X, la plataforma de redes sociales propiedad de Elon Musk, ha sido blanco de ataques Una serie de quejas sobre privacidad después de haberse apoderado de datos de usuarios de la Unión Europea para entrenar modelos de IA sin pedir consentimiento a las personas.

A finales del mes pasado, un Usuario de redes sociales con ojo de águila detectó una configuración que indicaba que X había comenzado silenciosamente a procesar los datos de las publicaciones de los usuarios regionales para entrenar a su chatbot Grok AI. La revelación provocó una expresión de «sorpresa» por parte de la Comisión de Protección de Datos de Irlanda (DPC), el organismo de control que supervisa el cumplimiento por parte de X del Reglamento General de Protección de Datos (GDPR) del bloque.

El RGPD, que puede sancionar las infracciones confirmadas con multas de hasta el 4% de la facturación anual global, exige que todo uso de datos personales tenga una base jurídica válida. Las nueve denuncias contra X, presentadas ante las autoridades de protección de datos de Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España, acusan a la empresa de no cumplir este requisito al procesar los mensajes de los europeos para entrenar a la IA sin obtener su consentimiento.

Al comentar en una declaración, Max Schrems, presidente de la organización sin fines de lucro de derechos de privacidad novato El portavoz de Twitter, que apoya las denuncias, ha declarado: “Hemos visto innumerables casos de aplicación ineficiente y parcial de la normativa por parte de la DPC en los últimos años. Queremos asegurarnos de que Twitter cumple plenamente la legislación de la UE, que, como mínimo, exige pedir el consentimiento de los usuarios en este caso”.

La DPC ya ha tomado algunas medidas sobre el procesamiento de datos por parte de X para el entrenamiento de modelos de IA, y ha iniciado acciones legales en el Tribunal Superior de Irlanda para solicitar una orden judicial que la obligue a dejar de usar los datos. Pero noyb sostiene que las acciones de la DPC hasta el momento son insuficientes y señala que los usuarios de X no tienen forma de conseguir que la empresa elimine los «datos ya ingeridos». En respuesta, noyb ha presentado denuncias en virtud del RGPD en Irlanda y otros siete países.

Las denuncias sostienen que X no tiene una base válida para utilizar los datos de unos 60 millones de personas en la UE para entrenar a las IA sin obtener su consentimiento. La plataforma parece basarse en una base legal conocida como «interés legítimo» para el procesamiento relacionado con la IA. Sin embargo, los expertos en privacidad dicen que necesita obtener el consentimiento de las personas.

“Las empresas que interactúan directamente con los usuarios simplemente necesitan mostrarles una pregunta de sí o no antes de usar sus datos. Lo hacen regularmente para muchas otras cosas, por lo que definitivamente también sería posible para el entrenamiento de IA”, sugirió Schrems.

En junio, Meta suspendió un plan similar para procesar datos de usuarios para entrenar IA después de que noyb respaldara algunas quejas sobre el RGPD y los reguladores intervinieran.

Pero el enfoque de X de ayudarse discretamente a sí mismo con datos de usuarios para entrenar a la IA sin siquiera notificar a la gente parece haberle permitido pasar desapercibido durante varias semanas.

Según el DPC, X estuvo procesando datos de europeos para el entrenamiento del modelo de IA entre el 7 de mayo y el 1 de agosto.

Los usuarios de X obtuvieron la posibilidad de optar por no participar en el procesamiento a través de una configuración agregada a la versión web de la plataforma, aparentemente a fines de julio. Pero no había forma de bloquear el procesamiento antes de eso. Y, por supuesto, es complicado optar por no participar en el uso de sus datos para el entrenamiento de IA si ni siquiera sabe que está sucediendo en primer lugar.

Esto es importante porque el RGPD tiene por objeto explícito proteger a los europeos de usos inesperados de su información que podrían tener consecuencias para sus derechos y libertades.

Al argumentar el caso contra la elección de base legal por parte de X, noyb señala una sentencia del máximo tribunal europeo del verano pasado (relacionada con una denuncia por competencia contra el uso por parte de Meta de datos de personas para la segmentación publicitaria) en la que los jueces dictaminaron que una base legal de interés legítimo no era válida para ese caso de uso y que se debía obtener el consentimiento del usuario.

Noyb también señala que los proveedores de sistemas de IA generativa suelen afirmar que no pueden cumplir con otros requisitos básicos del RGPD, como el derecho al olvido o el derecho a obtener una copia de los datos personales. Estas preocupaciones aparecen en otras quejas pendientes en relación con el RGPD contra ChatGPT de OpenAI.