a procesar el lenguaje.

Un máster en Derecho (LLM) puede, por lo tanto, proporcionar una variedad infinita de contenido a la carta, ya sea un poema, un guion cinematográfico, código de programación informática o una composición musical.

Sin embargo, la información no está actualizada: ChatGPT fue entrenado utilizando información disponible en internet hasta 2021.

Por lo tanto, es inútil pedirle información actualizada sobre las transferencias de datos a Estados Unidos o un comentario sobre la última sanción de la CNIL.

Los másteres en Derecho (LLM) plantean numerosas cuestiones legales y éticas, en particular en lo que respecta a los derechos de autor, la protección de datos, la desinformación y la discriminación.

En las últimas semanas, muchos reguladores han comenzado a reaccionar, La autoridad italiana de protección de datos a la cabeza.

El 31 de marzo, este último emitió una orden contra OpenAI, bloqueando ChatGPT en Italia porque 

• debido a la falta de transparencia en la aplicación,
• debido a la ausencia de una razón legítima para el procesamiento,
• debido a que no se pudo garantizar la exactitud de los datos procesados,
• la falta de verificación de edad y
• de la violación general del principio de "privacidad por diseño".

Le siguió de cerca Alemania, que comenzó a examinar el cumplimiento de ChatGPT con el RGPD: el estado de Schleswig-Holstein envió a OpenAI un cuestionario que debía responder antes del 11 de junio.

El Comité Europeo de Protección de Datos siguió el ejemplo de sus miembros nacionales y creó un grupo de trabajo sobre el tema, y la Organización Europea de Consumidores (BEUC) escribió a la red de autoridades de protección del consumidor y a la red de autoridades de seguridad del consumidor (redes CPC y CSN) pidiéndoles que investigaran las LLM.

Al otro lado del Atlántico, la Comisión Federal de Comercio (FTC) también indica que las leyes sectoriales estadounidenses vigentes cubren la IA generativa, al tiempo que advierte a las empresas que tengan muy en cuenta los intereses de los consumidores y los riesgos asociados con las implementaciones en curso.

Tras estas investigaciones, OpenAI ha tomado ciertas medidas:

• Implementación del derecho a oponerse al tratamiento de datos;
• Ampliación y mayor visibilidad de la política de privacidad, información sobre las actualizaciones realizadas;
• Implementación de mecanismos para eliminar información inexacta;
• Se han añadido formularios que permiten a cualquier usuario europeo filtrar sus chats y el historial de datos utilizados para entrenar y mejorar los algoritmos de entrenamiento.
• Se ha añadido la posibilidad de exportar datos y verificar la información almacenada.

Aunque ChatGPT vuelve a estar disponible en Italia, aún quedan muchas preguntas por responder.

Las medidas de seguridad que ofrece Open AI permiten a los usuarios de la aplicación corregir o eliminar sus propios datos, pero no tienen ningún impacto en el procesamiento de datos de todos aquellos que no utilizan la aplicación, lo que genera serias preocupaciones en cuanto a la reputación.

 Recientemente, ChatGPT acusó a un profesor de derecho de acoso sexual, alegando como fuente un artículo que nunca se escribió.

También es posible que existan sesgos raciales o étnicos. ChatGPT se entrenó con datos de internet y, por lo tanto, es probable que refleje y perpetúe los prejuicios sociales que existen en la web.

Un algoritmo predictivo utilizado para la toma de decisiones médicas ha tomado, por lo tanto, decisiones sesgadas en contra de los pacientes negros.

Aunque los diseñadores del algoritmo excluyeron la raza como criterio de medición al ejecutar el sistema, el algoritmo siguió perpetuando prejuicios contra los pacientes negros al tener en cuenta ciertos factores económicos y costes sanitarios.

Por último, aumentan los riesgos de la ciberdelincuencia, como la creación de correos electrónicos de phishing más convincentes o el aprendizaje de nuevas técnicas de ataque, tal como se destaca en el informe del Centro Nacional de Ciberseguridad del Reino Unido y la FTC de Estados Unidos.

Cabe preguntarse por qué los diseñadores de ChapGPT no integraron la protección de datos desde la fase de diseño de su aplicación, sino que lo hicieron caso por caso, en función de las reacciones de los reguladores.

