El abordaje de ChatGPT: el “Rinoceronte Gris”
de la IA conversacional[1]

tHE CHATGPT APPROACH: THE “GREY RHINO” OF CONVERSATIONAL IA

María Dolores García Sánchez

Universidad de Sevilla

mgarcia8@us.es 0000-0002-1074-7509

Recibido: 09 de mayo de 2023 | Aceptado: 12 de junio de 2023

IUS ET SCIENTIA • 2023

Vol. 9 • Nº 1 • pp. 46-68

ISSN 2444-8478 • http://doi.org/10.12795/IESTSCIENTIA.2023.i01.04

RESUMEN

PALABRAS CLAVE

Desde que hizo su aparición en noviembre de 2022, ChatGPT ha ocupado la atención tanto de medios en línea como tradicionales. Un “rinoceronte gris” que venía dando signos de su presencia en las últimas décadas, pero que no ha sido ni atendido ni abordado adecuadamente antes de convertirse en una realidad. Esta laguna ha propiciado diferentes reacciones ante un modelo que, si bien puede ser útil en determinados contextos y haciendo un uso responsable del mismo, no se haya exento de riesgos. En el presente estudio, examinaremos el estado de la cuestión del fenómeno de ChatGPT en diferentes entornos –Italia, España y la Unión Europea– con la finalidad de apreciar la apremiante necesidad de contar con unas líneas básicas regulatorias para que una IA de este tipo pueda implementarse en el mercado sin atentar contra los derechos fundamentales de los usuarios y minimice los potenciales peligros inherentes a su uso.

ChatGPT

Inteligencia Artificial

Chatbot

Derechos fundamentales

Reglamento IA

Protección de datos

ABSTRACT

KEYWORDS

Since its emergence in November 2022, ChatGPT has captured the attention of both online and traditional media. A “gray rhino” that had been showing signs of its presence in recent decades, but was neither adequately addressed nor approached before becoming a reality. This gap has led to different reactions towards a model that, although it can be useful in certain contexts with responsible use, is not without risks. In this study, we will examine the status of the issue of the ChatGPT phenomenon in different environments - Italy, Spain, and the European Union - with the aim of appreciating the urgent need for basic regulatory guidelines to allow for the implementation of such AI in the market without infringing upon the fundamental rights of users and minimizing the potential risks inherent in its use.

ChatGPT

Artificial Intelligence

Chatbot

Fundamental rights

AI Regulation

Data protection

I. Introducción

El desarrollo de la Inteligencia Artificial (IA) ha experimentado en las últimas décadas un desarrollo exponencial sin precedentes y se encuentra cada vez más presente en nuestra vida cotidiana.

Si bien es cierto que la IA venía siendo una reincidente en las noticias, el 30 de noviembre de 2022 tuvo lugar el lanzamiento de uno de los productos tecnológicos con mayor crecimiento de la historia: ChatGPT[2]. Desde entonces, no deja de acaparar la atención de medios tanto tradicionales como digitales.

El fenómeno de ChatGPT ha vuelto a poner sobre la mesa los efectos tanto positivos como negativos del empleo de este tipo de herramientas por parte de la sociedad, así como las ambivalentes opiniones de la ciudadanía y diversos sectores: los que la consideran como el mejor chatbot creado hasta la fecha y presentado al público general (Roose, 2022) y los que lo aprecian como la más catastrófica creación, prediciendo incluso efectos dramáticos para los sistemas democráticos (Cowen, 2022).

En cualquier caso, lo que no puede obviarse es que nos encontramos ante una tecnología que tiene y tendrá un gran impacto y, de no ser abordada y regulada adecuadamente, puede implicar unos riesgos relevantes para el conjunto de la sociedad.

Estamos ante un fenómeno conocido metafóricamente como “rinoceronte gris”[3], que ha venido dando señales de su inminente presencia y manifestación en las últimas décadas (Ruíz Arébalo, 2022). En efecto, como consecuencia del imparable y exponencial avance en los últimos años de la IA, en general, y de los chatbots, en particular, una tecnología de tal magnitud podía encontrarse perfectamente sobre la mesa[4]. Pero lo cierto es que la eventualidad de una Inteligencia Artificial Conversacional –IAC– de este calibre no ha sido atendida[5] y ha acabado convirtiéndose en una realidad que, los diferentes países e instituciones desconocen cómo abordar adecuadamente. Prohibirlas, a nuestro juicio, de nada sirve, pues no sería más que un torpe intento de frenar un tsunami que ya ha comenzado.

A la vista de lo anterior, en el presente estudio examinaremos determinadas reacciones en diferentes entornos a este fenómeno de ChatGPT.

Pero primero, nos detendremos brevemente en perfilar su funcionamiento para, después, poner de relieve sus riesgos más relevantes.

II. Ideas básicas sobre el funcionamiento de ChatGPT

Diseñado por la empresa OpenAI[6], se trata de un prototipo de chatbot inteligente, manifestación de la IAC, esto es, aquellas que utilizan un conjunto de datos recopilados y estructurados por programadores de software para crear bases de datos que alimentan y capacitan a los sistemas con un repertorio de posibles preguntas y respuestas que intercambian con los usuarios (Rodríguez Spinelli, 2022, p.95).

Los sistemas de chatbots se basan en grandes modelos lingüísticos, esto es, una técnica de aprendizaje automático[7] que utiliza una ingente cantidad de textos disponibles para aprender patrones y generar nuevos textos a partir de ellos. En otros términos, estos modelos calculan qué palabra es más probable que vaya a continuación, en relación a un conjunto de ellas o una frase y, mediante este sistema, son capaces de generar frases, párrafos e incluso páginas completas en relación a lo consultado por un usuario (Shah, 2023).

Más concretamente, este chatbot ha sido desarrollado empleando la tecnología Generative Pre-trained Transformer 3 (GPT-3), un modelo de lenguaje que utiliza aprendizaje profundo (deep learning) y es capaz de genera un texto similar al humano, pudiendo incluso mantener una conversación realista. Pero no es solo capaz de producir texto: también crea códigos de computación, historias, poemas, discursos, guiones de teatro, ensayos…

Lo que hace la aplicación es recoger información y datos de millones de sitios web a partir de textos estructurados (data scraping o web scraping)[8] para generar nuevos contenidos que, en apariencia, son tan coherentes como si los hubiese escrito una persona (Alonso-Arévalo y Quinde-Cordero, 2023, p.137).

Todo ello, a través de un sencillo proceso gratuito[9] de registro que nos dirige a una interfaz que sigue el modelo imperativo, donde el usuario plantea una petición y el sistema devuelve un resultado en un contexto multilingüe (García-Peñalvo, 2023, p.2) y omnipresente -24 horas al día, 7 días a la semana–, lo que posibilita una retroalimentación rápida y simultánea.

Lo que singulariza a ChatGPT del resto de chatbots es el elevado número de parámetros que han sido empleados en su entrenamiento. En concreto, dispone de más de 175.000 millones de parámetros[10] y constituye uno de los modelos más grandes entrenados hasta la fecha[11], y el mayor abierto al público mundial (Maslej et al., 2023). No obstante, cuantos más parámetros tenga un modelo, más datos se necesitarán para entrenarlo. De acuerdo con sus creadores, el modelo GPT-3 ha sido entrenado con 45TB de datos de texto procedentes de múltiples fuentes hasta septiembre de 2021. Es decir, el modelo actual de ChatGPT puede hacernos una redacción sobre el descubrimiento de América, pero no va a poder decirnos quien ganó Eurovisión en 2022. De hecho, si le hacemos esa pregunta nos contestará:

Lo siento, pero como modelo de lenguaje, mi conocimiento se detiene en septiembre de 2021 y no tengo acceso a información en tiempo real. Según mi información más reciente, no puedo proporcionarte el resultado de Eurovisión en 2022. Te sugiero consultar fuentes confiables de noticias o buscar en Internet para obtener la información más actualizada sobre el ganador de Eurovisión en 2022.

Asimismo, tampoco es posible pedirle que elabore un razonamiento, puesto que no se halla programado para tal finalidad[12] y carece de la capacidad para discriminar la información cierta de la que no lo es (lo que origina no pocas situaciones en las que la respuesta a la petición del usuario es incorrecta).

