Italia bloquea ChatGPT por GDPR: el primer roce serio entre IA generativa y regulación
A finales de marzo, el Garante per la Protezione dei Dati Personali, la autoridad italiana de protección de datos, ordenó la suspensión inmediata del tratamiento de datos personales por parte de ChatGPT en Italia. OpenAI tuvo que cortar el servicio para usuarios italianos en cuestión de días. A finales de abril, después de implementar varios cambios exigidos por la autoridad, el servicio volvió a estar disponible.
El episodio parece anecdótico visto desde México, pero no lo es. Es la primera vez que una autoridad europea de datos toma acción concreta contra un producto de IA generativa, y marca el ritmo que el resto de Europa, y eventualmente otros bloques, va a seguir. Para empresas mexicanas que ofrecen servicios de IA a clientes europeos, o que procesan datos de residentes europeos, vale la pena entender exactamente qué pasó y qué se viene.
Qué objetó el Garante exactamente
La orden italiana no fue caprichosa. Identificó cuatro problemas concretos con la operación de ChatGPT bajo el Reglamento General de Protección de Datos.
- Falta de base legal para el procesamiento. OpenAI estaba usando datos personales de millones de europeos para entrenar el modelo sin haber identificado claramente qué base legal del artículo 6 del GDPR cubría ese tratamiento.
- Ausencia de mecanismos de verificación de edad. ChatGPT estaba accesible a menores de edad sin filtros, lo que choca con el régimen específico de protección a menores en GDPR.
- Inexactitud en la información sobre personas. El modelo generaba afirmaciones falsas sobre personas reales sin posibilidad de corrección, en aparente conflicto con el principio de exactitud y el derecho de rectificación.
- Falta de transparencia. Los usuarios no recibían información clara sobre cómo se usaban sus interacciones para entrenar futuras versiones del modelo.
OpenAI respondió con varios ajustes: política de privacidad más explícita, formulario para que ciudadanos europeos soliciten exclusión de datos del entrenamiento, verificación de edad más robusta, y un mecanismo público para reportar inexactitudes. Con eso, el Garante levantó la suspensión.
Por qué esto importa fuera de Italia
El caso italiano no es un evento aislado. En las semanas siguientes, autoridades de Francia, España, Alemania e Irlanda abrieron investigaciones propias. El Comité Europeo de Protección de Datos formó un grupo de trabajo dedicado a ChatGPT. Y la Unión Europea aceleró el debate del AI Act, que probablemente entre en vigor en 2024 y que definirá un marco específico para sistemas de IA según su nivel de riesgo.
La señal regulatoria es clara: la posición de "primero lanzamos, después vemos cómo se regula" ya no es viable cuando se procesan datos personales de europeos. Y en una economía donde muchas empresas medianas mexicanas exportan servicios SaaS o procesos a clientes en la UE, esto deja de ser un problema lejano.
Qué revisar si tu empresa toca datos europeos
Si tu organización ofrece un producto que usa IA generativa y tiene clientes o usuarios en la UE, hay un conjunto de revisiones mínimas que vale la pena hacer este trimestre.
Base legal documentada. Para cada flujo de datos personales que pasa por un modelo de IA (propio o de terceros), tener escrito qué base legal del artículo 6 estás invocando: consentimiento, ejecución de contrato, interés legítimo. No basta con decir "interés legítimo"; hay que tener la evaluación de balance hecha y documentada.
Transparencia hacia el usuario final. Tu política de privacidad debe explicar, en lenguaje claro, qué datos se procesan con IA, con qué propósito, si se usan para entrenar modelos, y qué proveedores externos están involucrados.
Mecanismos para ejercer derechos. Acceso, rectificación, supresión, oposición y portabilidad. En contextos de IA generativa, el derecho de rectificación es el más complicado: si el modelo dice algo falso de una persona, ¿cómo se corrige? Tener un proceso documentado, aunque sea manual, es mejor que no tener nada.
Contratos con proveedores de IA. Si usas OpenAI, Anthropic, Google o cualquier API de modelo, revisa los acuerdos de procesamiento de datos. Verifica cláusulas de transferencia internacional, retención, uso de tus datos para mejorar modelos del proveedor.
Evaluación de impacto. Para usos de IA con riesgo elevado (decisiones automatizadas, perfiles, datos sensibles), el GDPR ya exige una evaluación de impacto en protección de datos. El AI Act lo va a exigir más explícitamente.
La perspectiva mexicana
En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares no tiene aún un marco específico para IA, pero los principios generales aplican: consentimiento informado, principio de finalidad, calidad, proporcionalidad. Y el INAI ha mostrado interés activo en el tema.
La conversación local va a llegar. Las empresas que ya tengan ordenado su procesamiento de datos personales con criterios alineados a GDPR van a estar en mejor posición cuando llegue una eventual actualización local o cuando un cliente grande haga preguntas serias durante un proceso de compra.
Qué hacer este mes
Tres acciones concretas que recomendamos para cualquier empresa mediana que use IA generativa con datos personales.
Primero, mapea todos los flujos donde datos personales entran a un modelo: producto, soporte, marketing, RR.HH. Segundo, para cada flujo identifica el proveedor, la base legal y la jurisdicción de los titulares. Tercero, prioriza los flujos con titulares europeos para una revisión más profunda en los próximos 60 días.
No es un proyecto enorme. Es una semana de trabajo concentrado que te puede ahorrar una conversación incómoda más adelante.
¿Tu empresa exporta servicios IA a Europa? Hagamos un assessment. En ALCA tenemos un formato de revisión de cumplimiento de GDPR para casos de uso de IA generativa que se puede correr en dos semanas. Agenda una llamada y revisamos por dónde empezar.
