- Por una orden judicial, OpenAI debe conservar todos los registros de usuarios de ChatGPT, incluidas las conversaciones eliminadas, y OpenAI rebate que esta medida constituye una grave invasión a la privacidad
- OpenAI sostiene que la orden se emitió de inmediato sin fundamento suficiente, a partir del reclamo de medios de noticias que exigían preservar pruebas en medio de una demanda por copyright
- OpenAI advierte que, por esta orden, tendría que conservar datos personales de cientos de millones de usuarios e incluso datos confidenciales de empresas, con riesgo de violar normativas globales de privacidad y de asumir una fuerte carga de ingeniería
- Desde que la orden entró en vigor, incluso las conversaciones eliminadas y las conversaciones temporales de los usuarios quedan forzadamente guardadas de forma permanente, lo que ha desatado fuerte inquietud y preocupación en redes sociales
- OpenAI volvió a pedir la revocación de la orden para proteger el control de los usuarios sobre sus datos y la protección de la privacidad, y afirmó que seguirá con la batalla legal
La reacción de OpenAI ante una orden de conservar datos “profundamente personales”
Contexto de la orden judicial y puntos clave
- OpenAI protestó ante el tribunal para proteger la privacidad de millones de usuarios de ChatGPT y rechazó enérgicamente la orden de guardar todos los registros de usuarios, incluidas conversaciones eliminadas y conversaciones de API
- La orden se dictó durante una demanda por infracción de copyright, después de que la parte de los medios alegara que OpenAI estaba destruyendo pruebas; OpenAI señala que la decisión se tomó apresuradamente, sin suficiente verificación de hechos ni justificación
- Los demandantes sostuvieron que, al usar ChatGPT para evadir el acceso de pago a artículos periodísticos, los usuarios borrarían conversaciones para eliminar rastros; sin embargo, no se presentó evidencia que respaldara realmente esa afirmación
- Con base en esa suposición, el tribunal ordenó que OpenAI conserve por separado todos los registros de conversación hacia adelante, incluidas las eliminadas, y OpenAI advierte que esta medida eleva el riesgo de vulnerar el control de los usuarios sobre sus datos y de incumplir leyes globales de privacidad
Argumentos de OpenAI y respuesta legal
- OpenAI enfatiza que esta orden de conservación, inusualmente amplia, vulnera los derechos de privacidad de los usuarios y que las personas deberían poder elegir por sí mismas cuándo y cómo se conservan sus datos
- Hasta antes de la orden judicial, cuando un usuario eliminaba directamente una conversación o usaba la función de conversación temporal, esa conversación se eliminaba completamente del sistema en un plazo de 30 días
- Sin embargo, con esta orden, OpenAI quedó obligada a guardar incluso todas las solicitudes de eliminación y las conversaciones temporales, lo que implica la conservación a largo plazo de datos personales de cientos de millones de usuarios y de datos de API empresariales, incluida información confidencial
- Además de las preocupaciones de privacidad, OpenAI señala que cumplir la orden requiere recursos de ingeniería y costos enormes, y sostiene que el perjuicio para OpenAI y sus usuarios es mucho mayor que el beneficio especulativo que alegan los medios
- OpenAI solicitó una audiencia oral al tribunal y pidió la revocación de la orden (cancelación inmediata)
Reacción de usuarios e industria
- Cuando se supo que la orden ya estaba en vigor, numerosos usuarios y clientes empresariales expresaron su inquietud en redes sociales como LinkedIn y X
- Algunos especialistas advirtieron que la orden podría constituir un grave incumplimiento contractual frente a todos los clientes empresariales de OpenAI, y que las compañías que manejan datos confidenciales a través de la API quedarían expuestas a un riesgo de seguridad aún mayor
- En redes sociales se difundieron opiniones como: “todos los servicios de IA basados en OpenAI quedaron expuestos a amenazas a la privacidad” y “se recomienda migrar a servicios alternativos como Mistral AI o Google Gemini”