A pesar de que, como hemos indicado previamente, la interfaz de este modelo puede llevar a cabo interacciones que le permiten ir construyendo palabras para mantener una conversación similar a un ser humano, es evidente que la comprensión de las expresiones naturales y los matices del lenguaje pueden ser difíciles de interpretar para un sistema de IA. Entonces, ¿cómo se logra este comportamiento y comunicación cuasihumana del chatbot?

Pues bien, para conseguirlo, los desarrolladores de ChatGPT emplearon, al igual que en otros chatbots existentes en el mercado, varios principios de lenguaje:

Los procedimientos anteriores posibilitan a la herramienta, además de humanizar su interacción con los usuarios, contextualizar lo que estos preguntan y poder continuar una conversación, puesto que “recordará” la información previamente proporcionada y la tendrá en cuenta en sus futuras interacciones.

En esta línea, otro aspecto que hace destacar a ChatGPT del resto de tecnologías hasta la fecha, es su habilidad para manejar los feedbacks de las respuestas y revisarlas sobre la marcha (Pearl, 2022).

En definitiva, nos encontramos ante un sistema al que es posible preguntar cualquier cosa susceptible de ser contestada mediante un texto y que, a diferencia del buscador de Google, no nos proporcionará un listado de enlaces en los que puede hallarse contenida la información que buscamos, sino que dará una respuesta concreta a nuestra petición. Incluso cabe pedirle que module el tono de su respuesta, haciéndolo más informal, profesional o solemne en función de las demandas del usuario.

Las posibilidades de lo que podemos solicitarle a ChatGPT son casi infinitas, como también lo son sus usos y, por esta misma razón, la incidencia real de sus potenciales riesgos es sumamente difícil de predecir.

III. Retos y riesgos de ChatGPT

No obstante las múltiples ventajas que el uso de este sistema puede suponer para el usuario –en términos de ahorro de tiempo y esfuerzo a la hora de cribar multitud de datos u obtener una respuesta precisa a una petición determinada-, hemos de tener presente que su uso debe venir revestido de numerosas cautelas derivadas de su principales riesgos.

Tanto es así, que es la propia herramienta la que nos informa de sus mayores limitaciones en la pantalla principal desplegada para introducir la petición concreta.

3.1. Información incorrecta y sesgos

En particular, nos advierte que “puede ocasionalmente generar información incorrecta” y “producir instrucciones dañinas o contenido sesgado”.

En cuanto a la primera de ellas, en la propia política de privacidad de OpenAI[13]se previene expresamente del riesgo de inexactitud de los datos recabados de Internet[14] en las contestaciones proporcionadas por la herramienta. En este sentido, se informa de que, en ciertos casos –dado que el servicio genera respuestas leyendo la solicitud de un usuario y prediciendo las siguientes palabras que podrían aparecer en la réplica con mayor probabilidad-, los términos más probables pueden no ser los más exactos. Por ello, insta a no confiar en la exactitud de los resultados de sus modelos.

Del funcionamiento con el que opera este modelo lingüístico también se deriva que no sea capaz de entender las premisas incorrectas de una pregunta y termine respondiendo, de todos modos, a cuestiones erróneas.

Por ejemplo, si le preguntamos “¿Qué recurso no devolutivo puede interponerse ante una sentencia firme en Derecho español?”, nos responderá –tomando como base la premisa (errada) de nuestra pregunta-, que “el recurso no devolutivo que puede interponerse ante una sentencia firme es el recurso extraordinario de revisión”. Respuesta que, como sabemos, no es correcta, pues si bien es cierto que el recurso de revisión puede interponerse frente a sentencias firmes, este es un recurso devolutivo.

Por esta razón, un uso responsable de la herramienta pasaría por contrastar y verificar, en otros sitios webs confiables adicionales y/o con bibliografía específica, los resultados proporcionados. Asimismo, para minimizar la posibilidad de obtener respuestas incorrectas, sería conveniente dotar nuestras peticiones de un contexto claro y preciso (prompt) pues, si el mismo es ambiguo o escaso, el programa puede interpretar la petición de diferentes maneras y, como resultado, generar una contestación que no sea certera.

Otro riesgo importante es la aportación de contenido sesgado.

En efecto, como ya hemos precisado, ChatGPT ha sido entrenado con multitud de datos procedentes de Internet, los cuales pueden contener información inconsistente, incompleta o incorrecta, reflejando sesgos inherentes en este contenido[15]. Esto implica que las respuestas generadas por el modelo pueden reflejar prejuicios implícitos en el texto con el que ha sido entrenado, tales como sesgos raciales, de género o culturales.

Lo expuesto lleva aparejado el riesgo de arraigar conceptos o ideas errados o fomentar un pensamiento sesgado. De esta forma, se facilita la implantación de patrones silenciosos de discriminación sistemática que pasen inadvertidos para la mayoría de las personas, desconocedoras de estos peligros.

Con el fin de paliar las limitaciones puestas de manifiesto, el cuidado tanto de la precisión como de la objetividad de los datos que se introducen en el modelo algorítmico reviste suma importancia[16]. Y, no solo para agregar valor a los sistemas y procedimientos que los incorporan, sino, fundamentalmente, para asegurar que sean lo más correcto posibles a la hora de abordar temas sensibles amparados por derechos fundamentales: la dignidad de las personas, el derecho a la privacidad y la prohibición de cualquier tipo de discriminación por motivos de género, raza, edad, etnia, discapacidades, creencias políticas o religiosas…

Sin embargo, asegurar la calidad de los datos que alimentan estas herramientas algorítmicas se torna una tarea extremadamente compleja, pudiendo plantearse cuestiones relativas a la concreción y selección de aquellos que efectivamente van a introducirse, la razón de incorporar estos y no otros, o la manera en que va a llevarse a cabo su análisis. Tales cuestiones repercuten y condicionan la legitimidad y fiabilidad de la respuesta proporcionada por el programa.

En definitiva, para un uso adecuado, consciente y responsable de este modelo algorítmico, hay que tener en cuenta la eventual presencia de errores y sesgos en el material recabado para su entrenamiento, así como en las respuestas generadas, siendo especialmente crítico al evaluar estas últimas.

3.2. Uso inadecuado

Tampoco debe perderse de vista la posibilidad de que, como una herramienta potente de lenguaje, sea empleada con fines malintencionados (engañosos, difamatorios o discriminatorios).

Así, aun cuando ChatGPT contaba con mecanismos de seguridad incorporados para evitar un uso inadecuado en el momento de su lanzamiento, resulta imposible prever todos los escenarios inapropiados que un usuario final pueda concebir.

A modo de ejemplo, se descubrió que ChatGPT podía ser engañado para que diera instrucciones detalladas sobre cómo construir una bomba si se le pedía que lo hiciera desde la perspectiva de un investigador que afirmaba trabajar en proyectos de seguridad relacionados con bombas (Korda, 2023). Sin embargo, un día después de la publicación del artículo en el que se evidenciaba este defecto, el mensaje exacto empleado para engañar al sistema dejó de funcionar. En su lugar, ChatGPT respondió que no podía proporcionar información sobre cómo llevar a cabo actividades ilegales o peligrosas.

El caso anterior evidencia la naturaleza evasiva de este modelo algorítmico. Es decir, sus desarrolladores intentan incorporar salvaguardas antes de tiempo, los usuarios finales tratan de romper el sistema y eludir sus políticas, y los desarrolladores reaccionan parcheando las lagunas una vez que salen a la luz… y así ad infinitum.

Finalmente, en torno a este uso inadecuado de ChatGPT, hay otra cuestión interesante desde el punto de vista ético que ha de ser tenida en cuenta en su funcionamiento: cuando el programa proporciona una respuesta que implica una muestra de conocimiento, lo hace sin indicar las fuentes de las que ha sido extraída la información suministrada[17].

3.3. Problemas de privacidad y confidencialidad

Puesto que ChatGPT –como hemos visto- ha sido desarrollado con los contenidos disponibles en la Red hasta septiembre de 2021, dentro de ellos sería posible encontrar datos personales, tanto de usuarios como de no usuarios, recabados, en su mayoría, sin el consentimiento previo de sus titulares.