OpenAI no es una empresa nueva: lleva en desarrollo desde 2016, liderada por cofundadores experimentados, y ha sido objeto de seis rondas de financiación.

Su valoración actual es de 29.000 millones de dólares, y sus herramientas basadas en inteligencia artificial están integradas en productos que no se basan en IA y que utilizan a diario millones de personas gracias a una colaboración con Microsoft.

Los principios de "privacidad desde el diseño" no solo son deseables en este contexto, sino que forman parte integral de los requisitos del RGPD.

Su implementación debería reforzarse aún más con la adopción del futuro reglamento europeo sobre IA, según el cual los sistemas que presenten altos riesgos deberán cumplir con un régimen más estricto que incluya requisitos de gestión de riesgos, transparencia y gobernanza de datos.

La última versión del Reglamento que han debatido los eurodiputados también exige que todos los modelos de IA cumplan con los principios de supervisión, solidez técnica y seguridad, protección de la privacidad, gobernanza de datos, transparencia, bienestar social y medioambiental, diversidad, no discriminación y equidad.

 

Y también

URSSAF

Durante el fin de semana del 1 de mayo, El Urssaf cometió un error informático. lo que dio lugar a la publicación de datos de varios miles de trabajadores autónomos.

Algunos miembros afirman haber recibido documentos que contienen los calendarios de pagos "de otras dieciocho personas", o incluso, en los casos más importantes, "301 páginas de calendarios de pagos de Urssaf que no me conciernen".

Estos archivos contienen información personal sensible, como datos bancarios, ingresos, direcciones o identidades completas. 

Las personas afectadas por estos errores de transmisión, 10.640 en total según las conclusiones iniciales de la investigación interna, deberían recibir pronto un mensaje alertándolas al respecto.

La Urssaf denunció la brecha de seguridad ante la CNIL.

ZUMBIDO

Desde el 19 de abril, Los agentes de policía y los gendarmes están autorizados a filmar concentraciones desde el aire.

Este fue el caso en el Stade de France, en Mayotte, en Le Havre y durante las manifestaciones del Primero de Mayo en París.

Un decreto de la Prefectura de Policía, fechado el 28 de abril, permite el sobrevuelo de manifestantes en la capital mediante cámaras a bordo para prevenir "ataques contra la seguridad de las personas y los bienes" y "para mantener o restablecer el orden público".

Esta es una de las primeras autorizaciones emitidas en virtud de un reciente decreto del Ministerio del Interior, en el marco de la nueva ley relativa a la responsabilidad penal y la seguridad interna.

La CNIL ha emitido dos dictámenes (en enero y julio de 2021) sobre estas nuevas disposiciones legales y, en esta ocasión, ha pedido una regulación estricta del uso de drones dados los riesgos de vulneración de las libertades públicas y la privacidad de las personas.

CIBERSEGURIDAD

La ley del 3 de marzo de 2022, que entrará en vigor el 1 de octubre de 2023, introduce una Certificación de ciberseguridad para plataformas digitales destinadas al público general.

Los operadores de plataformas en línea y los proveedores de servicios de comunicación interpersonal no basados en números deberán realizar una auditoría de ciberseguridad que abarque la seguridad y la ubicación de los datos que alojan, así como su propia seguridad.

Según el proyecto de decreto que implementa la puntuación cibernética, los procedimientos de auditoría incluirán el uso del marco de referencia SecNumCloud para la exposición de datos a legislación extraterritorial, la ubicación europea de las infraestructuras de alojamiento y la nacionalidad de los subcontratistas.

CNIL

La CNIL publicó el 3 de abril un nueva versión de su guía sobre la seguridad de los datos personales.

La nueva versión tiene en cuenta, en particular, las últimas recomendaciones de la CNIL en materia de contraseñas y registro de actividad.

 

instituciones y organismos europeos

PARLAMENTO EUROPEO

• Transferencias de datos entre la UE y los Estados Unidos La resolución adoptada el 13 de abril por los miembros de la Comisión de Libertades Civiles considera que el marco de protección de datos propuesto por la UE y Estados Unidos supone una "mejora", pero que el progreso no es "suficiente" para justificar una decisión de adecuación sobre las transferencias de datos personales.

La comisión señala que el marco normativo aún permite la recopilación masiva de datos personales en ciertos casos y prevé un mecanismo de apelación que puede no ser independiente (los jueces podrían ser destituidos por el presidente de Estados Unidos, quien también podría revocar sus decisiones).

