L'autoritat italiana de protecció de dades (Garant per la Protezione dei Dati Personali, "Garant") acaba d'imposar una sanció de 5 milions d'euros a Luka Inc., l'empresa desenvolupadora del xatbot conversacional d'intel·ligència artificial (IA) Replika, per diverses infraccions del Reglament General de Protecció de Dades (RGPD). Aquesta multa ve després d'altres accions similars del Garant contra empreses d'IA com OpenAI, que va sotmetre també a una suspensió temporal del servei i reflecteix una creixent preocupació pel compliment de la protecció de dades en sistemes d'IA generativa.

El cas Replika

Replika és un xatbot conversacional desenvolupat per l'empresa americana Luka Inc., dissenyat per interactuar amb els usuaris com un "company emocional", oferint funcions, res menys, que d'amic, terapeuta o mentor. Replika utilitza IA per mantenir converses personalitzades, amb l'objectiu, segons indiquen, en cas de millorar el benestar emocional dels usuaris. El febrer de 2023, el Garant italià va ordenar la suspensió temporal de Replika a Itàlia, al·legant riscos específics per a menors d'edat i la falta de mecanismes adequats de verificació d'edat. La investigació posterior va revelar que Replika tractava dades personals sense una base de legitimació vàlida i sense implementar mesures efectives per protegir els usuaris més vulnerables.

Elements jurídics de la sanció

La sanció de 5 milions d'euros imposada a Luka Inc. es basa en diferents infraccions de diversos preceptes del RGPD, entre els quals:

  • Falta de base de legitimació per al tractament de dades: Replika tractava dades personals sense una base jurídica adequada com serien consentiment explícit de l'usuari o l'execució d'un contracte vàlid.
  • Absència de mecanismes de verificació d'edat: l'aplicació no implementava sistemes efectius per verificar l'edat dels usuaris, la qual cosa permetia l'accés de menors a continguts potencialment inapropiats per a la seva edat.
  • Tractament de dades de categories especials (sensibles) sense complir la llei i els requisits específics: atès que Replika podia recopilar informació sobre la salut mental i emocional dels usuaris, es requerien mesures addicionals per protegir aquestes dades crítiques, les quals no es van implementar adequadament.
  • Incompliment del principi de transparència: l'empresa no proporcionava informació clara i accessible sobre com es recopilaven, utilitzaven i emmagatzemaven les dades personals dels usuaris.

Aquestes infraccions contravenen diversos articles del RGPD que estableixen principis fonamentals i obligacions per al tractament de dades personals i la protecció dels drets dels interessats.

Implicacions d'aquest precedent

La sanció imposada a Luka Inc. té diverses implicacions legals, de lectura obligada per a desenvolupadors i responsables del desplegament de xatbots. D'una banda, la necessària protecció de menors i persones vulnerables. La falta de mecanismes de verificació d'edat i la possibilitat que menors accedissin a continguts inadequats per a l'edat ressalten la necessitat d'implementar mesures tècniques específiques per protegir aquests usuaris. D'altra banda, la responsabilitat de les empreses desenvolupadores de xatbots /IAs. Aquestes han de garantir el compliment, no només del Reglament IA (AI Act) sinó, potser més important encara, de les normatives de protecció de dades, on tenim autoritats i agències de supervisió ja molt avesades a investigacions i procediments sancionadors. Ja no només recomanar complir els principis, requisits i obligacions materials del RGPD; s'aconsella, a més, implementar els coneguts enfocaments de "privacitat des del disseny" i "privacitat per defecte" per protegir els drets dels usuaris.

Quant al consentiment dels usuaris, són necessàries informacions completes, precises i exhaustives per complir el requisit del consentiment lliure i informat i aquest, per a aquestes finalitats, ha de constar explícitament i l'empresa ha de poder acreditar-lo. Finalment, aquesta sanció pot establir un precedent important en la supervisió de sistemes d'IA generativa, indicatiu en tot cas que les autoritats de protecció de dades són disposades a prendre mesures severes contra les empreses que no compleixin la legislació aplicable, entre d'altres.

Tips per evitar sancions similars

La sanció de 5 milions d'euros imposada pel Garant italià subratlla la importància de complir la normativa de protecció de dades (i qualsevol altra d'aplicable al cas d'ús i la finalitat concreta de la IA) en el desenvolupament i desplegament d'aplicacions d'IA. Recomanem a les empreses que adoptin un enfocament proactiu per garantir la privacitat i la seguretat dels usuaris, especialment quan es tracta d'aplicacions amb aquest tipus d'usos tan crítics.

Recomanacions pràctiques

Com a requisits bàsics, de mínims, recomanem:

  • Implementar mecanismes efectius de verificació d'edat i garantir que els menors no puguin accedir a continguts inapropiats.
  • Proporcionar informació clara i accessible (comprensible) sobre com s'obtenen, utilitzen i emmagatzemen les dades.
  • Obtenir el consentiment explícit dels usuaris i assegurar-se que els usuaris comprenguin i acceptin com s'utilitzaran les seves dades personals.