Pero hay que tener en cuenta que no solo se nutre de la información con la que ha sido inicialmente entrenado, sino también de la suministrada por los usuarios cada vez que emplean la aplicación. ChatGPT da respuesta a sus demandas, pero a la vez estos alimentan el algoritmo directa e indirectamente. De esta manera, los datos que recopile no serán solo los personales identificativos que son facilitados al crear la cuenta (nombre, credenciales…), sino también los de conexión como la IP, la ubicación aproximada, el navegador o el móvil desde el que se emplea la herramienta.

Así, durante las “conversaciones” con el sistema, es posible que se recopilen y almacenen los mensajes intercambiados, lo que puede incluir información personal y confidencial que sea revelada durante su uso. Además, si bien la interacción es anónima, existe el riesgo de que los datos proporcionados sean utilizados para identificar a los individuos, lo que puede amenazar su privacidad y confidencialidad.

Por otro lado, también hay que tener presente que, si las conversaciones con el chatbot se almacenan indefinidamente, existe un mayor riesgo de que el contenido sensible o confidencial permanezca en manos de los proveedores de servicio y que estos lo compartan con terceros u otros proveedores[18] –con fines de investigación o desarrollo de productos-, o sean objeto de hackeos o brechas de seguridad en el futuro.

Es cierto que, una vez abierta la cuenta, el sistema advierte de que las propias conversaciones que los usuarios tengan con el chat pueden ser reutilizadas para su entrenamiento e insta a no introducir información sensible. Sin embargo, más allá de esta somera referencia, no se facilita información alguna a los interesados cuyos datos hayan sido recogidos por OpenAI, y manejados por ChatGPT, sobre el modo en que serán tratados.

A día de hoy, aun cuando buceemos en la política de privacidad, no es posible conocer qué ocurre detrás de la herramienta. No obstante, recientemente –como veremos- se ha incorporado a dicha política la indicación expresa de los datos personales de los usuarios que van a ser recabados en sus interacciones con ChatGPT, así como el uso que se dará a los mismos, con la posibilidad de oponerse específicamente a que sean empleados para entrenar al algoritmo.

A pesar de encontrarnos ante un fenómeno con entidad suficiente para ocasionar riesgos tan relevantes, este se ha manifestados en un contexto legal, tanto nacional como europeo, que no se encontraba preparado para asumir una irrupción tecnológica de este calibre. Un “rinoceronte gris” que ya ha hecho acto de presencia y cuyos efectos, dada la carencia de una regulación suficiente, ha sido necesario abordar sobre la marcha y calibrar con la normativa en vigor, con evidentes carencias.

IV. Estado de la cuestión: reacciones a ChatGPT

Las reacciones a ChatGPT no se han hecho esperar. En efecto, como consecuencia de los riesgos anteriores, son cada vez más las autoridades de protección de datos que cuestionan la licitud de estos sistemas debido a que su funcionamiento no resulta, en muchos puntos, conforme con la normativa de privacidad y protección de datos personales.

4.1. Italia

En particular, ha sido la autoridad de control italiana de protección de datos –Garante per la Protezioni dei Dati Personali-, la primera en investigar a ChatGPT por una posible infracción de las leyes de protección de datos. Esto es, tanto del Reglamento General de Protección de datos (RGPD[19])-, en sus arts. 5, 6, 8, 13 y 25 (principios de transparencia, limitación de finalidad, exactitud y confidencialidad e integridad de los datos), como del Código italiano en materia de protección de los datos personales[20].

Así, el 30 de marzo de 2023, cuatro meses después del lanzamiento de la herramienta y en pleno apogeo y expansión de esta tecnología, la autoridad italiana de protección de datos emitió una resolución en el que instó al bloqueo inmediato y temporal[21] de ChatGPT (Garante per la Protezioni dei Dati Personali [GPDP], 2023a), a la espera de la conclusión de la investigación preliminar necesaria sobre los controvertidos asuntos surgidos en relación con OpenAI[22]. En particular se alegaron los siguientes motivos:

  1. La falta de claridad sobre la forma en que se recopilan y emplea la ingente cantidad de datos que proporcionan cada día los usuarios.
  2. La carencia de una base jurídica adecuada y suficiente para poder alimentar y entrenar al algoritmo con los datos de los usuarios.
  3. La ausencia de sistemas de verificación de edad que permitan proteger a los sujetos especialmente vulnerables.

Con motivo de las mencionadas insuficiencias en el funcionamiento de la herramienta, la autoridad italiana requiere a OpenAI[23] para que, en un plazo de 20 días[24], comunique qué medidas ha adoptado para dar respuesta a estas cuestiones, con la consecuencia, en el caso de no hacerlo, de enfrentarse a una cuantiosa sanción[25].

A este comunicado, siguió una respuesta de OpenAI expresando su disposición inmediata a colaborar con la autoridad italiana para cumplir con la normativa europea sobre privacidad y alcanzar una solución compartida capaz de resolver los perfiles críticos planteados por la GPDP en relación con el tratamiento de los datos de los ciudadanos italianos (GPDP, 2023b).

Esta voluntad colaborativa de OpenAI, culminó con una reunión celebrada el 5 de abril entre la empresa americana y la autoridad italiana, donde la primera se comprometió a reforzar la transparencia en el uso de los datos personales de los afectados, los mecanismos existentes para el ejercicio de los derechos y las garantías para los menores (GPDP, 2023c).

Tras el aludido encuentro, la GPDP emitió una nueva orden (GPDP, 2023d) en la que comunicaba que OpenAI dispondría hasta el 30 de abril para cumplir los requisitos impuestos en materia de información, derechos de los interesados –usuarios y no usuarios-, base jurídica del tratamiento de los datos personales para el entrenamiento de algoritmos con datos de usuarios y tutela de los menores. Solo entonces, al dejar de existir los motivos de urgencia, se suspendería la medida de bloqueo y ChatGPT podría volver a ser accesible desde Italia.

En particular, la empresa habría de adoptar, entre otras, las siguientes medidas (sin perjuicio de otras que puedan acordarse una vez concluía la investigación):

  1. Preparar y publicar en su sitio web un aviso en el que se indique a los interesados –incluidos los que no sean usuarios del servicio de ChatGPT, cuyos datos hayan sido recogidos y tratados con la finalidad de entrenar a los algoritmos-, los métodos de tratamientos, la lógica subyacente al tratamiento necesario para el funcionamiento del servicio, sus derechos como interesados y cualquier otra información exigida por el RGPD, en los términos y en la forma establecidos en su art. 12. Dicha información tendría que ser fácilmente accesible y colocarse en un lugar donde pueda leerse antes de proceder a cualquier registro en el servicio (GPDP, 2023e)[26].
  2. Garantizar los derechos reconocidos en el RGPD a los interesados y, en especial, los derechos de oposición y supresión. Así, al menos para aquellos que se conecten desde Italia, habrá de establecer una herramienta a través de la cual puedan ejercer su derecho a oponerse al tratamiento de sus datos personales, obtenidos con la finalidad de entrenar a los algoritmos y para la prestación del servicio. E, igualmente, deben poder solicitar y obtener la rectificación de los datos personales y los que hayan sido tratados de forma inexacta en la generación de contenidos o, en caso de imposibilidad debido al estado de la técnica, la supresión de estos.
  3. Modificar la base jurídica del tratamiento de los datos personales de los usuarios con fines de formación de algoritmos, eliminando cualquier referencia a la ejecución de un contrato e indicar, en su lugar, el consentimiento o el interés legítimo, para tal entrenamiento.
  4. En el momento de cualquier reactivación del servicio desde Italia, incluir una solicitud, a todos los usuarios que se conecten desde el país, incluidos los ya registrados, para que pasen, en el momento del primer acceso, una verificación de edad que excluya, sobre la base de la edad declarada, a los usuarios menores de edad (13 años).
  5. Presentar a la GPDP, antes del 31 de mayo de 2023, un plan de acción que prevea, a más tardar el 30 de septiembre de 2023, la puesta en marcha de un sistema de verificación de la edad capaz de excluir el acceso a los usuarios menores de 13 años y a los menores que carezcan del consentimiento paterno.
  6. Y, finalmente, promover, a más tardar el 15 de mayo de 2023, una campaña informativa, de carácter no promocional en todos los principales medios de comunicación italianos (radio, televisión, periódicos e Internet), con el fin de informar a las personas de que sus datos personales son susceptibles de ser recogidos para la formación de algoritmos, y de que se ha puesto a su disposición en el sitio web de OpenAI una herramienta a través de la cual todas las partes interesadas pueden solicitar y obtener la eliminación de sus datos personales.

