Cómo responde OpenAI a las exigencias de datos de The New York Times para proteger la privacidad de los usuarios

 (openai.com)
1 puntos por GN⁺ 2025-06-07 | 1 comentarios | Compartir por WhatsApp
  • En la demanda, la parte demandante, incluidos The New York Times y otros, exige a OpenAI la conservación indefinida de los datos de ChatGPT y la API de los usuarios
  • OpenAI está objetando y apelando activamente esta exigencia, ya que considera que entra en conflicto con sus compromisos de privacidad hacia los usuarios
  • Esta orden de conservación solo aplica a usuarios de ChatGPT Free, Plus, Pro, Team y la API estándar; no aplica a usuarios de Enterprise/Edu ni de la ZDR API
  • Incluso los datos eliminados deben mantenerse en custodia legal dentro de un sistema separado, y el acceso queda limitado al equipo legal y de seguridad de OpenAI, con controles estrictos
  • OpenAI afirma que seguirá respondiendo en todas las instancias legales para proteger a los usuarios, poniendo la privacidad como máxima prioridad

How we’re responding to The New York Times’ data demands in order to protect user privacy

  • Los demandantes, incluido The New York Times, exigieron en su demanda contra OpenAI la conservación indefinida de los datos de clientes de ChatGPT para consumidores y de la API
  • Esta exigencia choca de forma esencial con los principios de privacidad que OpenAI prometió a sus usuarios y debilita los estándares de la industria y el nivel de protección de la privacidad
  • OpenAI considera esta solicitud excesiva y está llevando adelante una apelación con la privacidad del usuario como prioridad máxima

Preguntas y respuestas principales

1. Por qué The New York Times y otros demandantes hicieron esta exigencia

  • Al presentar la demanda contra OpenAI, The New York Times pidió al tribunal la conservación indefinida de todo el contenido de los usuarios, basándose en la especulación de que podría encontrar pruebas favorables para su caso
  • OpenAI considera que esta exigencia no solo amenaza la privacidad de los usuarios, sino que tampoco aporta ayuda real para resolver el litigio
  • Los usuarios de ChatGPT Free, Plus, Pro, Team y la API estándar pueden verse afectados, pero ChatGPT Enterprise, ChatGPT Edu y los clientes de la Zero Data Retention API no están incluidos

2. Respuesta legal de OpenAI

  • Desde el inicio, OpenAI presentó su oposición argumentando que la exigencia de conservar todos los datos de salida era excesiva y entraba en conflicto con su política de privacidad
  • Ante el Magistrate Judge, se confirmó que ChatGPT Enterprise quedaba exceptuado
  • OpenAI sigue adelante con una apelación adicional ante el District Court Judge

3. Contratistas empresariales con Zero Data Retention

  • Los clientes empresariales que usan la Zero Data Retention API no se ven afectados porque los datos de entrada y salida no se almacenan

4. Qué pasa cuando se eliminan datos de ChatGPT

  • Las cuentas de consumidores en general pueden verse afectadas por el litigio, pero los clientes Enterprise, Edu y los usuarios de la Zero Data Retention API no

5. Cómo se almacenan los datos y quién puede acceder

  • Los datos sujetos a la orden judicial se almacenan por separado en un sistema seguro
  • Esos datos no pueden usarse para fines distintos al cumplimiento de obligaciones legales, y el acceso queda limitado a un pequeño grupo del equipo legal y de seguridad de OpenAI, bajo controles estrictos

6. Posibilidad de compartir los datos con terceros

  • Los datos almacenados no se entregan automáticamente a terceros como The New York Times
  • Si surgen nuevas exigencias de divulgación de información, OpenAI planea responder activamente para defender la privacidad

7. Plazo de conservación de los datos y cuándo termina

  • Actualmente, la orden judicial obliga a conservar indefinidamente los datos de los usuarios, pero OpenAI está respondiendo activamente por la vía legal
  • Si esa respuesta legal tiene éxito, podría restablecerse la política de conservación de datos previa

8. Si esto viola leyes de privacidad como el GDPR

  • Aunque OpenAI está cumpliendo su obligación legal bajo la orden judicial, la exigencia de The New York Times entra en conflicto con los estándares de privacidad de OpenAI
  • La empresa mantiene la apelación y sus respuestas de política sobre este tema

9. Si habrá cambios en la política de entrenamiento de modelos

  • Los datos de clientes empresariales no se usan para entrenar modelos de forma predeterminada, y esta orden no cambia esa política
  • Los clientes consumidores pueden controlar directamente si sus datos se usan para entrenamiento según su configuración individual, y la orden no altera eso

10. Información a los usuarios y transparencia

  • OpenAI promete seguir informando y mantener la transparencia
  • Si hay cambios en la orden judicial o impactos sobre los datos de los usuarios, informará rápidamente

