Não, não é uma piada do Dia da Mentira: a OpenAI começou a bloquear geograficamente o acesso ao seu chatbot AI generativo, ChatGPT, na Itália.
A mudança segue uma ordem da autoridade local de proteção de dados na sexta-feira de que deve parar de processar os dados dos italianos para o serviço ChatGPT.
Em uma declaração que aparece online para usuários com endereço IP italiano que tentam acessar o ChatGPT, a OpenAI escreve que “lamenta” informar aos usuários que desativou o acesso a usuários na Itália – a “pedido” da autoridade de proteção de dados – que é conhecido como o Garante.
Ele também diz que reembolsará todos os usuários na Itália que compraram o serviço de assinatura ChatGPT Plus no mês passado – e observa também que está “pausando temporariamente” as renovações de assinatura para que os usuários não sejam cobrados enquanto o serviço estiver suspenso.
A OpenAI parece estar aplicando um bloqueio geográfico simples neste ponto – o que significa que usar uma VPN para mudar para um endereço IP não italiano oferece uma solução simples para o bloqueio. Embora uma conta ChatGPT tenha sido originalmente registrada na Itália, ela pode não estar mais acessível e os usuários que desejam contornar o bloqueio podem ter que criar uma nova conta usando um endereço IP não italiano.
Declaração da OpenAI para usuários que tentam acessar o ChatGPT a partir de um endereço IP italiano (Screengrab: Natasha Lomas/TechCrunch)
Na sexta-feira o Garante anunciou que abriu uma investigação no ChatGPT sobre suspeitas de violações do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) – dizendo que está preocupado que a OpenAI tenha processado dados italianos ilegalmente.
A OpenAI não parece ter informado a ninguém cujos dados online encontrou e usou para treinar a tecnologia, como coletando informações de fóruns da Internet. Também não foi totalmente aberto sobre os dados que está processando – certamente não para a última iteração de seu modelo, GPT-4. E embora os dados de treinamento usados possam ter sido públicos (no sentido de serem postados online), o GDPR ainda contém princípios de transparência – sugerindo que tanto os usuários quanto as pessoas cujos dados foram copiados deveriam ter sido informados.
Em seu pronunciamento ontem, o Garante também apontou a falta de qualquer sistema para impedir que menores acessem a tecnologia, levantando uma bandeira de segurança infantil – observando que não há recurso de verificação de idade para impedir o acesso indevido, por exemplo.
Além disso, o regulador levantou preocupações sobre a precisão das informações fornecidas pelo chatbot.
Sabe-se que o ChatGPT e outros chatbots de IA generativos às vezes produzem informações errôneas sobre indivíduos nomeados – uma falha que os fabricantes de IA chamam de “alucinante”. Isso parece problemático na UE, já que o GDPR fornece aos indivíduos um conjunto de direitos sobre suas informações – incluindo o direito de retificação de informações errôneas. E, atualmente, não está claro que a OpenAI tenha um sistema em que os usuários possam pedir ao chatbot para parar de mentir sobre eles.
A empresa sediada em San Francisco ainda não respondeu ao nosso pedido de comentário sobre o Garante’s investigação. Mas em sua declaração pública para usuários bloqueados geograficamente na Itália, afirma: “Estamos comprometidos em proteger a privacidade das pessoas e acreditamos que oferecemos o ChatGPT em conformidade com o GDPR e outras leis de privacidade”.
“Vamos nos envolver com o Garante com o objetivo de restaurar seu acesso o mais rápido possível”, também escreve, acrescentando: “Muitos de vocês nos disseram que consideram o ChatGPT útil para as tarefas diárias e esperamos disponibilizá-lo novamente em breve”.
Apesar de apresentar uma nota otimista no final da declaração, não está claro como a OpenAI pode resolver os problemas de conformidade levantados pelo Garante — dado o amplo escopo das preocupações do GDPR, ele é apresentado ao iniciar uma investigação mais profunda.
O regulamento pan-UE exige proteção de dados por design e padrão – o que significa que processos e princípios centrados na privacidade devem ser incorporados a um sistema que processa os dados das pessoas desde o início. Também conhecido como abordagem oposta para obter dados e pedir perdão mais tarde.
As penalidades por violações confirmadas do GDPR, por sua vez, podem chegar a 4% do faturamento global anual de um processador de dados (ou € 20 milhões, o que for maior).
Além disso, como a OpenAI não tem estabelecimento principal na UE, qualquer uma das autoridades de proteção de dados do bloco tem poderes para regular o ChatGPT – o que significa que as autoridades de todos os outros países membros da UE podem optar por intervir e investigar – e emitir multas por quaisquer violações que encontrarem. (em ordem relativamente curta, já que cada um estaria atuando apenas em seu próprio patch). Portanto, está enfrentando o nível mais alto de exposição ao GDPR, despreparado para jogar o jogo de compras de fóruns que outros gigantes da tecnologia usaram para atrasar a aplicação da privacidade na Europa.