Finalmente, el 28 de abril de 2023 la GDPD emite un comunicado (GPDP, 2023f) en el que informa que ChatGPT vuelve a estar disponible en Italia, tras recibir una nota de OpenAI en la que ilustra las medidas introducidas en el cumplimiento de sus peticiones. En concreto, entre ellas se adoptan, esencialmente, las siguientes:

A pesar de todas las medidas anteriores, hemos podido apreciar que uno de los requerimientos principales de la autoridad italiana no ha sido atendido. Nos referimos al hecho de que no se ha eliminado la referencia a la ejecución de un contrato. Así, en la política de privacidad de OpenAI, se continúa incluyendo entre las bases legales para el procesamiento de la información, la referencia al cumplimiento de un contrato con el usuario cuando se proporcionan los servicios. Sin embargo, esta persistente referencia se equilibra con la posibilidad de ejercer el derecho de oposición al tratamiento de los datos personales con la finalidad de entrenar al algoritmo sobre la base del interés legítimo.

Tras todo lo anterior, puede apreciarse como a partir de la medida de bloqueo temporal inmediato acordada por la GDPD, OpenAI ha redoblado sus esfuerzos por hacer más compatible el uso de la herramienta con las exigencias en materia de protección de datos personales y privacidad –tanto europeas como italianas- incorporando nuevas premisas esenciales para operar en el territorio comunitario. Italia ha sentado las nuevas líneas que, como base, habrán de adaptarse a las particularidades normativas de cada país (por ejemplo, en lo que respecta a la minoría de edad en Internet y para el uso de las aplicaciones online que, si bien en Italia se fija en 13 años, en España se eleva a 14 años[30]).

Este bloqueo también ha tenido eco fuera del territorio italiano. Así, a raíz del mismo, el Comité Europeo de Protección de Datos anunció, tras una reunión en sesión plenaria, su propósito de crear un grupo de trabajo sobre ChatGPT, con el fin de cooperar e intercambiar información sobre acciones que las autoridades de protección de datos pudiesen emprender en relación con dicha cuestión[31] (de acuerdo con el principio de coherencia recogido en el Reglamento General de Protección de datos).

La iniciativa italiana también ha hecho que otros países de la UE, entre ellos España, decidan seguir su ejemplo.

4.2. España

Siguiendo la estela de Italia, el 13 de abril de 2023, la Agencia Española de Protección de Datos –AEPD- anunció que iniciaba de oficio actuaciones de investigación contra OpenAI[32], por un posible incumplimiento de la normativa de privacidad y protección de datos personales.[33]

Al igual que la GPDP, la AEPD actúa en el marco de las potestades y competencias que, como autoridad nacional de supervisión y control, le atribuye el art. 58 del Reglamento General de Protección de Datos para llevar a cabo actividades de investigación. Sin embargo, la autoridad española, a diferencia de la italiana, no ha ejercitado su potestad para bloquear temporalmente la herramienta (si bien es una opción que no descarta).

Por su parte, con fecha de 21 de abril, la Autoridad Catalana de Protección de Datos –APDCAT– emitió la Recomendación 1/2023[34] para advertir a la Generalitat, los municipios, las escuelas, las universidades y demás entidades de su ámbito de actuación, sobre las dudas existentes en Europa de que esta herramienta de IA cumpla con el Reglamento General de Protección de Datos. Se recomienda, por tanto, no incorporar la herramienta de ChatGPT en el ejercicio de funciones y prestación de servicios públicos cuando se traten datos personales hasta que el Comité Europeo de Protección de Datos se pronuncie al respecto.

Asimismo, recuerda que, actualmente, la tecnología permite dibujar perfiles y patrones a partir de datos personales, los cuales pueden servir para influir directamente en las personas, y alerta de que, ante el uso masivo e intenso de datos, es necesario contar con las herramientas adecuadas para proteger los derechos y libertades.

En la misma línea, recientemente saltaba en nuestro país la noticia[35] de que grandes empresas españolas –como Telefónica[36], BBVA[37] o Redeia[38]- han resuelto limitar, e incluso prohibir, a sus empleados el uso de ChatGPT. Las razones de dicha decisión descansan en la alta probabilidad de que la información generada por la herramienta tenga sesgos o aporte información errónea, así como el peligro de introducir datos personales y corporativos y que se produzcan filtraciones[39].

Otras compañías, tales como Naturgy y Enagás, han enviado a sus empleados recomendaciones para utilizar este y otros sistemas de IA y, en particular, la segunda apuesta por introducir unos principios de uso correcto de la IA en su nuevo código ético, así como en un programa de formación de empleados[40].

4.3. Unión Europea

En el ámbito de la UE, el 21 de abril de 2021 fue publicada la Propuesta de Reglamento por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Reglamento IA)[41]. Su objetivo descansa en mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular en lo que concierne al desarrollo, la comercialización y la utilización de la IA de conformidad con la normativa de la UE. Asimismo, persigue varios fines de interés general, tales como asegurar un nivel elevado de protección de la salud, de la seguridad y los derechos fundamentales reconocidos y protegidos por el derecho de la Unión, y garantiza la libre circulación transfronteriza de bienes y servicios basados en la IA[42].

En particular, para lograr que una normativa de este tipo puede regular tecnologías disruptivas en constante transformación (y no quede obsoleta incluso antes de su entrada en vigor), la propuesta de Reglamento IA no se articula en base a tecnologías concretas, sino que parte de una estructura organizada en niveles de riesgo que se pueden derivar del uso de estos sistemas. De esta manera, se distingue entre modelos que conlleven un riesgo inaceptable (que directamente se prohíben), un alto riesgo (que se permiten, pero sujetos a rigurosos controles para evitar que puedan afectar a las libertades y a los derechos fundamentales), un riesgo limitado y un riesgo mínimo.

En la actualidad, los avances en la tramitación del Reglamento IA siguen su curso, estando prevista, en principio, su aprobación para enero de 2024 (Garvi Carvajal, 2023).

Uno de los hitos más recientes en este proceso ha sido el compromiso alcanzado en mayo por el Parlamento Europeo sobre un Borrador de enmiendas[43] en torno a la propuesta inicial del Reglamento IA. En concreto, a los efectos de nuestro estudio, en este Borrador de enmiendas se introducen obligaciones para los proveedores de modelos fundacionales y sistemas de IA generativa[44] (entre los que se encontraría ChatGPT).

4.3.1. Sistemas de IA de propósito general

Antes del Parlamento Europeo, la propuesta del Consejo de la Unión Europea de 25 de noviembre de 2022[45] introdujo el concepto de sistema de IA con propósito general. Por tal se entienden aquellos sistemas algorítmicos que puede ser empleados para realizar funciones de aplicación general –como el reconocimiento de imagen/voz–, en una pluralidad de contextos[46]. Además, se advierte que estos pueden ser empleados como sistemas de alto riesgo por sí mismos o ser componentes de otros sistemas de alto riesgo.

En consecuencia, debido a su naturaleza particular y con el objetivo de garantizar un reparto equitativo de responsabilidades a lo largo de la cadena de valor de la IA, dichos sistemas han de estar sujetos a requisitos y obligaciones proporcionados y más específicos en base al Reglamento IA, garantizando, al mismo tiempo, un alto nivel de protección de los derechos fundamentales, la salud y la seguridad. Con esta finalidad, los proveedores de sistemas de IA de propósito general[47] deberán cooperar con los proveedores de los respectivos sistemas de alto riesgo, para permitirles cumplir las obligaciones pertinentes en virtud del Reglamento IA y con las autoridades competentes establecidas en el mismo[48].

