X, la plataforma de redes sociales propiedad de Elon Musk, ha sido objeto de una serie de denuncias por violación de la privacidad después de que se sirviera de los datos de usuarios de la Unión Europea para entrenar modelos de inteligencia artificial sin pedir su consentimiento.
A finales del mes pasado, un usuario avispado de las redes sociales descubrió una configuración que indicaba que X había empezado a procesar discretamente los datos de las publicaciones de usuarios regionales para entrenar su chatbot Grok AI. La revelación dio lugar a una expresión de «sorpresa» por parte de la Comisión de Protección de Datos de Irlanda (DPC), el organismo de control que dirige la supervisión del cumplimiento por parte de X del Reglamento General de Protección de Datos (RGPD) del bloque.
El GDPR, que puede sancionar las infracciones confirmadas con multas de hasta el 4% de la facturación anual global, exige que todos los usos de los datos personales tengan una base jurídica válida. Las nueve denuncias contra X, presentadas ante las autoridades de protección de datos de Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España, la acusan de incumplir este paso al procesar los puestos de los europeos para entrenar IA sin obtener su consentimiento.
En una declaración, Max Schrems, presidente de la organización sin ánimo de lucro Noyb, que apoya las denuncias, afirmó: «Hemos visto innumerables casos de aplicación ineficaz y parcial por parte del CPD en los últimos años. Queremos asegurarnos de que Twitter cumple plenamente la legislación de la UE que, como mínimo, exige pedir el consentimiento de los usuarios en este caso».
El Departamento de Protección de Datos ya ha tomado algunas medidas en relación con el tratamiento de datos por parte de X para el entrenamiento de modelos de inteligencia artificial, y ha interpuesto una demanda ante el Tribunal Supremo irlandés para que se le obligue a dejar de utilizar los datos. Pero noyb sostiene que las acciones del CPD hasta ahora son insuficientes, señalando que no hay forma de que los usuarios de X consigan que la empresa elimine «datos ya ingeridos». En respuesta, noyb ha presentado denuncias GDPR en Irlanda y otros siete países.
Las reclamaciones sostienen que X no tiene una base válida para utilizar los datos de unos 60 millones de personas en la UE para entrenar IAs sin obtener su consentimiento. La plataforma parece basarse en un fundamento jurídico conocido como «interés legítimo» para el tratamiento relacionado con la IA. Sin embargo, los expertos en privacidad afirman que debe obtener el consentimiento de los usuarios.
«Las empresas que interactúan directamente con los usuarios solo tienen que mostrarles una pregunta de sí/no antes de utilizar sus datos. Lo hacen regularmente para muchas otras cosas, así que sin duda también sería posible para el entrenamiento de IA», sugirió Schrems.
En junio, Meta puso en pausa un plan similar de procesar datos de usuarios para entrenar IA después de que noyb respaldara algunas quejas sobre GDPR y los reguladores intervinieran.
Pero el planteamiento de X de servirse discretamente de los datos de los usuarios para el entrenamiento de IA sin ni siquiera notificarlo a la gente parece haberle permitido volar bajo el radar durante varias semanas.
Según el CPD, X estuvo procesando datos de europeos para el entrenamiento de modelos de IA entre el 7 de mayo y el 1 de agosto.
Los usuarios de X pudieron optar por no participar en el procesamiento gracias a una opción añadida a la versión web de la plataforma, al parecer a finales de julio. Pero antes no había forma de bloquear el procesamiento. Y, por supuesto, es difícil negarse a que tus datos se utilicen para el entrenamiento de inteligencia artificial si ni siquiera sabes que se está haciendo.
Esto es importante porque el GDPR pretende explícitamente proteger a los europeos de usos inesperados de su información que podrían tener ramificaciones en sus derechos y libertades.
Para argumentar en contra de la base jurídica elegida por X, noyb se remite a una sentencia dictada el pasado verano por el máximo tribunal europeo, relativa a una demanda de competencia contra Meta por el uso de datos personales para la segmentación publicitaria, en la que los jueces dictaminaron que una base jurídica de interés legítimo no era válida para ese caso de uso y que debía obtenerse el consentimiento del usuario.
Noyb también señala que los proveedores de sistemas de IA generativa suelen alegar que no pueden cumplir otros requisitos básicos del RGPD, como el derecho al olvido o el derecho a obtener una copia de los datos personales. Estas preocupaciones figuran en otras denuncias pendientes contra ChatGPT de OpenAI.