Los ciudadanos de la UE también podrían verse impedidos de ejercer su derecho de acceso y rectificación de sus datos, ya que las decisiones se mantendrían en secreto.

Los eurodiputados instan a la Comisión a "garantizar que el futuro marco pueda resistir los desafíos legales y proporcione seguridad jurídica a los ciudadanos y las empresas de la UE".

• Los miembros del Parlamento Europeo superaron sus diferencias el 27 de abril y alcanzaron un acuerdo político provisional sobre la Regulaciones de IA.

El texto incluirá obligaciones más estrictas con respecto a los sistemas de gestión de la vida y el software de identificación biométrica: inicialmente prohibido en tiempo real, este software de reconocimiento solo podrá utilizarse a posteriori para delitos graves y con autorización previa.

El texto aún podría estar sujeto a ajustes técnicos menores antes de una votación clave en el comité, programada para el 11 de mayo, y se espera que se vote en sesión plenaria a mediados de junio.

• El 20 de abril, los eurodiputados aprobaron el primer texto legislativo de la UE para rastrear transferencias de criptoactivos como los bitcoins y los tokens de moneda electrónica.

El texto, que fue aprobado provisionalmente por el Parlamento y los negociadores del Consejo en junio de 2022, tiene como objetivo garantizar que las transferencias de criptomonedas, al igual que cualquier otra transacción financiera, puedan rastrearse siempre y que las transacciones sospechosas se bloqueen.

El Parlamento Europeo y los Estados miembros de la UE están negociando actualmente el Ley de Resiliencia Cibernética (CRA), una nueva normativa destinada a reforzar la seguridad digital de los dispositivos conectados en la UE.

La ARC propone requisitos de auditoría y certificación para los fabricantes de software y hardware de dispositivos conectados, y establece un período mínimo durante el cual deben proporcionar parches de seguridad de software para sus productos.

 

CEPD

• El Comité Europeo de Protección de Datos (CEPD) publicó el 27 de abril un Una guía para pymes que detalla los principios aplicables al tratamiento de datos de empleados, clientes y socios comerciales.

La guía también explica las normas de seguridad esenciales que se deben seguir y cómo gestionar una violación de datos personales.

• El CEPD publicó el 19 de abril un Informe sobre los resultados del trabajo del grupo de trabajo. en relación con las 101 denuncias presentadas por la ONG NOYB tras la sentencia Schrems II del TJUE.

Estas quejas se refieren a las herramientas "Google Analytics" y "Facebook Business Tools", y a la transferencia de datos personales a Estados Unidos.

El informe expone las posiciones comunes del grupo de trabajo y contiene información sobre los resultados de los primeros casos en cuestión.

Varias autoridades de protección de datos han ordenado a los operadores de sitios web que detengan las transferencias de datos en cuestión. 

• El 4 de abril, el CEPD publicó la versión final de su Directrices 9/2022 sobre la notificación de violaciones de datos personales.

 

CVRIA

• El Tribunal de Justicia de la Unión Europea dictaminó en una sentencia de 4 de mayo que el derecho de acceso del interesado implica el derecho a obtener documentos completos o extractos de documentos o extractos de bases de datos, si ello es esencial para que el interesado pueda ejercer efectivamente su derecho.

En este caso concreto, CRIF, una empresa especializada en información comercial, había proporcionado al denunciante una versión resumida de sus datos.

• El Tribunal de Justicia de la Unión Europea (TJUE) también se ha pronunciado por primera vez sobre la concesión de indemnizaciones por daños morales en virtud del RGPD.

Si bien el Tribunal confirma en su sentencia del 4 de mayo que el RGPD no exige un "umbral" para reclamar daños y perjuicios, recuerda que debe existir una infracción, daños y un vínculo causal, y que no hay reclamación sin daño real.

El caso se originó cuando el servicio postal austriaco generó estadísticas sobre las probables inclinaciones políticas de millones de personas.

Al denunciante se le había atribuido un probable interés en un partido de extrema derecha, pero no era seguro que esta información hubiera sido revelada a un tercero porque figuraba en una lista de exclusión de publicidad postal.

