Semana complicada para una de las tecnológicas más grandes del planeta. La justicia europea confirmó el pasado martes que Google no podrá evitar una multa de 2.400 millones de euros impuesta hace más de cinco años en un caso de abuso de posición dominante. Ahora, la Comisión de Protección de datos de Irlanda (CPD), organismo encargado de garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD), ha iniciado una investigación sobre el gigante del buscador.
La CDP quiere saber si Google debería haber llevado a cabo una evaluación de impacto de protección de datos (DPIA) antes de iniciar el tratamiento de los datos personales de los usuarios de la Unión Europea asociados al desarrollo del modelo de inteligencia artificial PaLM 2. Este modelo, recordemos, fue lanzado en mayo de 2023 para impulsar el desaparecido asistente Bard y así competir contra ChatGPT. Más tarde, sin embargo, fue superado por la familia de modelos Gemini.
Google no hizo una evaluación de impacto. Y ahora…
El artículo 35 del RGPD establece que las compañías deben realizar una evaluación de impacto de protección de datos cuando sus actividades con los datos puedan suponer un riego alto para los derechos y las libertades de las personas. La CDP señala que este tipo de medida permite identificar y mitigar riesgos de protección de datos. De momento, Google no ha llevado a cabo evaluación alguna relacionada a PaLM 2, por lo que el organismo irlandés quiere saber si debería haberlo hecho.
Como muchos de vosotros ya sabéis, el entrenamiento de los modelos de IA suele requerir una ingente cantidad de datos. El origen de estos datos es un tema de debate. Las compañías no suelen brindar muchos detalles al respecto. Sabemos que PaLM 2 ha sido entrenado con un corpus compuesto por millones de líneas de texto de páginas web, libros, código, matemáticas y datos conversacionales. En todo esto, presumiblemente, hay datos de residentes de la Unión Europea.
Tendremos que esperar para conocer los hallazgos de la investigación de la CPD. Cabe señalar, eso sí, que este organismo puede imponer multas de hasta el 4% de la facturación global anual a las compañías que incumplan el RGPD. También es preciso añadir que aunque una infracción esté confirmada, los procesos suelen derivar en múltiples procesos de apelación. Por lo pronto, señala Financial Times, Google se ha dicho que responderá a todas las preguntas de las autoridades.
Si bien el Comité Europeo de Protección de Datos (CEPD) está compuesto por una veintena de miembros como la Agencia Española de Protección de Datos (AEPD), cualquier movimiento de la Comisión de Protección de datos de Irlanda (CPD) es importante por varios motivos. En primer lugar, la sede europea de Google se encuentra en Irlanda. En segundo lugar, la CPD trabaja en conjunto con sus pares para regular el procesamiento de los datos personales de la UE en general.
Imagen | Guillaume Périgois | Brett Jordan | Christian Lue
En Xataka | Ya basta de fotocopiar nuestro DNI en todas partes: así pide la AEPD poner fin a esta innecesaria práctica