Италия обвинила OpenAI в нарушении законов ЕС о конфиденциальности
Итальянский орган по защите данных DPA после многомесячного расследования обвинил компанию в нарушении закона о конфиденциальности ЕС.
Итальянский орган по защите данных DPA после многомесячного расследования обвинил компанию в нарушении закона о конфиденциальности ЕС.
В прошлом году итальянский регулятор уже выражал обеспокоенность по поводу соблюдения OpenAI Общего регламента защиты данных (GDPR). Это привело к временной приостановке работы ChatGPT на европейском рынке. DPA подчеркнул, что до сих пор отсутствует подходящая правовая основа для сбора и обработки персональных данных с целью обучения алгоритмов чат-ботов.
OpenAI смогла быстро возобновить работу ChatGPT в Италии после того, как устранила ряд нарушений, указанных DPA. Тем не менее итальянские власти продолжили расследование и пришли к выводу, что чат-бот нарушает законодательство ЕС. Пока список нарушений не опубликован, но главной претензией может быть сам принцип обработки персональных данных для обучения ИИ-моделей.
Для обучения ChatGPT извлекает массу данных из общедоступного интернета, в том числе персональные данные пользователей. Но для обработки данных граждан ЕС требуется правовая основа, которая указана в GDPR. Шесть возможных правовых оснований для сбора данных не имеют отношения к работе ИИ-систем.
Единственное основание, на которое может рассчитывать OpenAI, — это «законные интересы» сборщика данных. Но в таком случае владелец данных имеет право выдвигать возражения и требовать прекращения обработки своей персональной информации. Теоретически каждый житель ЕС может потребовать изъять и уничтожить свои данные, собранные моделью.
Юристы полагают, что в итоге компания не сможет воспользоваться этим правовым основанием, поскольку его будет сложно доказать. Ранее Верховный суд ЕС признал «законные интересы» неподходящим основанием для Meta при отслеживании и профилировании пользователей в целях таргетирования рекламы в соцсетях.
OpenAI планирует снизить регуляторные риски, открыв отдельную организацию в Ирландии, которая должна стать поставщиком услуг компании в ЕС. Таким образом филиал получит оценку соответствия требованиям GDPR от ирландской комиссии по защите данных и будет действовать через механизм «единого окна» регулирования, избежав надзора со стороны органов каждой станы-члена ЕС.
Тем не менее создание филиала не прекратит уже открытые расследования против компании. Недавно подобное дело открыл орган по защите данных в Польше. Также итальянский DPA сообщил, что европейские регуляторы создали рабочую группу при Европейском совете по защите данных, чтобы координировать надзор за ChatGPT.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
Как они себе это вообще представляют?