Es el art. 4b de la propuesta del Consejo sobre el Reglamento IA el que recoge los requisitos de los sistemas de propósito general y las obligaciones de sus proveedores. Así, se dispone que determinados requisitos establecidos para los sistemas de IA de alto riesgo –en concreto los señalados en el Capítulo 2 del Título III[49]- han de ser aplicados también a los de propósito general. Pero no mediante una aplicación directa de los mismos, sino a través de un acto de ejecución adoptado por la Comisión[50] que especificaría cómo deben aplicarse estos requisitos a dichos sistemas de IA sobre la base de una consulta y una evaluación de impacto que tenga en cuenta sus específicas características y su cadena de valor, la viabilidad técnica y el desarrollo tecnológico y del mercado[51].

4.3.2. Modelo fundacional

Posteriormente, a la definición anterior de sistemas de IA de propósito general, el Borrador de enmiendas del Parlamento Europeo añade la noción de “modelo fundacional”, como subcategoría de los sistemas de propósito general, e incluye la IA generativa[52], esto es, aquella desarrollada a partir de algoritmos entrenados con una amplia gama de fuentes y datos capaces de realizar una gran variedad de tareas posteriores, incluidas algunas para las que no han sido desarrollados o entrenados[53].

Entre las obligaciones impuestas por el Reglamento IA a los proveedores de modelos fundacionales se encuentran, esencialmente, la demostración (a través de un diseño, prueba y análisis adecuados) de la identificación, reducción y mitigación de los riesgos razonablemente previsibles para la salud, seguridad, derechos fundamentales, medio ambiente, democracia y Estado de Derecho; procesar e incorporar únicamente datos que estén sujetos a medidas apropiadas de gobierno de datos, en particular, examinar la idoneidad de las fuentes y posibles sesgos; y diseñar y desarrollar un modelo base sólido para lograr niveles adecuados de rendimiento, previsibilidad, interpretabilidad, corregibilidad, seguridad y ciberseguridad. Además, deberán diseñar sus modelos aplicando las normas concebidas para reducir el consumo de energía, el uso de recursos y residuos y para aumentar la eficacia energética y la eficiencia global del sistema[54].

En particular, el art. 28 b. 4 del Borrador de enmiendas del Parlamento Europeo regula específicamente los modelos fundacionales utilizados en sistemas de IA generativa, esto es, aquellos destinados específicamente a generar, con distintos niveles de autonomía, contenidos como texto complejo, imágenes, audio o video, estableciendo un último nivel más estricto de obligaciones y requisitos.

De esta forma, además de los requisitos generales exigidos a los proveedores de un modelo fundacional, estos deberán: a) cumplir las obligaciones de transparencia del art. 52.1 del Reglamento IA esto es, la necesidad de que los sistemas algorítmicos que interactúan con personas estén diseñados y desarrollados de forma que las mismas estén informadas de que están actuando con un sistema de IA[55]; b) formar y, en su caso, diseñar y desarrollar el modelo para que garantice las salvaguardias adecuadas contra la generación de contenidos contrarios al Derecho de la Unión, en consonancia con el estado de la técnica generalmente reconocido y con el ejercicio de los derechos fundamentales, incluida la libertad de expresión; c) y documentar y poner a disposición del público un resumen suficientemente detallado del uso de los datos de entrenamiento protegidos por la legislación sobre derechos de autor.

No obstante este más estricto nivel de obligaciones y requisitos para los modelos fundacionales empleados en sistemas de IA generativa, el considerando 60 g) del Borrador de enmiendas señala expresamente que tales requisitos y obligaciones específicos no equivalen a considerar los modelos fundacionales como sistemas de IA de alto riesgo –aun cuando deban cumplir determinados requisitos establecidos para los sistemas de IA de alto riesgo–, sino que deben garantizar que se cumplan los objetivos del Reglamento IA para asegurar un alto nivel de protección de los derechos fundamentales, la salud y la seguridad, el medio ambiente, la democracia y el Estado de Derecho.

Esta apreciación es compatible con lo previsto para los sistemas de IA de propósito general, en el sentido de que los modelos generativos de IA, per se, no pueden ser clasificados como sistemas de IA de alto riesgo, pero sí pueden ser usados como tales –en función de su finalidad–, o pueden integrarse en un modelo de IA que sí sea calificado como de alto riesgo. Como consecuencia de lo apuntado, los requisitos y obligaciones exigidos no resultarán de aplicación si el proveedor excluye expresamente todos los usos de alto riesgo en las instrucciones que elabore para su sistema de IA. Exclusión que solo será permisible si el proveedor tiene motivos suficientes para considerar que este no será objeto de un uso indebido una vez comercializado[56].

No obstante, a nuestro juicio, se trata de una previsión criticable, pues es difícil (por no decir imposible) excluir plenamente todo uso indebido que un tercero pueda llegar a hacer de la herramienta, incluso aun cuando el proveedor haya aplicado un grado de diligencia adecuado de conformidad con el estado de la técnica.

V. Breve reflexión final

ChatGPT ha supuesto un gran impacto social y ha contribuido a que la IA, en su máxima expresión, se convierta en mainstream.

Es cierto que toda nueva tecnología genera, en mayor o menor medida un impacto y viene acompañada de potenciales riesgos, directamente proporcionales a su nivel de desarrollo y complejidad técnica. Por ello, tratar de minimizarlos ex ante resulta crucial para fomentar la evolución de la IA al tiempo que se preservan adecuadamente los derechos fundamentales tanto de los usuarios de la herramienta en cuestión como de los no usuarios.

En concreto, para paliar los peligros asociados a ChatGPT (entre los que encontrábamos la posibilidad de que proporcione contenido incorrecto o sesgado, su uso inadecuado por los usuarios y los problemas de confidencialidad y privacidad), consideramos que los proveedores de servicios de IA deberían implementar medidas de seguridad y privacidad sólidas, tales como el cifrado de extremo a extremo (con el que cuentan varias aplicaciones de mensajería como Whatsapp) y políticas claras de anonimización y transparencia en el uso de datos.

A pesar de los riesgos inherentes al desarrollo tecnológico –en especial de la IA–, prohibirlo devendría una tarea completamente estéril. El tsunami tecnológico es imparable. Se trata, por tanto, de aprender a surfear las olas. Pero para ello, hemos de contar con una base estable y una técnica adecuada que nos permita lograr el equilibrio necesario para mantenernos a flote sobre la tabla.

Por ello, resulta apremiante establecer las reglas del juego. La incertidumbre siempre ha sido fiel compañera de cualquier cambio, pero con unos fundamentos sólidos elementales y unas líneas rojas inapelables, consideramos que sería posible minimizar o paliar sus riesgos.

El Reglamento de la IA promete atender a dicha necesidad de contar con una regulación básica y general en la materia que nos permita navegar el tsunami algorítmico y tratar de alcanzar el arduo equilibrio entre el desarrollo tecnológico, la minimización de los riesgos y el respeto de los derechos fundamentales de los usuarios y no usuarios. Sin embargo, aún se encuentran en fase de aprobación y, dado el rápido y exponencial desarrollo de la IA hacia sistemas cada vez más potentes y eficaces, conviene que esta se produzca cuanto antes.

ChatGPT es solo la punta del iceberg. Vendrán muchísimas más tecnologías de este tipo, más eficientes, pero también con mayor potencial lesivo. Y, para evitar que nos encontremos –otra vez– frente a nuevos “rinocerontes grises” cuyo impacto nos termine arrollando y haya que reaccionar ex post ante eventuales peligros para la seguridad, los derechos fundamentales y la sociedad global, conviene estar preparados con antelación. Pero no solo para abordar directamente las consecuencias de las tecnologías venideras, sino para controlarlas y adecuarlas desde su diseño y desarrollo a un marco normativo respetuoso con los derechos fundamentales, la transparencia, la seguridad y el medio ambiente, analizando sus futuribles contingencias.

Finalmente, además de esta base legislativa, consideramos que se hace indispensable empoderar a la población en el uso de las nuevas tecnologías, educándola en un empleo adecuado, ético y responsable de las herramientas digitales y en unas nociones elementales –al menos– de ciberseguridad.