11. Resumen de la política de conservación de datos

  • ChatGPT (Free/Plus/Pro): al eliminar una conversación o la cuenta, los datos se eliminan de inmediato de la cuenta y se prevé su eliminación permanente dentro de 30 días
  • ChatGPT Team: cada usuario puede controlar si conserva sus conversaciones; los datos eliminados o no guardados se borran dentro de 30 días (salvo obligación legal)
  • ChatGPT Enterprise/Edu: el administrador del workspace gestiona el período de conservación de datos; las conversaciones eliminadas se borran dentro de 30 días (salvo obligación legal)
  • API: los usuarios empresariales pueden elegir directamente el período y la forma de conservación para administrar el estado de la aplicación; los datos de entrada y salida de la API se eliminan de los logs después de 30 días (salvo obligación legal)
  • Zero Data Retention API: en estos casos, los datos de entrada y salida no se almacenan desde el principio

Conclusión

  • OpenAI mantiene la confianza del usuario y la protección de la privacidad como máxima prioridad de su política, y seguirá respondiendo frente a los desafíos legales
  • Ciertos grupos de clientes, como los de negocios y educación, así como la ZDR API, no se ven afectados, mientras que los datos de consumidores generales están bajo medidas de protección separadas
  • OpenAI planea comunicar de forma transparente cualquier cambio en la situación legal y en su política de protección de datos de los usuarios

