A OpenAI está enfrentando outra reclamação de privacidade na União Europeia. Esta, que foi apresentada pela organização sem fins lucrativos de direitos de privacidade noyb em nome de um reclamante individual, visa a incapacidade de seu chatbot de IA ChatGPT corrigir informações incorretas que ele gera sobre indivíduos.
A tendência das ferramentas GenAI de produzir informações que são simplesmente erradas tem sido bem documentada. Mas também coloca a tecnologia em rota de colisão com o Regulamento Geral de Proteção de Dados (GDPR) da UE - que governa como os dados pessoais dos usuários regionais podem ser processados.
As penalidades por falhas de conformidade com o GDPR podem chegar a até 4% do faturamento global anual. Mais importante para um gigante de recursos como a OpenAI: os reguladores de proteção de dados podem ordenar mudanças na forma como as informações são processadas, então a aplicação do GDPR poderia remodelar como as ferramentas de IA generativa são capazes de operar na UE.
A OpenAI já foi forçada a fazer algumas mudanças após uma intervenção inicial da autoridade de proteção de dados da Itália, que brevemente forçou um desligamento local do ChatGPT em 2023.
Agora, a noyb está apresentando a última reclamação GDPR contra o ChatGPT com a autoridade de proteção de dados da Áustria em nome de um reclamante não identificado (descrito como uma "figura pública") que descobriu que o chatbot de IA produziu uma data de nascimento incorreta para eles.
De acordo com o GDPR, as pessoas na UE têm uma série de direitos relacionados às informações sobre elas, incluindo o direito de corrigir dados incorretos. A noyb alega que a OpenAI está falhando em cumprir essa obrigação em relação à saída de seu chatbot. Ela disse que a empresa se recusou a atender ao pedido do reclamante para corrigir a data de nascimento incorreta, respondendo que era tecnicamente impossível corrigir.
Em vez disso, ofereceu-se para filtrar ou bloquear os dados em certos prompts, como o nome do reclamante.
A política de privacidade da OpenAI afirma que os usuários que percebem que o chatbot de IA gerou "informações factualmente incorretas sobre você" podem enviar uma "solicitação de correção" por meio de privacy.openai.com ou enviando um e-mail para dsar@openai.com. No entanto, ela avisa que, devido à complexidade técnica de como nossos modelos funcionam, pode não ser capaz de corrigir a imprecisão em todos os casos.
Nesse caso, a OpenAI sugere que os usuários solicitem que ela remova completamente suas informações pessoais da saída do ChatGPT - preenchendo um formulário da web.
O problema para o gigante de IA é que os direitos do GDPR não são à la carte. As pessoas na Europa têm o direito de solicitar retificações. Também têm o direito de solicitar a exclusão de seus dados. Mas, como a noyb aponta, não cabe à OpenAI escolher quais desses direitos estão disponíveis.
Outros elementos da reclamação se concentram em preocupações de transparência do GDPR, com a noyb alegando que a OpenAI é incapaz de dizer de onde vêm os dados que gera sobre indivíduos, nem que dados o chatbot armazena sobre as pessoas.
Isso é importante porque, mais uma vez, o regulamento dá às pessoas o direito de solicitar essas informações por meio de um pedido de acesso do titular dos dados (SAR). Segundo a noyb, a OpenAI não respondeu adequadamente ao SAR do reclamante, deixando de divulgar qualquer informação sobre os dados processados, suas fontes ou destinatários.
Comentando sobre a reclamação em um comunicado, Maartje de Graaf, advogada de proteção de dados da noyb, disse: “Inventar informações falsas é bastante problemático por si só. Mas quando se trata de informações falsas sobre indivíduos, pode haver sérias consequências. É claro que as empresas atualmente não conseguem fazer com que chatbots como o ChatGPT cumpram a lei da UE, ao processar dados sobre indivíduos. Se um sistema não pode produzir resultados precisos e transparentes, não pode ser usado para gerar dados sobre indivíduos. A tecnologia tem que seguir os requisitos legais, não o contrário.”
A empresa disse que está pedindo à DPA austríaca que investigue a reclamação sobre o processamento de dados da OpenAI, bem como instando-a a impor uma multa para garantir a conformidade futura. Mas acrescentou que é "provável" que o caso seja tratado por meio de cooperação da UE.
A OpenAI está enfrentando uma reclamação muito semelhante na Polônia. Em setembro passado, a autoridade local de proteção de dados abriu uma investigação do ChatGPT seguindo a reclamação de um pesquisador de privacidade e segurança que também descobriu que não conseguia corrigir informações incorretas sobre ele pela OpenAI. Aquela reclamação também acusa o gigante de IA de não cumprir os requisitos de transparência do regulamento.
Enquanto isso, a autoridade de proteção de dados italiana ainda tem uma investigação em aberto sobre o ChatGPT. Em janeiro, ela produziu uma decisão preliminar, dizendo na época que acredita que a OpenAI violou o GDPR de várias maneiras, incluindo em relação à tendência do chatbot de produzir informações incorretas sobre as pessoas. As descobertas também dizem respeito a outros problemas cruciais, como a legalidade do processamento.
A autoridade italiana deu à OpenAI um mês para responder às suas descobertas. Uma decisão final ainda está pendente.
Agora, com outra reclamação GDPR disparada contra seu chatbot, o risco de a OpenAI enfrentar uma série de aplicações da GDPR em diferentes Estados-Membros aumentou.
No outono passado, a empresa abriu um escritório regional em Dublin - em uma manobra que aparentemente visa reduzir seu risco regulatório, direcionando reclamações de privacidade à Comissão de Proteção de Dados da Irlanda, graças a um mecanismo no GDPR que visa simplificar a supervisão de reclamações transfronteiriças direcionando-as a uma única autoridade do estado membro onde a empresa está “principalmente estabelecida”.
O ChatGPT está violando as leis de privacidade da Europa, diz a DPA italiana à OpenAI
A Polônia abre investigação de privacidade do ChatGPT após reclamação de GDPR