Bibliografía

Adamopoulou, E., Moussaiades, L., (2020) “An Overview of Chatbot Technology”, AIAIA 2020: Artificial Intelligence Applications and Innovations. IFIP Advances in Information and Communication Technology, vol. 584. Springer, Cham. https://link.springer.com/chapter/10.1007/978-3-030-49186-4_31

Agencia Española de Protección de Datos (13 de abril de 2023), La AEPD inicia de oficio actuaciones de investigación a OpenAI, propietaria de ChatGPT. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-inicia-de-oficio-actuaciones-de-investigacion-a-openai

Agencia Española de Protección de Datos (11 de mayo de 2023), Las autoridades de la Red Iberoamericana de Protección de Datos Personales inician una acción coordinada en relación con el servicio de ChatGPT, https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/autoridades-ripd-inician-accion-coordinada-servicio-chatgpt

Alonso-Arévalo, J., Quinde-Cordero, M., (2023) “ChatGPT: La creación automática de textos académicos con inteligencia artificial y su impacto en la comunicación académica y educativa”, Revista Desiderata, nº22. https://gredos.usal.es/handle/10366/152505

Borrador de enmiendas del Parlamento Europeo a la Propuesta de Reglamento sobre normas armonizadas relativas a la Inteligencia Artificial, 9 de mayo de 2023. https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/CJ40/DV/2023/05-11/ConsolidatedCA_IMCOLIBE_AI_ACT_EN.pdf

Cowen, T., (diciembre 2022), “ChatGPT Could Make Democracy Even More Messy”, The Washington Post. https://www.washingtonpost.com/business/chatgpt-could-makedemocracy-even-more-messy/2022/12/06/e613edf8-756a-11ed-a199-927b334b939f_story.html

Garante per la protezioni dei dati personali:

  1. Provvedimento del 30 marzo 2023 [9870832]. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870832
  2. Comunicado de 4 de abril de 2023. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9872284
  3. Comunicado de 6 de abril de 2023. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9872832
  4. Provvedimento del 11 de abril 2023 [9874702]. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9874702
  5. Comunicado de 12 de abril de 2023. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9874751
  6. Comunicado de 28 de abril de 2023. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9881490

García-Peñalvo, F.J., (2023) “La percepción de la Inteligencia Artificial en contextos educativos tras el lanzamiento de ChatGPT: disrupción o pánico”, Education in the Knowledge Society, Vol. 24. https://revistas.usal.es/tres/index.php/eks/article/view/31279

Garvi Carvajal, A., (mayo de 2023), La UE se prepara para endurecer el uso de ChatGPT. EL PAÍS. https://cincodias.elpais.com/cincodias/2023/04/28/legal/1682678408_904956.html

Grand View Research (2023), Chatbot Market Size, Share & Trends, Analysis Report By Application (Customer Services, Branding & Advertising), By Type, By Vertical, By Region (North America, Europe, Asia Pacific, South America), And Segment Forecasts, 2023 – 2030. https://www.grandviewresearch.com/industry-analysis/chatbot-market

Korda, M., (enero 2023), “Could a Chatbot Teach you how to build a dirty bomb?”, OUTRIDER. https://outrider.org/nuclear-weapons/articles/could-chatbot-teach-you-how-build-dirty-bomb

Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE núm. 294, de 6 de diciembre de 2018). https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE núm. 294, de 6 de diciembre de 2018). https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

Maslej, N., Fattotini, L., Brynjolfsson, E., Etchemendy, J., Ligett, K., Lyon, T., Manyika, J., Ngo, H., Niebles, J.C., Parli, V., Shoham, Y., Wald, R., Clark, J., Perrault, R., (2023) The AI Index 2023 Annual Report, AI Index Steering Committee, Institute for Human-Centered AI, Stanford University, Stanford, CA. https://aiindex.stanford.edu/report/

Pearl, M., (diciembre 2022), “The ChatGPT chatbot from OpenAI is amazing, creative, and totally wrong. Need ideas? Great! Need facts? Stay away!”, Mawshable https://mashable.com/article/chatgpt-amazing-wrong

Propuesta de Reglamento por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia Artificial), y se modifican determinados actos legislativos de la Unión, 21 de abril de 2021. https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF

Propuesta del Consejo de la Unión Europea para un Reglamento sobre normas armonizadas de Inteligencia Artificial. Documento 2021/0106 (COD), de 25 de noviembre de 2022. https://artificialintelligenceact.eu/wp-content/uploads/2022/12/AIA-%E2%80%93-CZ-%E2%80%93-General-Approach-25-Nov-22.pdf

Recomanació 1/2023 en relació amb la utilització de ChatGPT i el seu impacte en la protecció de dades personals, 21 de abril de 2023. Autoridad Catalana de Protección de Datos https://apdcat.gencat.cat/web/.content/01-autoritat/normativa/documentos/Recomanacio12023_ChatGPT.pdf

Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de 27 de abril de 2016. https://www.boe.es/doue/2016/119/L00001-00088.pdf

Resolución del Parlamento Europeo sobre las implicaciones de los macrodatos en los derechos fundamentales: privacidad, protección de datos, no discriminación, seguridad y aplicación de la ley, 14 de marzo de 2017. https://www.europarl.europa.eu/doceo/document/TA-8-2017-0076_ES.html

Rodríguez Spinelli, F., (2022), “Bots, tenemos que hablar”, en FODERTICS 10.0 (dir. Bueno de Mata, F.), Comares, Granada.

Roose, K., (diciembre 2022), “The Brilliance and Weirdness of ChatGPT”, The New York Times. https://www.nytimes.com/2022/12/05/technology/chatgpt-ai-twitter.html

Ruíz Arébalo, J., (enero 2022) “Cisnes negros, rinocerontes grises, pandemias y meteoritos”, Global Strategy- Geopolítica y Estudios Estratégicos. https://global-strategy.org/cisnes-negros-rinocerontes-grises-pandemias-y-meteoritos/

Shah, C., (marzo 2023), “Is ChatGPT Closer to a Human Librarian Than It Is to Google?”, Gizmodo, https://gizmodo.com/chatgpt-ai-openai-like-a-librarian-search-google-1850238908.

Wigmore, I., (abril 2023), “Natural language generation (NLG)”, TechTarget. https://www.techtarget.com/searchenterpriseai/definition/natural-language-generation-NLG.


[1] El presente estudio se enmarca en el Proyecto de Investigación “Biomedicina, Inteligencia Artificial, Robótica y Derecho: los Retos del Jurista en la Era Digital” (PID2019-108155RB-I00).

[2] En los primeros 5 días alcanzó un millón de usuarios.

Vid., ChatGPT logró, en sólo cinco días, obtener un millón de usuarios (27 de febrero de 2023). Recuperado de https://www.eleconomista.com.mx/tecnologia/ChaGPT-logro-en-solo-cinco-dias-obtener-un-millon-de-usuarios-20230227-0020.html

[3] Un “rinoceronte gris” es una metáfora para describir aquellas situaciones de extremo riesgo que se sabe que son posibles o incluso probables de suceder, pero que se descartan o pasan por alto. Son eventos probables que tienen impactos potencialmente catastróficos, pero siempre con un elemento de incertidumbre. El término fue ideado por la analista Michele Wucker en la cumbre de Davos de 2013 y desarrollado en su obra The gray rhino: how to recognize and act on the obvious dangers we ignore, en contraposición al concepto de “cisne negro”, apuntalado por Nassim Taleb, para describir situaciones de alto riesgo e impacto imposibles de anticipar y que cambian por completo nuestro paradigma (como por ejemplo el 11-S).

[4] El mercado de chatbots se valoró en 525.7 millones de dólares en 2021 y, actualmente, se espera que alcance un valor de 3.99 millones de dólares en 2030. Esto representa una tasa de crecimiento anual compuesto –CAGR– de alrededor del 25.7 %. Vid., Grand view research (2023), Chatbot Market Size, Share & Trends, Analysis Report By Application (Customer Services, Branding & Advertising), By Type, By Vertical, By Region (North America, Europe, Asia Pacific, South America), And Segment Forecasts, 2023 – 2030. https://www.grandviewresearch.com/industry-analysis/chatbot-market

[5] O una respuesta muy débil pues, cuando ChatGPT fue presentado al mundo, únicamente contábamos con una propuesta de Reglamento Europeo sobre IA y disposiciones genéricas en materia de protección de datos. Una normativa – y proyecto de normativa– aún insuficientes para atender a una tecnología de este calado.