• En un contexto similar, el Abogado General del TJUE emitió su dictamen el 27 de abril sobre la siguiente cuestión: ¿puede la divulgación ilícita de datos personales en poder de la Agencia Nacional de Ingresos de Bulgaria, tras un ataque informático, dar lugar a una indemnización por daños morales a favor del interesado, simplemente porque este teme un posible uso indebido de sus datos?

Según la Asamblea General, el daño moral, tal como se define en el artículo 82 del RGPD, no debe confundirse con meras molestias.

Los daños deben poder probarse objetivamente y no depender exclusivamente de la representación subjetiva del demandante.

 

Noticias nacionales

• ITALIA: El 2 de marzo, la Autoridad Italiana de Protección de Datos (APD) multó a un responsable del tratamiento de datos con 5.000 euros por enviar comunicaciones comerciales no solicitadas a direcciones de correo electrónico creadas por software mediante la combinación automática de datos recopilados en internet.
• AUSTRIA: Tras una queja presentada por noyb, la Autoridad Austriaca de Protección de Datos (APD) declaró el 29 de marzo que un banner de cookies con el lema "aceptar o pagar" en el sitio web de un periódico no cumplía con el RGPD, dados los requisitos de granularidad del consentimiento.
• PAÍSES BAJOS: El 4 de abril, un tribunal de apelaciones neerlandés ordenó a Uber que proporcionara a los conductores acceso a sus datos personales y explicaciones sobre la toma de decisiones automatizada. El tribunal también impuso una multa de 4.000 euros diarios al responsable del tratamiento de datos.
• ESPAÑA: La autoridad catalana de protección de datos ha considerado desproporcionado el uso de sistemas de reconocimiento facial para prevenir el fraude en los exámenes universitarios en línea. Ha multado al responsable del tratamiento de datos con 20.000 euros por infringir los artículos 5, apartado 1, letra a), y 9 del RGPD.
• REINO UNIDO: Cerca de 50 diputados británicos han escrito a la empresa propietaria de las tiendas House of Fraser y Sports Direct para condenar el uso de cámaras de reconocimiento facial en los establecimientos del grupo.

Los parlamentarios, que calificaron la tecnología de "invasiva y discriminatoria", instaron al grupo a poner fin al uso de estas cámaras en todo el país.

• El 4 de abril, la Autoridad de Protección de Datos del Reino Unido (DPA, por sus siglas en inglés) abrió una investigación contra TikTok y le impuso una multa de 12.700.000 libras esterlinas por el uso indebido de datos de menores.
• El presidente de Signal, la aplicación de mensajería cifrada, ha expresado su preocupación por la propuesta del gobierno británico sobre seguridad en línea, que podría debilitar el cifrado y obligar a las empresas a analizar los mensajes cifrados en busca de contenido ilegal.

Meredith Whittaker indica que Signal podría abandonar el Reino Unido si eso sucediera. Otras empresas de mensajería, como WhatsApp y Element, han expresado preocupaciones similares.

 

• VIETNAM: El 17 de abril de 2023, el gobierno vietnamita publicó el Decreto n.º 13/2023/ND sobre la protección de datos personales («PDPD»), que es el primer documento integral que regula la protección de datos personales en el país.
• TANZANIA: La nueva ley de protección de datos personales entró en vigor el 1 de mayo.
• CBPR: El 17 de abril, el Reino Unido solicitó unirse al grupo de países adheridos a las Reglas de Seguridad Transfronteriza (CBPR, por sus siglas en inglés), que actualmente incluye a Australia, Canadá, Japón, la República de Corea, México, Filipinas, Singapur, China Taipéi y Estados Unidos. Las CBPR, establecidas por el Departamento de Comercio de Estados Unidos, permiten que cualquier jurisdicción solicite el estatus de asociado y se beneficie del libre intercambio de datos con los países participantes, siempre que cuente con leyes que protejan la información personal y tenga "al menos un organismo público responsable de hacer cumplir dichas leyes y/o reglamentos".
• IAPP:Una infografía de la Asociación Internacional de Profesionales de la Privacidad (IAPP) enumera las jurisdicciones que otorgan a una autoridad de protección de datos o a una autoridad gubernamental el poder de designar a otras jurisdicciones como poseedoras de estándares de privacidad "adecuados".

Se complementará con otra infografía que detallará los mecanismos y las directrices que regulan las transferencias según la jurisdicción (cláusulas contractuales, consentimiento, etc.).