OpenAI se enfrenta a una nueva denuncia de privacidad en Europa después de que su popular chatbot ChatGPT generara información falsa y difamatoria sobre un ciudadano noruego, acusándolo de haber asesinado a dos de sus hijos. Este caso podría marcar un punto de inflexión en la aplicación del Reglamento General de Protección de Datos (GDPR) a las herramientas de inteligencia artificial generativa.
La grave acusación falsa de ChatGPT
El grupo de defensa de derechos de privacidad Noyb está respaldando a un individuo en Noruega, Arve Hjalmar Holmen, quien quedó horrorizado al descubrir que ChatGPT fabricaba información completamente falsa sobre él. Según reporta TechCrunch, cuando los usuarios preguntaban al sistema "¿quién es Arve Hjalmar Holmen?", el chatbot respondía con una historia ficticia y trágica, afirmando que había sido condenado por asesinar a dos de sus hijos y por intentar matar al tercero, sentenciado supuestamente a 21 años de prisión.
Lo particularmente inquietante del caso es que ChatGPT mezcló algunos datos reales con esta fabricación: Holmen efectivamente tiene tres hijos, y el sistema identificó correctamente el género de estos y su ciudad natal. Esta combinación de información precisa con falsedades graves hace que la respuesta resulte aún más perturbadora.
Noyb compartió con TechCrunch capturas de pantalla que muestran la interacción con ChatGPT, donde se puede ver claramente cómo el sistema generó esta historia ficticia que podría haber causado un grave daño a la reputación de Holmen.
Las implicaciones legales bajo el GDPR
La denuncia presentada se basa en que estas "alucinaciones" del sistema violan el GDPR europeo, que exige que los datos personales procesados sean precisos. Según Joakim Söderberg, abogado de protección de datos en Noyb, "el GDPR es claro. Los datos personales tienen que ser precisos. Si no lo son, los usuarios tienen derecho a que se modifiquen para reflejar la verdad".
El abogado añadió que "mostrar a los usuarios de ChatGPT un pequeño descargo de responsabilidad indicando que el chatbot puede cometer errores claramente no es suficiente. No se puede simplemente difundir información falsa y al final añadir un pequeño descargo diciendo que todo lo que dijiste puede no ser cierto".
Las infracciones confirmadas del GDPR pueden llevar a sanciones de hasta el 4% de la facturación anual global, lo que podría representar cifras millonarias para OpenAI. Además, la aplicación de la normativa podría forzar cambios significativos en los productos de IA.
Ya existen precedentes: la autoridad italiana de protección de datos bloqueó temporalmente el acceso a ChatGPT en ese país en la primavera de 2023, lo que llevó a OpenAI a realizar cambios en la información que divulga a los usuarios. Posteriormente, la autoridad italiana multó a OpenAI con 15 millones de euros por procesar datos de personas sin una base legal adecuada.
Un problema recurrente con la IA generativa
El caso de Holmen no es un incidente aislado. Noyb señala otros ejemplos similares, como un alcalde australiano que fue implicado falsamente en un escándalo de soborno y corrupción o un periodista alemán que fue falsamente señalado como abusador de menores.
Tras una actualización del modelo de IA subyacente, ChatGPT dejó de producir las peligrosas falsedades sobre Holmen. Noyb vincula este cambio al hecho de que ahora el chatbot busca información en internet cuando se le pregunta sobre personas, mientras que anteriormente, un vacío en su conjunto de datos podría haber fomentado estas alucinaciones tan erróneas.
En pruebas realizadas por TechCrunch preguntando "¿quién es Arve Hjalmar Holmen?", ChatGPT respondió inicialmente mostrando fotos de diferentes personas junto con texto que afirmaba "no poder encontrar información" sobre la persona. En un segundo intento, identificó a Holmen como "un músico y compositor noruego" cuyos álbumes incluyen "Honky Tonk Inferno".
La respuesta reguladora en Europa
A pesar de casos anteriores, los reguladores de protección de datos en Europa han adoptado un enfoque más cauteloso hacia las herramientas de IA generativa mientras intentan determinar cómo aplicar mejor el GDPR a estas tecnologías emergentes.
Por ejemplo, la Comisión de Protección de Datos de Irlanda (DPC) —que tiene un papel principal en la aplicación del GDPR por una queja anterior de Noyb sobre ChatGPT— instó a no apresurarse a prohibir las herramientas de IA generativa en 2023, sugiriendo que los reguladores deberían tomarse tiempo para evaluar cómo se aplica la ley.
Es significativo que una queja contra ChatGPT que está siendo investigada por la autoridad de protección de datos de Polonia desde septiembre de 2023 aún no ha producido una decisión.
La posición de Noyb y sus argumentos
Kleanthi Sardeli, otra abogada de protección de datos en Noyb, afirmó en un comunicado: "Añadir un descargo de responsabilidad diciendo que no cumples con la ley no hace que la ley desaparezca. Las empresas de IA tampoco pueden simplemente 'ocultar' información falsa a los usuarios mientras internamente siguen procesando información falsa".
"Las empresas de IA deberían dejar de actuar como si el GDPR no se aplicara a ellas, cuando claramente lo hace", añadió. "Si no se detienen las alucinaciones, las personas pueden sufrir fácilmente daños en su reputación".
Noyb ha presentado la denuncia contra OpenAI ante la autoridad noruega de protección de datos, esperando que esta decida que es competente para investigar. La organización está dirigiendo la denuncia contra la entidad estadounidense de OpenAI, argumentando que su oficina en Irlanda no es la única responsable de las decisiones sobre productos que afectan a los europeos.
Sin embargo, una denuncia anterior respaldada por Noyb contra OpenAI, presentada en Austria en abril de 2024, fue remitida al DPC irlandés debido a un cambio realizado por OpenAI a principios de ese año para nombrar a su división irlandesa como proveedor del servicio ChatGPT para usuarios regionales.
Cuando TechCrunch preguntó sobre el estado de dicha denuncia, Risteard Byrne, oficial de comunicaciones para la DPC, confirmó: "Habiendo recibido la queja de la Autoridad Supervisora Austriaca en septiembre de 2024, la DPC comenzó el manejo formal de la queja y todavía está en curso". No ofreció ninguna indicación sobre cuándo se espera que concluya la investigación.
Este nuevo caso podría representar un punto de inflexión en la forma en que las autoridades europeas abordan las cuestiones de privacidad relacionadas con la IA generativa, especialmente cuando las "alucinaciones" del sistema pueden tener consecuencias tan graves para individuos inocentes.