[6] Esta compañía de investigación de IA que se anuncia como sin ánimo de lucro, fue fundada en octubre de 2015 por Elon Musk, Sam Altman y otros inversores.

[7] El aprendizaje automático o machine learning conforma un subconjunto de IA que permite a un sistema mejorar y aprender de forma autónoma a través de redes neuronales y aprendizaje profundo (deep learning), sin tener que ser programado explícitamente y con un contacto humano mínimo o nulo.

[8] Recibe esta denominación el proceso de recopilación y extracción de contenidos y datos de Internet de manera automática. Esto puede ser muy lesivo para la privacidad o para la información que ya estuviera colgada.

[9] En la actualidad, existe también ChatGPT Plus, la versión de pago de ChatGPT. A diferencia de la versión gratuita, la de pago dispone de un motor diferente: GPT-4, más avanzado. En nuestro estudio, no obstante, nos centraremos en la versión gratuita pues, precisamente por su libertad de acceso, es previsible que la disrupción social y los potenciales riesgos lleguen a ser mayores.

[10] “Los parámetros son valores numéricos que emplean los modelos de aprendizaje automático durante el entrenamiento. El valor de los parámetros en los modelos de aprendizaje automático determina cómo puede interpretar los datos de entrada y predicciones.

(...) A lo largo del tiempo, ha habido un incremento constante en el número de parámetros, que se ha hecho especialmente pronunciado desde principios de la década de 2010. El hecho de que los sistemas de IA aumenten rápidamente sus parámetros refleja la creciente complejidad de las tareas que se les pide que realicen, la mayor disponibilidad de datos, los avances en el hardware subyacente y, lo que es más importante, el rendimiento de los modelos más grandes” –traducción propia– Vid., Maslej, et al., 2023, p. 54.

[11] Para dotar estos datos de contexto, de acuerdo con el Artificial Intelligence Index Report de 2023, GPT-2, lanzado en 2019, considerado por muchos como el primer gran modelo lingüístico, tenía 1.500 millones de parámetros y su entrenamiento costó unos 50.000 dólares.

ChatGPT, solo es superado en la actualidad por PaLM (Pathways language model), la IA desarrollada por Google –e integrado en su bot conversacional Google Bard– para hacer frente a OpenAI. PaLM ha sido entrenada con un cuerpo de 540 millones de parámetros. Pero, a diferencia de Chat GPT que es de libre acceso y, por tanto, con un potencial mayor de incidencia en la población por la universalización de su uso, Google Bard no es accesible en todos los países (como es el caso de España, donde aún no se encuentra disponible).

Nos encontramos ante el claro ejemplo de cómo el entrenamiento y capacidad de estos chatbots crece de manera exponencial en cuestión de meses. Íbidem p. 60.

[12] Como sí sería el caso de PaLM.

[13] OpenAI (27 de abril de 2023), Política de privacidad, https://openai.com/policies/privacy-policy

[14] Sobre este particular, en el campo que nos ocupa (el derecho español), la herramienta es particularmente imprecisa. En primer lugar, dado que su entrenamiento llega hasta 2021, no podremos preguntarle por reformas legislativas posteriores a dicha fecha. Pero, además, cuenta con grandes vacíos desde el punto de vista de los pronunciamientos jurisprudenciales, con respecto a los cuales se encuentra tremendamente desactualizada.

[15] Es lo que se conoce con la denominación de dirty data.

[16] Por esta razón, la Resolución del Parlamento Europeo sobre las implicaciones de los macrodatos en los derechos fundamentales dispone que “serán necesarias evaluaciones periódicas sobre la representatividad de los conjuntos de datos, así como examinar la exactitud e importancia de las predicciones” (consideración general 22).

Vid., Resolución del Parlamento Europeo sobre las implicaciones de los macrodatos en los derechos fundamentales: privacidad, protección de datos, no discriminación, seguridad y aplicación de la ley, 14 de marzo de 2017. https://www.europarl.europa.eu/doceo/document/TA-8-2017-0076_ES.html

[17] Si se le solicita expresamente, el sistema proporcionará un listado de enlaces de los cuales ha sido obtenida la información para elaborar la respuesta, pero lo hará sin indicar de dónde ha sido extraída expresamente cada elemento de la contestación aportada.

[18] Eventualidad de la que se advierte en la propia política de privacidad de OpenAI.

[19] Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de 27 de abril de 2016 (Reglamento General de Protección del Datos –RGPD-) https://www.boe.es/doue/2016/119/L00001-00088.pdf

[21] Con base en la vía ofrecida por el art. 58, apartado 2, letra f) del Reglamento General de Protección de Datos: “2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: (…) f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.

[22] En concreto, la decisión de la autoridad de control italiana constituye una reacción a la noticia del 20 de marzo de 2023 sobre un fallo de seguridad en la herramienta (data breach) que ocasionó la difusión de varias conversaciones privadas e información relativa al pago de los abonos al servicio de pago (ChatGPT 4).

Vid., OpenIA (24 de marzo 2023), March 20 ChatGPT outage: Here’s what happened. https://openai.com/blog/march-20-chatgpt-outage

[23] Que si bien no tiene oficina en la Unión ha designado un representante en el Espacio Económico Europeo.

[24] Con fundamento en el art. 58 apartado 1, del Reglamento General de Protección de Datos: “1. Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación: a)ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones; b)llevar a cabo investigaciones en forma de auditorías de protección de datos; c)llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7; d)notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento; e)obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones; f)obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros”.

[25] De hasta 20 millones de euros o de hasta el 4% del volumen de negocios anual actual, de acuerdo con el art. 83, apartado 5, letra e) del Reglamento General de Protección de Datos.

[26] En concreto, para los usuarios que se conecten desde Italia, el aviso se presentará antes de completar el registro y, de nuevo, antes de completar el registro, se les pedirá que declaren que son mayores de edad. Por otro lado, para los usuarios que ya se han registrado, el aviso informativo deberá presentarse en el momento de su primer acceso tras la reactivación del servicio y, en la misma ocasión, deberá pedírseles que pasen una verificación de edad que excluya, sobre la base de la edad declarada, a los usuarios menores de edad.

[28] En particular, en la política de privacidad de OpenAI, en un nuevo apartado relativo a los derechos de los usuarios, con expresa alusión a ChatGPT, se indica expresamente que, si los usuarios aprecian que los resultados del programa contienen información personal inexacta que se desee corregir, el interesado puede enviar una solicitud de corrección a dsa@openai.com. Sin embargo, se advierte que, dada la complejidad técnica del funcionamiento de estos modelos, es posible que dicha inexactitud no pueda ser corregida, en cuyo caso, cabe solicitar la eliminación de la información personal de los resultados de ChatGPT rellenando el formulario enlazado en la página para tal finalidad (OpenAI Personal Data Removal Request).

[29] En concreto, el formulario puede ser consultado en el siguiente recurso online (OpenAI Personal Data Removal Request): https://share.hsforms.com/1UPy6xqxZSEqTrGDh4ywo_g4sk30

[30] Tal previsión la encontramos en el art. 7 de la Ley Orgánica 3/2018, de Protección de Datos Personales, relativo al consentimiento de los menores de edad, donde se dispone que: “El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años”.

Vid., Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE núm. 294, de 6 de diciembre de 2018). https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf

[31] European Data Protection Board (13 de abril 2023), EDPB resolves dispute on transfers by Meta and creates task force on Chat GPT. https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en.

[32] Agencia española de protección de datos (13 de abril de 2023), La AEPD inicia de oficio actuaciones de investigación a OpenAI, propietaria de ChatGPT. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-inicia-de-oficio-actuaciones-de-investigacion-a-openai

[33] La Red Iberoamericana de Protección de Datos (RIPD), cuya secretaría permanente ostenta la AEPD, también se ha propuesto iniciar una labor de supervisión sobre ChatGPT y coordinar sus acciones en el marco de la Red. Así, la RIPD considera que este servicio puede conllevar riesgos para los derechos y libertades de los usuarios en relación con el tratamiento de sus datos personales.

