El gigante de las redes sociales X, propiedad de Elon Musk, ha sido blanco de una serie de quejas de privacidad después de haber utilizado los datos de los usuarios en la Unión Europea para entrenar modelos de inteligencia artificial sin su consentimiento.
A finales del mes pasado, un usuario de redes sociales con buen ojo descubrió una configuración que indicaba que X había comenzado silenciosamente a procesar los datos de los usuarios regionales para entrenar su chatbot Grok AI. La revelación provocó una expresión de «sorpresa» por parte de la Comisión de Protección de Datos de Irlanda (DPC), el organismo de control que lidera la supervisión del cumplimiento de X con el Reglamento General de Protección de Datos (GDPR) de la UE.
El GDPR, que puede sancionar las infracciones confirmadas con multas de hasta el 4% del volumen de negocios anual global, exige que todos los usos de datos personales tengan una base legal válida. Las nueve quejas contra X, presentadas ante las autoridades de protección de datos en Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España, lo acusan de incumplir este paso al procesar las publicaciones de los europeos para entrenar la IA sin obtener su consentimiento.
En una declaración, Max Schrems, presidente de la organización sin fines de lucro de derechos de privacidad noyb que está apoyando las quejas, afirmó: «Hemos visto innumerables casos de aplicación ineficiente y parcial por parte de la DPC en los últimos años. Queremos asegurarnos de que Twitter cumpla plenamente con la ley de la UE, que, como mínimo, requiere pedir el consentimiento de los usuarios en este caso».
La DPC ya ha tomado medidas contra el procesamiento de X para el entrenamiento de modelos de IA, iniciando acciones legales en el Tribunal Superior de Irlanda en busca de una medida cautelar para obligar a la compañía a dejar de usar los datos. Sin embargo, noyb sostiene que las acciones de la DPC hasta el momento son insuficientes, señalando que no hay forma de que los usuarios de X puedan hacer que la empresa elimine los datos «ya ingestados». En respuesta, noyb ha presentado quejas de GDPR en Irlanda y otros siete países.
Las quejas argumentan que X no tiene una base válida para utilizar los datos de alrededor de 60 millones de personas en la UE para entrenar IA sin obtener su consentimiento. La plataforma parece estar apoyándose en una base legal conocida como «interés legítimo» para el procesamiento relacionado con la IA. Sin embargo, los expertos en privacidad dicen que necesita obtener el consentimiento de las personas.
«Las empresas que interactúan directamente con los usuarios simplemente necesitan mostrarles un aviso de aceptación o rechazo antes de usar sus datos. Hacen esto regularmente para muchas otras cosas, por lo que definitivamente sería posible también para el entrenamiento de IA», sugirió Schrems.
En junio, Meta suspendió un plan similar para procesar datos de usuarios para entrenar IA después de que noyb respaldara algunas quejas de GDPR y los reguladores intervinieran.
Pero el enfoque de X de ayudarse silenciosamente de los datos de los usuarios para el entrenamiento de IA sin siquiera notificar a las personas parece haberle permitido pasar desapercibido durante varias semanas.
Según la DPC, X estuvo procesando los datos de europeos para el entrenamiento de modelos de IA entre el 7 de mayo y el 1 de agosto. Los usuarios de X obtuvieron la capacidad de optar por no participar en el proceso mediante una configuración agregada a la versión web de la plataforma, aparentemente a finales de julio. Pero no hubo forma de bloquear el procesamiento antes de eso. Y, por supuesto, es complicado optar por no permitir que se utilicen tus datos para el entrenamiento de IA si ni siquiera sabes que está ocurriendo en primer lugar.
Esto es importante porque el GDPR está explícitamente destinado a proteger a los europeos de usos inesperados de su información que podrían tener repercusiones en sus derechos y libertades.
Al argumentar en contra de la elección de X de la base legal, noyb señala un fallo del tribunal superior de Europa el verano pasado, relacionado con una queja de competencia contra el uso de datos de las personas por parte de Meta para la segmentación de anuncios, donde los jueces dictaminaron que una base legal de interés legítimo no era válida para ese caso de uso y se debía obtener el consentimiento del usuario.
Noyb también señala que los proveedores de sistemas de IA generativa suelen afirmar que no pueden cumplir con otros requisitos básicos del GDPR, como el derecho al olvido o el derecho a obtener una copia de sus datos personales. Tales preocupaciones figuran en otras quejas pendientes de GDPR contra ChatGPT de OpenAI.