Italia bloquea ChatGPT por dudas sobre privacidad y menores
La autoridad italiana de protección de datos ha ordenado limitar temporalmente ChatGPT en el país. Cuestiona la base legal para usar datos personales y la falta de una verificación efectiva de edad.
La autoridad italiana de protección de datos ha ordenado este viernes el bloqueo temporal de ChatGPT para los usuarios situados en Italia. El organismo, conocido como Garante, cuestiona que OpenAI tenga una base legal suficiente para recopilar y utilizar datos personales con los que entrena su sistema, y señala riesgos específicos para los menores.
La decisión convierte a Italia en el primer país occidental que suspende de forma directa el acceso a ChatGPT por motivos de protección de datos. No es un debate teórico: afecta a una herramienta que, desde su lanzamiento en noviembre, ha llevado la inteligencia artificial generativa a millones de personas y a miles de empresas.
Qué reprocha Italia a OpenAI
La orden del Garante limita con efecto inmediato el tratamiento de datos de usuarios italianos por parte de OpenAI. La autoridad investiga una posible infracción del Reglamento General de Protección de Datos (RGPD), la norma europea que exige informar con claridad para qué se recogen los datos personales y contar con una justificación legal para utilizarlos.
El regulador identifica tres problemas principales. El primero es la información ofrecida a quienes usan ChatGPT y a las personas cuyos datos pueden haber acabado en los materiales con que se entrenan modelos como GPT.
El segundo es la base legal del entrenamiento. Los grandes modelos de lenguaje aprenden patrones al procesar enormes cantidades de texto. Esa capacidad permite redactar, resumir, programar o mantener una conversación, pero abre una pregunta difícil: qué ocurre cuando entre esos textos hay datos personales publicados en internet o introducidos por los propios usuarios.
El tercero es la edad. ChatGPT permite registrarse a partir de los 13 años, pero el Garante considera que no dispone de una verificación efectiva de esa edad. Para el organismo, eso puede exponer a niños a respuestas que no son adecuadas para su grado de desarrollo.
El fallo de seguridad reciente agrava el caso
La intervención llega pocos días después de que OpenAI desconectara ChatGPT temporalmente por un error en una biblioteca de código abierto. La compañía explicó que el fallo podía haber mostrado a algunos usuarios los títulos de conversaciones ajenas.
OpenAI también reconoció que, durante una ventana de nueve horas del 20 de marzo, algunos suscriptores de ChatGPT Plus pudieron ver datos relacionados con pagos de otros clientes. Entre ellos figuraban el nombre, la dirección de correo electrónico, la dirección de facturación, sus cuatro últimos dígitos y su fecha de caducidad. La empresa sostuvo que el número de afectados fue reducido y contactó con quienes podían haber estado expuestos.
El incidente no es el único motivo de la orden italiana, pero da contexto a la preocupación del regulador. ChatGPT no funciona como un buscador convencional: los usuarios suelen pegar documentos, consultas laborales, fragmentos de código o información personal para obtener ayuda. Eso convierte la política de conservación y uso de las conversaciones en una cuestión práctica para particulares y empresas.
OpenAI tiene 20 días para responder
El Garante ha dado a OpenAI 20 días para comunicar qué medidas tomará ante sus objeciones. Si no ofrece una respuesta satisfactoria, la autoridad puede imponer una multa de hasta 20 millones de euros o del 4% de la facturación global anual de la empresa, la cantidad que resulte mayor conforme al RGPD.
OpenAI ha afirmado que cumple las leyes de privacidad aplicables y que trabaja para reducir la cantidad de datos personales usados al entrenar sus sistemas. La compañía ha defendido además que ChatGPT ayuda a personas de múltiples países y que busca colaborar con los reguladores.
Un aviso para el despliegue europeo de la IA generativa
La decisión italiana no resuelve todavía si entrenar un modelo de lenguaje con información disponible en internet es compatible con la normativa europea. Esa cuestión seguirá previsiblemente en manos de reguladores, tribunales y legisladores. Pero sí anticipa el tipo de exigencias que afrontarán los servicios de IA generativa en Europa: explicar mejor sus datos, limitar los usos de información personal y proteger de forma real a los menores.
Para las empresas, el episodio es una llamada de atención. Introducir información sensible en un asistente externo puede crear obligaciones de privacidad incluso cuando la herramienta acelera tareas cotidianas. La innovación no elimina esas responsabilidades: las hace más urgentes cuando una aplicación alcanza millones de usuarios en pocos meses.