Protege tu Privacidad: X Acusada de Usar Datos para Entrenar IA

X, la plataforma de redes sociales propiedad de Elon Musk, ha sido objeto de una serie de quejas sobre privacidad después de que utilizó los datos de los usuarios en la Unión Europea para entrenar modelos de inteligencia artificial sin pedir el consentimiento de las personas.

A finales del mes pasado, un usuario atento de redes sociales descubrió una configuración que indicaba que X había comenzado silenciosamente a procesar los datos de las publicaciones de los usuarios de la región para entrenar su chatbot Grok AI. Esta revelación causó “sorpresa” en la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés), la entidad que supervisa el cumplimiento de X con el Reglamento General de Protección de Datos (GDPR) de la UE.

El GDPR, que puede sancionar las infracciones confirmadas con multas de hasta el 4% de la facturación global anual, requiere que todos los usos de datos personales tengan una base legal válida. Las nueve quejas contra X, que se han presentado ante las autoridades de protección de datos en Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España, lo acusan de no cumplir este requisito al procesar las publicaciones de los europeos para entrenar la IA sin obtener su consentimiento.

Max Schrems, presidente de la organización sin fines de lucro noyb, que apoya las quejas, comentó en una declaración: “Hemos visto innumerables casos de aplicación ineficiente y parcial por parte de la DPC en los últimos años. Queremos asegurarnos de que Twitter cumpla completamente con la ley de la UE, la cual —como mínimo— requiere pedir el consentimiento de los usuarios en este caso”.

La DPC ya ha tomado algunas medidas sobre el procesamiento de datos por parte de X para el entrenamiento de modelos de IA, iniciando acciones legales en la Corte Suprema de Irlanda para buscar una orden que obligue a detener el uso de los datos. Pero noyb argumenta que las acciones de la DPC hasta ahora son insuficientes, señalando que no hay forma de que los usuarios de X logren que la empresa elimine los “datos ya ingeridos”. En respuesta, noyb ha presentado quejas bajo el GDPR en Irlanda y en otros siete países.

Las quejas sostienen que X no tiene una base válida para usar los datos de unos 60 millones de personas en la UE para entrenar IAs sin obtener su consentimiento. La plataforma parece estar basándose en una base legal conocida como “interés legítimo” para el procesamiento relacionado con la IA. Sin embargo, los expertos en privacidad dicen que es necesario obtener el consentimiento de las personas.

“Las empresas que interactúan directamente con los usuarios simplemente necesitan mostrarles un aviso de sí/no antes de usar sus datos. Hacen esto regularmente para muchas otras cosas, por lo que definitivamente sería posible hacerlo para el entrenamiento de IA también”, sugirió Schrems.

En junio, Meta pausó un plan similar para procesar datos de usuarios para entrenar IAs después de que noyb respaldara algunas quejas bajo el GDPR y los reguladores intervinieran.

Pero el enfoque de X de utilizar discretamente los datos de los usuarios para entrenar IAs sin siquiera notificar a las personas parece haberle permitido pasar desapercibido durante varias semanas.

Según la DPC, X estuvo procesando datos de europeos para el entrenamiento de modelos de IA entre el 7 de mayo y el 1 de agosto.

Los usuarios de X pudieron optar por no participar en el procesamiento a través de una configuración añadida a la versión web de la plataforma —aparentemente a finales de julio. Pero no había forma de bloquear el procesamiento antes de eso. Y, por supuesto, es difícil optar por no participar si ni siquiera sabes que está sucediendo.

Esto es importante porque el GDPR está explícitamente diseñado para proteger a los europeos de usos inesperados de su información que podrían tener repercusiones en sus derechos y libertades.

En su argumentación contra la elección de la base legal por parte de X, noyb señala un fallo del tribunal más alto de Europa el verano pasado —relacionado con una queja sobre la competencia contra el uso de los datos de las personas por parte de Meta para la segmentación publicitaria— donde los jueces dictaminaron que una base legal de interés legítimo no era válida para ese caso y que se debía obtener el consentimiento del usuario.

noyb también señala que los proveedores de sistemas de IA generativa suelen afirmar que no pueden cumplir con otros requisitos centrales del GDPR, como el derecho al olvido o el derecho a obtener una copia de sus datos personales. Estas preocupaciones también aparecen en otras quejas pendientes bajo el GDPR contra ChatGPT de OpenAI.

Vía | Elon Musk’s X targeted with nine privacy complaints after grabbing EU users’ data for training Grok | TechCrunch