Dois dias depois de uma carta aberta pedir uma moratória no desenvolvimento de modelos de IA generativos mais poderosos para que os reguladores possam alcançar os gostos do ChatGPT, a autoridade de proteção de dados da Itália acaba de fazer um lembrete oportuno de que alguns países têm leis que já se aplicam para IA de ponta: ordenou que a OpenAI parasse de processar os dados das pessoas localmente, com efeito, imediato. Especificamente, o Garante disse que emitiu a ordem para bloquear o ChatGPT por preocupações de que a OpenAI tenha processado ilegalmente os dados das pessoas, bem como pela falta de qualquer sistema para impedir que menores acessem a tecnologia.
É importante notar que, como a OpenAI não possui uma entidade legal estabelecida na UE, qualquer autoridade de proteção de dados está habilitada a intervir, sob o GDPR, se perceber riscos para os usuários locais. E é claro que o grande modelo de linguagem do OpenAI tem processado esse tipo de informação, pois pode, por exemplo, produzir biografias de indivíduos nomeados na região sob demanda (nós sabemos; nós tentamos isso). Embora a OpenAI tenha se recusado a fornecer detalhes dos dados de treinamento usados para a última iteração da tecnologia, ChatGPT-4, ela revelou que modelos anteriores foram treinados com dados extraídos da Internet, incluindo fóruns como o Reddit.
Isso potencialmente aumenta as preocupações com o GDPR, uma vez que o regulamento fornece aos europeus um conjunto de direitos sobre seus dados, incluindo o direito de retificação de erros. Não está claro como/se as pessoas podem pedir ao OpenAI para corrigir pronunciamentos errôneos sobre eles gerados pelo bot, por exemplo. A declaração do Garante também destaca uma violação de dados que o serviço sofreu no início deste mês, quando o OpenAI admitiu que um recurso de histórico de conversas estava vazando os bate-papos dos usuários e disse que pode ter exposto às informações de pagamento de alguns usuários.
As violações de dados são outra área regulada pelo GDPR com foco em garantir que as entidades que processam dados pessoais estejam protegendo adequadamente as informações. Abrangendo tudo isso está a grande (mais) questão de qual base legal a OpenAI se baseou para processar os dados dos europeus em primeiro lugar. O GDPR permite várias possibilidades – do consentimento ao interesse público – mas a escala de processamento para treinar esses grandes modelos de linguagem complica a questão da legalidade. Como refere o Garante (apontando para a “recolha e armazenamento em massa de dados pessoais”), sendo a minimização de dados outro grande foco do regulamento, que também contém princípios que exigem transparência e equidade.
No entanto, pelo menos, a (agora) empresa com fins lucrativos por trás do ChatGPT não parece ter informado as pessoas cujos dados ela reaproveitou para treinar suas IAs comerciais. Se a OpenAI tiver processado os dados dos europeus ilegalmente, os DPAs em todo o bloco podem ordenar que os dados sejam excluídos, embora isso forçaria a empresa a treinar novamente modelos treinados com dados obtidos ilegalmente é uma questão em aberto, já que uma lei existente lida com tecnologia de ponta.
“[O] Garantidor da Privacidade constata a falta de informação aos utilizadores e a todos os interessados cujos dados são recolhidos pela OpenAI, mas sobretudo a ausência de uma base legal que justifique a recolha e armazenamento em massa de dados pessoais, para efeitos de ‘treinamento’ os algoritmos subjacentes à operação da plataforma”
escreveu a DPA em seu comunicado hoje [que traduzimos do italiano usando IA].
A autoridade acrescentou que está preocupada com o risco de dados de menores serem processados pela OpenAI, uma vez que a empresa não está impedindo ativamente que menores de 13 anos se inscrevam para usar o chatbot, como por meio da aplicação de tecnologia de verificação de idade. Os riscos aos dados das crianças são uma área em que o regulador tem sido muito ativo, ordenando recentemente uma proibição semelhante do chatbot de IA de amizade virtual, Replika , por questões de segurança infantil.
Mas, embora os tribunais europeus tenham estabelecido o direito de os indivíduos solicitarem que os mecanismos de pesquisa removam informações imprecisas ou desatualizadas sobre eles (comparado com um teste de interesse público), o processamento de dados pessoais do Google nesse contexto (pesquisa na Internet) não foi derrubado pelos reguladores da UE sobre a legalidade do ponto de processamento, aparentemente sob a alegação de que estava prestando um serviço público.
“Modelos de linguagem grandes não oferecem esses remédios e não está totalmente claro se eles poderiam, ou quais seriam as consequências”
acrescentou Edwards , sugerindo que o retreinamento forçado de modelos pode ser uma correção potencial.
Fonte/Crédito: Tech Crunch