- Un especialista en seguridad calificó esta orden como un riesgo de seguridad inaceptable
- También surgieron críticas como: “La jueza Wang cree que la lógica de copyright del NYT está por encima de la privacidad de todos los usuarios de OpenAI; es una locura”
Política de OpenAI y perspectivas a futuro
- OpenAI había cumplido estrictamente su política de conservación de datos de usuarios y, al eliminar una cuenta, borraba todo el historial de conversaciones en un plazo de 30 días
- Debido a la orden judicial, los procesos existentes de gestión y eliminación de datos quedaron neutralizados de un momento a otro, y los usuarios están en una situación en la que ya es difícil confiar en que sus datos se eliminarán de forma segura
- OpenAI planea continuar la batalla legal y dar a conocer activamente la injusticia de la orden y los daños reales que provoca
1 comentarios
Opiniones de Hacker News
Señalan que existe el mismo riesgo incluso al usar modelos GPT vía API
Creo que este es un problema que pronto enfrentarán todas las empresas de IA
A menos que todo cambie a un entorno donde cada quien aloje sus propios modelos, en modelos de negocio tipo SaaS la realidad es que proteger la privacidad del usuario no suele ser tan importante cuando se prioriza la rentabilidad
Siendo honestos, la mayoría de la gente ya se acostumbró a que en internet la privacidad prácticamente no existe
Pero las empresas o personas que confían código fuente cerrado o datos de seguridad con base en la confianza sí podrían salir bastante perjudicadas
Aunque mi postura es que ese tipo de cosas no deberían subcontratarse con ningún proveedor desde el principio
Las empresas ya establecidas necesitan revisar sus contratos actuales, normativas y tolerancia al riesgo a raíz de este tema
Las startups wrapper basadas en servicios de ChatGPT también deberían volver a revisar sus políticas de privacidad y dejar claro que los usuarios están renunciando a su privacidad
Todas las integraciones de GPT que implementé fueron a través de Azure Services por la obligación contractual de no entrenar con mis datos
Según entiendo, este fallo no aplica a Azure Services, es decir, a Microsoft
Si estabas trabajando con código propietario, entonces nunca debiste haber usado un LLM en la nube, y este tema solo deja eso aún más claro
Sobre la pregunta de cómo esto afecta al negocio, se enfatiza que se trata de conservar datos para cubrir un riesgo legal, no para usarlos con fines de entrenamiento
También creo que en contratos con otras empresas se puede dejar explícito que los datos no se usarán para entrenamiento
Se puede consultar un artículo de contexto más detallado aquí
Este enlace es la fuente real
Sería mejor actualizar el enlace a ese artículo
Comparten que los comentarios debajo del artículo tienen un tono muy gracioso
Se siente como una sátira que retrata a los defensores del copyright como parte del bando anti-IA
En lo personal no me gusta mucho la actitud arrogante de OpenAI frente al contenido ajeno, pero al mismo tiempo también me cuesta simpatizar con exigencias excesivas por parte de los titulares de derechos
Creo que la IA generativa y el tema del entrenamiento dejan en evidencia de forma muy clara lo anticuados que son ciertos elementos de la ley actual de propiedad intelectual
Harán falta cambios, pero esos cambios no deberían favorecer solo a las grandes empresas o a los ricos, sino ayudar a la gente común
Aunque en general soy crítico de la infracción de copyright por parte de los LLM, la forma en que se desarrolla la lógica de este fallo se siente algo rara
Señalan que, hipotéticamente, si algún usuario hubiera usado ChatGPT para saltarse el paywall y extraer contenido de The New York Times, y luego al enterarse del caso pidiera borrar todo el historial de lo que generó, eso no estaría eludiendo el propósito del fallo
Al enterarse de una resolución así, uno se pregunta si los usuarios no serían más cuidadosos durante ese periodo
