La Autoridad Italiana de Protección de Datos (en adelante, “GPDP”, por sus siglas en italiano), ha impuesto una sanción de 5.000.000 € a una empresa que explota un chatbot basado en Inteligencia Artificial Generativa (en adelante, “IAG”), por incumplir en varios de sus extremos el Reglamento General de Protección de Datos (en adelante, “RGPD”). En particular, el GPDP ha considerado que el chatbot vulneraba varios de los principios del RGPD, así como la protección de menores.
La resolución del GPDP explica cómo:
- El chatbot basado en IAG ofrecía respuestas automatizadas a los usuarios sin asegurar medidas adecuadas de cumplimiento del RGPD. La política de privacidad era confusa, solo estaba disponible en inglés, y no informaba con claridad si los datos proporcionados por las personas usuarias se usaban para entrenar el modelo.
- El sistema no aplicaba medidas efectivas para evitar el uso por parte de menores, ni mecanismos de verificación de edad. Además, el diseño de la herramienta permitía recoger más datos de los estrictamente necesarios para prestar el servicio.
- El consentimiento otorgado por las personas usuarias no reunía los requisitos necesarios, y, además, no se detallaba con suficiencia la finalidad del tratamiento (especialmente en lo relativo al entrenamiento del modelo de IA).
Por todo lo anterior, la autoridad de protección de datos impone a la empresa infractora una multa de 5.000.000 €, además de advertir que se abre una investigación paralela para valorar la licitud del entrenamiento de modelos de IA con datos personales, conforme al RGPD y en el futuro bajo el marco del Reglamento Europeo de Inteligencia Artificial (RIA).