A estas acciones, como ya hemos apuntado, se suman las realizadas por el Comité Europeo de Protección de Datos, del que la AEPD forma parte junto con otras autoridades de protección de datos del EEE, que ha creado un grupo de trabajo para fomentar la cooperación e intercambiar información sobre las acciones llevadas a cabo por las autoridades de protección de datos. De esta forma, la AEPD, al ser parte de ambas organizaciones, actuará como enlace entre la RIPD y el Comité Europeo. Vid., Agencia española de protección de datos (11 de mayo de 2023), Las autoridades de la Red Iberoamericana de Protección de Datos Personales inician una acción coordinada en relación con el servicio ChatGPT. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/autoridades-ripd-inician-accion-coordinada-servicio-chatgpt

[34] Recomanació 1/2023 en relació amb la utilització de ChatGPT i el seu impacte en la protecció de dades personals, 21 de abril de 2023. Autoridad catalana de protección de datos. https://apdcat.gencat.cat/web/.content/01-autoritat/normativa/documentos/Recomanacio12023_ChatGPT.pdf

[35] Grandes empresas españolas ya prohíben a sus empleados el uso de ChatGPT: “Contine información errónea” (mayo 2023). Recuperado de https://www.elmundo.es/economia/empresas/2023/05/21/64679873e4d4d863428b45a9.html

[36] La compañía no permite el uso de la herramienta para tratar información de la empresa, salvo que la cuenta sea contratada y controlada por Telefónica. Asimismo, para garantizar que la IA se utilice de forma segura, incorpora en su organigrama un Comité de IA Ética para que evalúe casos de uso de alto riesgo, y está trabajando en un reglamento interno de gobernanza de la IA, que abordará tanto ChatGPT como otras inteligencias artificiales generativas.

[37] La entidad bancaria, prohíbe el uso de ChatGPT con carácter general, aunque para aquellos profesionales que crean que puede serles de utilidad, ha habilitado un proceso de autorización.

[38] Redeia (Red Eléctrica), por su parte, ha bloqueado el uso de la versión pública por posibles riesgos vinculados a la protección de la información. Cuestión especialmente relevante, puesto que nos encontramos ante una empresa que gestiona infraestructuras estratégicas.

[39] Fuera de España, en empresas como Deloitte, JPMorgan, Verizon, Apple o Microsoft (siendo llamativo el caso de esta última por tratarse de uno de los principales inversores de OpenAI), también se ha desaconsejado el uso de datos confidenciales o sensibles en ChatGPT.

La revolución de ChatGPT y el temor de las grandes empresas españolas, (junio 2023). Recuperado de https://gdempresa.gesdocument.com/noticias/chatgpt-grandes-empresas

[40] En el mismo sentido, Mapre y Repsol, trabajan con protocolos para garantizar que la IA se emplee de forma ética y segura.

[41] Propuesta de Reglamento por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia Artificial), y se modifican determinados actos legislativos de la Unión, 21 de abril de 2021. https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF

[42] Con lo que se impide que los Estados miembros impongan restricciones al desarrollo, la comercialización y la utilización de sistema de IA, a menos que el Reglamento lo autorice expresamente.

[43] Borrador de enmiendas del Parlamento Europeo a la Propuesta de Reglamento sobre normas armonizadas relativas a la Inteligencia Artificial, 9 de mayo de 2023. https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/CJ40/DV/2023/05-11/ConsolidatedCA_IMCOLIBE_AI_ACT_EN.pdf

[44] La propuesta inicial del Reglamento IA no incluía definición alguna en la que pudieran englobarse los sistemas de IA generativa como una subcategoría concreta dentro de los sistemas algorítmicos. No obstante, la aparición de ChatGPT –entre otros–, ha llevado a los legisladores europeos a abordar una regulación específica.

[45] Propuesta del Consejo de la Unión Europea para un Reglamento sobre normas armonizadas de Inteligencia Artificial. Documento 2021/0106 (COD), de 25 de noviembre de 2022. https://artificialintelligenceact.eu/wp-content/uploads/2022/12/AIA-%E2%80%93-CZ-%E2%80%93-General-Approach-25-Nov-22.pdf

[46] Más concretamente, el art. 1b) de la Propuesta del Consejo de la UE, define a los sistemas de IA de propósito general como “un sistema de IA que, independientemente de cómo se comercialice o ponga en servicio, incluso como software de código abierto, está destinado por el proveedor para realizar funciones de aplicación general, como el reconocimiento de imagen, voz y generación de audio, detección de patrones, respuesta a preguntas, traducción y otras; un sistema de IA de propósito general puede ser utilizado en una pluralidad de contextos e integrarse en una pluralidad de otros sistemas de IA” (traducción propia), op., cit.

[47] Independientemente de que puedan ser utilizados como sistemas de alto riesgo como tales o como componentes de sistemas de alto riesgo.

[48] De esta forma, para poder tomar en consideración las características específicas de los sistemas de IA de propósito general y la rápida evolución de la técnica y el mercado en este campo, habrá de conferirse a la Comisión competencias de ejecución para especificar y adaptar la aplicación de los requisitos establecidos en el Reglamento a los sistemas de IA de propósito general y para especificar la información que han de compartir los proveedores de estos sistemas para que los proveedores de los respectivos sistemas de IA de alto riesgo puedan cumplir sus obligaciones en virtud del Considerando 12c de la Propuesta del Consejo de la UE.

[49] Tales requisitos incluyen: el establecimiento, implantación, documentación y mantenimiento de un sistema de gestión de riesgo asociados a estos sistemas (es decir, un proceso iterativo continuo que se lleva a cabo durante todo el ciclo de la vida de un sistemas de IA de alto riesgo que requerirá actualizaciones sistemáticas periódicas); en el caso de sistemas de este tipo que utilicen técnicas que implican el entrenamiento de modelos con datos, se desarrollarán a partir de conjuntos de datos de entrenamiento, validación y prueba que se someterán a técnicas adecuadas de gobernanza y gestión de datos, que sean pertinentes y representativos, carezcan de errores y estén completos, que dispongan de las propiedades estadísticas adecuadas y que tengan en cuenta los elementos particulares del contexto geográfico, conductual o funcional específico en el que se pretenda utilizar el sistema; antes de la entrada al mercado del sistema de IA de alto riesgo o su puesta en servicio, se preparará su documentación técnica –que demuestre que cumple los requisitos anteriores– y se mantendrá actualizada; estos sistemas se diseñarán y desarrollarán con capacidades de registro que garantizarán un nivel de trazabilidad del funcionamiento del sistema de IA durante su ciclo de vida; se diseñarán y desarrollarán de un modo que garantice que funcionan con un nivel de transparencia suficiente para que los usuarios interpreten y usen correctamente su información de salida e irán acompañados de las instrucciones de uso correspondiente de forma concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los usuarios; se diseñarán y desarrollarán de manera que puedan ser vigilados de manera efectiva por personas físicas durante el periodo que estén en uso; y se diseñarán y desarrollarán de modo que, en vista de su finalidad prevista, alcancen un nivel adecuado de precisión, solidez y ciberseguridad y funcionen de manera consistente en estos sentidos durante todo su ciclo de vida.

[50] A través de este acto de aplicación, se garantizaría que los Estados miembros participaran adecuadamente y mantuvieran la última palabra sobre cómo se aplican los requisitos en este contexto.

[51] Además de cumplir con tales requisitos, los proveedores de estos sistemas están obligados a implementar un sistema de gestión de calidad, conservar al menos la documentación relevante durante 10 años y someter a evaluación de conformidad al sistema de IA sobre el impacto que puedan estos sistemas tener sobre la seguridad, los derechos fundamentales o el medio ambiente, entre otros.

[52] ras el auge de ChatGPT y otros modelos.

[53] Considerando 60 d) del Borrador de enmiendas del Parlamento Europeo.

[54] Art. 28 b) del Borrador de enmiendas del Parlamento Europeo.

[55] Excepto en las situaciones en las que ello resulte evidente debido a las circunstancias y al contexto de utilización.

[56] Art. 4 c) de la Propuesta del Consejo de la Unión Europea.