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-06-07
Opiniones de Hacker News
  • Creo que ayudaría muchísimo que OpenAI permitiera solicitar oficialmente la opción Zero Data Retention (ZDR). En muchos contextos empresariales no hay absolutamente ninguna razón para guardar los logs de solicitudes. La documentación menciona varias veces que se puede solicitar, pero en la práctica simplemente te ignoran. Entiendo que tenga que haber un proceso de aprobación y cierta barrera de entrada, pero en la realidad parece que solo mencionan ZDR con fines de marketing. Lo he solicitado varias veces y no he recibido ninguna respuesta. Por lo que se ve en publicaciones de foros, esto parece ser muy común
    • Entiendo que se necesite un proceso de aprobación, pero me pregunto por qué el valor predeterminado no es la protección de la privacidad o no guardar registros. Mucha gente duda de las promesas de privacidad de OpenAI. Piensan que las entradas se almacenan, se analizan y se comparten. Si de verdad se necesita privacidad, la única alternativa real son los LLM que corren localmente
    • Según entiendo, por defecto guardan los logs durante 30 días para gestionar errores. También se puede solicitar almacenamiento de 0 días. Esto aparece en la documentación oficial
    • En esencia, lo que falta es dinero
    • Existe esta política: "Para ciertos casos de uso, también puedes solicitar zero data retention (ZDR). Consulta la página de Platform Docs para más detalles sobre el procesamiento de datos" en la OpenAI Privacy Policy. 1) Que se pueda solicitar no garantiza la aprobación. 2) Lo importante es el valor predeterminado. El valor predeterminado en Silicon Valley no es la privacidad, sino maximizar ingresos. En OpenAI también el predeterminado es guardar datos, incluso las salidas. Eso hace difícil tomarse en serio el memorando de OpenAI en contra de la orden de conservación de datos
    • Aunque repiten que oficialmente se puede solicitar, sospecho que en realidad podría ser solo texto de marketing que no funciona en absoluto
  • Los datos protegidos por orden judicial se guardan en un sistema aislado y no se puede acceder a ellos salvo para cumplir con obligaciones legales. Solo un pequeño equipo auditado de las áreas legal y de seguridad de OpenAI puede acceder según esas obligaciones. Si esos datos se filtran, OpenAI sería responsable. Pero el lenguaje general de este texto, especialmente repetir que la demanda es "infundada", le quita credibilidad y hace que parezca un texto promocional en el que no inspira confianza
    • Este caso se volvió parte del ciclo de noticias, y se convirtió en tema que los chats eliminados en realidad no se estuvieran eliminando por la demanda, así que OpenAI necesitaba responder para tranquilizar a los clientes
    • Si durante el proceso de búsqueda se determina que ciertos datos relacionados con la demanda son relevantes para el caso, entonces al menos ambas partes y el tribunal podrían acceder a esos datos
    • Desde la perspectiva de OpenAI, obviamente van a presentar su propia postura. Es natural que afirmen que se trata de una "demanda infundada"
    • Soy usuario de OpenAI. Me resulta útil y pago por usarlo. No quiero que mis datos se almacenen más allá de lo que dicen los términos de uso y la política de privacidad. Si el tribunal no entiende que la obligación de conservación de OpenAI pone en riesgo la privacidad de decenas de millones de usuarios, entonces no me parece adecuado
    • El primer principio de la seguridad de datos es que los sistemas son imperfectos, así que la única protección real es no guardar los datos desde el principio. Si ocurre una filtración, OpenAI sería responsable. Cualquier empresa que promete seguridad de datos es incompetente o poco sincera
  • Me pregunto si el equipo legal de OpenAI podría aplicar un método que guarde solo información difusa, como hashes ssdeep o chunks de contenido, en lugar de los historiales reales de chat. Si el alcance de los datos que exige el NYT es limitado y el contenido problemático se genera por la API, entonces se podría comparar mediante valores hash. Obviamente lo ideal sería no guardar nada, pero considerando una orden judicial excesivamente amplia, podría haber un punto intermedio realista. Además, se puede consultar material sobre ssdeep y content-defined chunking
    • Hay que enfatizar que explicar este tipo de términos técnicos a abogados o jueces en un tribunal es extremadamente difícil
    • Intentar esquivar activamente el sentido del fallo sería, en sí mismo, una muy mala decisión
    • No pude encontrar los documentos sobre la orden judicial, pero parece que el juez le preguntó a OpenAI si podía separar los datos y OpenAI no respondió nada en absoluto; no solo se negó, sino que simplemente lo ignoró. Da la impresión de que OpenAI no tiene voluntad de buscar una solución y solo está recurriendo a una estrategia de relaciones públicas
    • Por más bonito que suene este tipo de propuesta técnica en un white paper, en la práctica todas las conversaciones de ChatGPT están guardadas en S3 y varias organizaciones hacen respaldos de forma periódica. Es una base de datos de texto, como el correo electrónico, llena de contenido sensible interno. No confío en absoluto en las "promesas" de la dirección
  • Antes me habría dado muchísima vergüenza que se filtrara mi historial del navegador, pero ahora creo que sería mucho más grave que se filtrara mi historial de conversaciones con un LLM. Más que una conversación privada con otra persona, es un registro de cómo soy realmente cuando estoy a solas y sin filtros
    • También está la reacción de preguntar qué demonios le están consultando a un LLM para esperar confidencialidad
  • Discusión relacionada: OpenAI slams court order to save all ChatGPT logs, including deleted chats (junio de 2025, 878 comentarios)
  • Me parece extraña la crítica dirigida al NYT. Si el NYT tiene fundamentos para la demanda, el tribunal la aprobará; si no los tiene, OpenAI ganará en la corte. Usar la orden judicial como herramienta para atacar al NYT me parece raro
    • El NYT está aprovechando una debilidad del sistema legal estadounidense: un proceso amplio de discovery que casi no se preocupa por la privacidad personal. Lo hará por su propio interés, pero aun así en esta ocasión no puedo evitar estar del lado de OpenAI
    • El NYT parece cambiar de postura según le conviene. Antes vendió bases de datos de artículos freelance y defendía debilitar el copyright. Ahora trata el copyright como lo más importante. Como referencia, este texto sobre el cambio de postura del NYT es interesante
    • El NYT también es parte del caso. Llamar a la demanda "infundada" es válido
    • Si el NYT realmente no tuviera fundamentos pero aun así el tribunal lo aprobara, eso también sería algo extraño
    • Que algo sea legal no absuelve a quienes abusan del sistema legal
  • En la sección de OpenAI "¿Por qué está pasando esto?" falta una explicación. Lo presentan como si la gente estuviera enojada sin razón, pero visto desde la perspectiva del cliente resulta absurdo
  • Indican que en "Settings" se puede controlar si los datos del usuario se usan para entrenar el modelo, pero en realidad existe un dark pattern donde el interruptor de "Mejorar el modelo para todos" no tiene ningún efecto, y además hay que solicitarlo directamente en un portal poco visible, así que no es fácil de encontrar. Eso ha hecho que muchos usuarios malinterpreten cómo funciona realmente
    • Se solicita una explicación más detallada
    • Se pide una explicación concreta sobre la afirmación de que el interruptor de "Mejorar el modelo para todos" en realidad no tiene efecto, junto con el enlace a ese portal
  • Yo siempre he asumido que todo lo que se envía a la API de un proveedor externo queda almacenado permanentemente. Pensar lo contrario me parece todavía más ingenuo. Es tan ingenuo como creer que una app no hace seguimiento web
    • Asumir el peor escenario es sensato, pero adaptarse a él sin oponer ninguna resistencia también es tonto
    • El nihilismo de la privacidad también es, al final, una decisión personal
  • No estoy de acuerdo con la postura oficial de OpenAI de que "la confianza y la privacidad son valores centrales, y ofrecemos herramientas de gestión de datos y opciones de eliminación". Promocionan que ofrecen privacidad si pagas más, y aun así ni los usuarios Pro pueden disfrutar de "privacidad". Incluso tras múltiples solicitudes de eliminación de información, se niegan a borrar datos personales del modelo y de los datos de entrenamiento
    • Todos los usuarios pueden hacer opt-out. ChatGPT Plus, Pro y Free tienen activado por defecto el compartir datos, pero cualquiera puede desactivar el uso de datos para entrenamiento. Solo Enterprise viene desactivado por defecto. Referencia: What if I want to keep my history on but disable model training?
    • Ese texto oficial no es más que "trustwashing" corporativo. Está lleno de términos ambiguos y vagos, retórica agradable al oído y valores vacíos