La plataforma X, propiedad de Elon Musk, enfrenta una serie de quejas por privacidad después de que se descubriera que estaba utilizando los datos de usuarios en la Unión Europea para entrenar sus modelos de inteligencia artificial sin obtener el consentimiento necesario. Este hallazgo ha generado preocupación en varias agencias de protección de datos en Europa.
Entrenamiento de IA sin consentimiento
El mes pasado, un usuario de redes sociales notó que X había comenzado a procesar silenciosamente los datos de publicaciones de usuarios en la región para entrenar su chatbot de IA, Grok. Esto provocó una "sorpresa" por parte de la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés), encargada de supervisar el cumplimiento de X con el Reglamento General de Protección de Datos (GDPR) en la UE.
El GDPR exige que cualquier uso de datos personales tenga una base legal válida y puede imponer multas de hasta el 4% del volumen de negocios global en caso de infracción. Las nueve quejas presentadas contra X en Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España, acusan a la plataforma de incumplir este requisito al procesar las publicaciones de los europeos para entrenar IA sin obtener su consentimiento.
Max Schrems, presidente de la organización de derechos de privacidad noyb, que respalda las quejas, declaró que "hemos visto innumerables casos de aplicación ineficiente y parcial por parte de la DPC en los últimos años. Queremos asegurarnos de que X cumpla plenamente con la ley de la UE, lo que —como mínimo— requiere pedir el consentimiento de los usuarios en este caso".
Acciones legales y críticas
La DPC ya ha tomado algunas medidas al respecto, iniciando una acción legal en el Tribunal Superior de Irlanda para obtener una orden judicial que obligue a X a dejar de utilizar estos datos. Sin embargo, noyb argumenta que las acciones de la DPC son insuficientes, señalando que no hay forma de que los usuarios de X puedan solicitar la eliminación de los datos que ya han sido utilizados.
Según las quejas, X no tiene una base legal válida para usar los datos de unos 60 millones de personas en la UE para entrenar IA sin su consentimiento. La plataforma parece estar basándose en el argumento de "interés legítimo" para el procesamiento relacionado con IA, aunque los expertos en privacidad sostienen que debería obtenerse el consentimiento explícito de los usuarios.
X permitió que los usuarios se excluyeran de este procesamiento a través de una configuración añadida en la versión web de la plataforma, aparentemente a fines de julio. Sin embargo, no había forma de bloquear este uso antes de esa fecha, lo que plantea serios problemas, ya que los usuarios ni siquiera sabían que sus datos estaban siendo utilizados para entrenar IA.
El GDPR tiene como objetivo proteger a los europeos de usos inesperados de su información, que podrían afectar sus derechos y libertades. En un fallo reciente, el Tribunal de Justicia de la Unión Europea dictaminó que el "interés legítimo" no era una base legal válida para el uso de datos con fines publicitarios, y que se debía obtener el consentimiento de los usuarios.
Finalmente, noyb también ha destacado que los proveedores de sistemas de IA generativa suelen alegar que no pueden cumplir con otros requisitos fundamentales del GDPR, como el derecho al olvido o el derecho a obtener una copia de los datos personales. Estas preocupaciones también están presentes en quejas pendientes contra ChatGPT de OpenAI.