La autoridad italiana de protección de datos (Garante per la Protezione dei Dati Personali, “Garante”) acaba de imponer una sanción de 5 millones de euros a Luka Inc., la empresa desarrolladora del chatbot conversacional de inteligencia artificial (IA) Replika, por diversas infracciones del Reglamento General de Protección de Datos (RGPD). Esta multa viene tras otras acciones similares del Garante contra empresas de IA como OpenAI, al que sometió también a una suspensión temporal del servicio y refleja una creciente preocupación por el cumplimiento de la protección de datos en sistemas de IA generativa.

El caso Replika

Replika es un chatbot conversacional desarrollado por la empresa americana Luka Inc., diseñado para interactuar con los usuarios como un "compañero emocional", ofreciendo funciones, nada menos, que de amigo, terapeuta o mentor. Replika utiliza IA para mantener conversaciones personalizadas, con el objetivo, según indican, de mejorar el bienestar emocional de los usuarios. En febrero de 2023, el Garante italiano ordenó la suspensión temporal de Replika en Italia, alegando riesgos específicos para menores de edad y la falta de mecanismos adecuados de verificación de edad. La investigación posterior reveló que Replika trataba datos personales sin una base de legitimación válida y sin implementar medidas efectivas para proteger a los usuarios más vulnerables.

Elementos jurídicos de la sanción

La sanción de 5 millones de euros impuesta a Luka Inc. se basa en distintas  infracciones de varios preceptos del RGPD, entre los cuales:

  • Falta de base de legitimación para el tratamiento de datos: Replika trataba datos personales sin una base jurídica adecuada como serían consentimiento explícito del usuario o la ejecución de un contrato válido.
  • Ausencia de mecanismos de verificación de edad: la aplicación no implementaba sistemas efectivos para verificar la edad de los usuarios, lo que permitía el acceso de menores a contenidos potencialmente inapropiados para su edad.
  • Tratamiento de datos de categorías especiales (sensibles) sin cumplir la ley y los requisitos específicos: dado que Replika podía recopilar información sobre la salud mental y emocional de los usuarios, se requerían medidas adicionales para proteger estos datos sensibles, las cuales no se implementaron adecuadamente.
  • Incumplimiento del principio de transparencia: la empresa no proporcionaba información clara y accesible sobre cómo se recopilaban, utilizaban y almacenaban los datos personales de los usuarios.

Estas infracciones contravienen varios artículos del RGPD que establecen principios fundamentales  y obligaciones para el tratamiento de datos personales y la protección de los derechos de los interesados.

Implicaciones de este precedente

La sanción impuesta a Luka Inc. tiene varias implicaciones legales, de lectura obligada para desarrolladores y responsables del despliegue de chatbots. Por un lado, la necesaria protección de menores y personas vulnerables. La falta de mecanismos de verificación de edad y la posibilidad de que menores accedieran a contenidos inadecuados para la edad resaltan la necesidad de implementar medidas técnicas específicas para proteger a estos usuarios. Por otro lado, la responsabilidad de las empresas desarrolladoras de chatbots /IAs. Estas deben garantizar el cumplimiento, no solo del Reglamento IA (AI Act) sino, quizá más importante aún, de las normativas de protección de datos, donde tenemos autoridades y agencias de supervisión ya muy avezados a investigaciones y procedimientos sancionadores. Ya no sólo recomendar cumplir con los principios, requisitos y obligaciones materiales del RGPD; se aconseja, además, implementar los conocidos enfoques de "privacidad desde el diseño" y “privacidad por defecto” para proteger los derechos de los usuarios.

En cuanto al consentimiento de los usuarios, son necesarias informaciones completas, precisas y exhaustivas para cumplir con el requisito del consentimiento libre e informado y este, para estas finalidades, ha de constar explícitamente y la empresa ha de poder acreditarlo. Finalmente, esta sanción puede establecer un precedente importante en la supervisión de sistemas de IA generativa, indicativo en todo caso de que las autoridades de protección de datos están dispuestas a tomar medidas severas contra las empresas que no cumplan con la legislación aplicable, entre otros.

Tips para evitar sanciones similares

La sanción de 5 millones de euros impuesta por el Garante italiano subraya la importancia de cumplir con la normativa de protección de datos (y cualquier otra aplicable al caso de uso y la finalidad concreta de la IA) en el desarrollo y despliegue de aplicaciones de IA. Recomendamos a las empresas que adopten un enfoque proactivo para garantizar la privacidad y la seguridad de los usuarios, especialmente cuando se trata de aplicaciones con este tipo de usos tan críticos.

Recomendaciones prácticas

Como requisitos básicos, de mínimos, recomendamos:

  • Implementar mecanismos efectivos de verificación de edad y garantizar que los menores no puedan acceder a contenidos inapropiados.
  • Proporcionar información clara y accesible (comprensible) sobre cómo se recaban, utilizan y almacenan los datos.
  • Obtener el consentimiento explícito de los usuarios y asegurarse de que los usuarios comprendan y acepten cómo se utilizarán sus datos personales.