Critican que si OpenAI ahora tiene que conservar los logs por orden legal aunque el usuario borre su historial o use Temporary Chat, entonces en qué se diferencia eso del historial normal de un navegador web
Resulta extraño por qué solo a OpenAI se le obliga de manera especial, como si Safari tuviera que guardar siempre incluso el historial que el usuario borra
Presentan en el hilo un mejor enlace al artículo
Es el enlace al artículo original de Ars Technica
Añaden que conviene consultar un artículo con información real y no solo una publicación de Mastodon
Últimamente han aparecido en Hacker News varias columnas personales sobre ventajas o desventajas de los LLM, pero tienden a no mencionar en absoluto el tema de la privacidad
La razón principal por la que no uso mucho los LLM ni pego código fuente en una ventana de prompt es precisamente la privacidad
En nuestra empresa, por NDA y regulaciones gubernamentales como ITAR, si el código sale del servidor ya estaríamos incumpliendo normas
Este tema muestra que la privacidad es el talón de Aquiles de los LLM
Mientras los LLM no se establezcan on-premises, no podrán librarse de este problema
Se puede montar un LLM propio de manera muy fácil y sencilla
El hecho de que OpenAI esté obligada a guardar los datos en sus servidores lleva a una situación en la que los equipos legales de las empresas involucradas en el litigio podrían ver conversaciones entre usuarios y ChatGPT durante el proceso de discovery
Por ejemplo, abogados del NYT podrían llegar a leer en el tribunal conversaciones privadas de una persona como parte de la evidencia
Hay quien opina que una posible solución sería conservar los logs de conversación de forma anonimizada
OpenAI podría aplicar técnicamente esa anonimización, y eso parece la mejor salida
Estos datos podrían respaldarse en soluciones basadas en almacenamiento en cinta como la biblioteca Spectra TFinity ExaScale, o en sistemas de archivado profundo como AWS Glacier
En una estructura así, donde recuperar los datos tarda desde horas hasta días, se podría cumplir con la orden judicial y al mismo tiempo mantener costos bajos
Además, en caso de una filtración masiva, robar la información requeriría mucho tiempo y esfuerzo, lo que ayudaría a detectar y defenderse mejor
A partir de ahora, habría que asumir con desconfianza que todos los chats y llamadas API con cualquier IA en la nube dentro de Estados Unidos pueden ser objeto de revisión legal
Si ese riesgo no es aceptable, convendría considerar seriamente cambiarse a un LLM local
Se preguntan cómo un medio como The Times puede llegar a tener derecho a ver datos de usuarios
Al final, este tipo de fallo termina poniendo a los periódicos en posición de revisar información de usuarios
Esta orden judicial podría implicar posibles violaciones a leyes de privacidad en una o más jurisdicciones, y también la posibilidad de que OpenAI incumpla contratos existentes con clientes
Explican que los contratos vigentes no pueden hacer nada frente a una orden judicial
La orden legal tiene prioridad absoluta
Esta orden en sí no crea una nueva violación de leyes de privacidad
La posible infracción ya existía por el hecho mismo de conservar los datos y entregarlos a terceros
Esta orden en realidad se está aplicando retroactivamente al 13 de mayo
Da la impresión de que OpenAI no informó este hecho hasta ahora por correo u otros medios a sus usuarios debido al impacto comercial que tendría
Pero se siente claramente como una traición a la confianza de los usuarios
Las empresas que intercambiaban datos sensibles por medio de la API de ChatGPT probablemente confiaban en la explicación de que los datos de entrada y salida no se guardaban
En la práctica, OpenAI podría conservarlos simplemente cambiando la configuración
Queda la duda de si se envió algún aviso aparte o si todos se enteraron solo por la cobertura de prensa
El enlace de la publicación original no abría por sobrecarga de tráfico (
HN hug of death), pero lograron leerlo en Wayback MachineComo era una instancia personal de Mastodon, es entendible que se sobrecargara al dispararse las visitas