El principal regulador de privacidad de Google en la Unión Europea ha abierto una investigación sobre si ha cumplido o no con las leyes de protección de datos del bloque en relación con el uso de información de las personas para entrenar inteligencia artificial generativa.
En concreto, se está investigando si el gigante tecnológico necesitaba llevar a cabo una evaluación de impacto sobre la protección de datos (DPIA) para considerar de forma proactiva los riesgos que sus tecnologías de IA podrían suponer para los derechos y libertades de las personas cuya información se utilizó para entrenar los modelos.
Las herramientas de inteligencia artificial generativa son famosas por producir falsedades que parecen plausibles. Esa tendencia, combinada con la capacidad de proporcionar información personal a pedido, genera un gran riesgo legal para sus creadores. La Comisión de Protección de Datos de Irlanda (DPC), que supervisa el cumplimiento por parte de Google del Reglamento General de Protección de Datos (GDPR) del bloque, tiene poderes para imponer multas de hasta el 4% de la facturación anual global de Alphabet (la entidad matriz de Google) por cualquier infracción confirmada.
Google ha desarrollado varias herramientas de inteligencia artificial generativa, incluida toda una familia de modelos de lenguaje grandes (LLM) de propósito general que lleva por nombre Géminis (antes Bardo). Utiliza la tecnología para impulsar chatbots de IA, incluso para mejorar la búsqueda web. Detrás de estas herramientas de IA orientadas al consumidor se encuentra un LLM de Google llamado PaLM2, que se lanzó el año pasado en su conferencia para desarrolladores I/O.
La DPC irlandesa dice estar investigando cómo Google desarrolló este modelo de IA fundamental, conforme a la Sección 110 de la Ley de Protección de Datos de Irlanda de 2018, que transpuso el RGPD a la legislación nacional.
El entrenamiento de modelos GenAI generalmente requiere grandes cantidades de datos, y los tipos de información que los creadores de LLM han adquirido, así como cómo y dónde la obtuvieron, están siendo examinados cada vez más en relación con una variedad de cuestiones legales, incluidos los derechos de autor y la privacidad.
En este último caso, la información utilizada como forraje para el entrenamiento de la IA que contiene información personal de ciudadanos de la UE está sujeta a las normas de protección de datos del bloque, ya sea que se haya extraído de Internet o se haya obtenido directamente de los usuarios. Por eso, varios LLM ya han enfrentado preguntas: y cierta aplicación del RGPD — relacionados con el cumplimiento de la privacidad, incluidos IA abiertael creador de GPT (y ChatGPT); y Metaque desarrolla la Modelo de IA de llama.
X, propiedad de Elon Musk, también ha atraído Quejas en virtud del RGPD y la ira del DPC por el uso de datos de personas para el entrenamiento de IA, lo que llevó a un proceso judicial y un compromiso por parte de X de limitar el procesamiento de sus datos pero no hay sanción. Aunque X aún podría enfrentarse a una sanción por el RGPD Si la DPC determina que procesa datos de usuarios para entrenar su herramienta de inteligencia artificial, Grok violó el régimen.
La investigación DPIA de la DPC sobre GenAI de Google es la última acción regulatoria en esta área.
“La investigación legal se refiere a la cuestión de si Google ha cumplido con las obligaciones que pudiera haber tenido de realizar una evaluación, de conformidad con el Artículo 35 del Reglamento General de Protección de Datos (Evaluación de Impacto de la Protección de Datos), antes de participar en el procesamiento de los datos personales de los interesados de la UE/EEE asociados con el desarrollo de su modelo de IA fundamental, Pathways Language Model 2 (PaLM 2)”, escribió el DPC en un comunicado de prensa.
Señala que una evaluación de impacto sobre la protección de datos puede ser de “importancia crucial para garantizar que los derechos y libertades fundamentales de las personas se consideren y protejan adecuadamente cuando el procesamiento de datos personales pueda resultar en un alto riesgo”.
“Esta investigación reglamentaria forma parte de los esfuerzos más amplios de la DPC, que trabaja en conjunto con sus reguladores pares de la UE/EEE (Espacio Económico Europeo), para regular el procesamiento de los datos personales de los interesados de la UE/EEE en el desarrollo de modelos y sistemas de IA”, agregó la DPC, haciendo referencia a los esfuerzos en curso de la red de encargados de hacer cumplir el RGPD del bloque para alcanzar algún tipo de consenso sobre ¿Cuál es la mejor manera de aplicar la ley de privacidad en las herramientas GenAI?.
Google no respondió preguntas sobre las fuentes de datos utilizadas para entrenar sus herramientas GenAI, pero el portavoz Jay Stoll envió por correo electrónico una declaración en la que Google escribió: “Tomamos en serio nuestras obligaciones bajo el RGPD y trabajaremos de manera constructiva con el DPC para responder a sus preguntas”.
