Esta decisión de ChatGPT podría "inclinar la mesa". El Presidente de la Oficina de Protección de Datos Personales anuncia cuándo se tomará la decisión

• - Si los políticos reflexionaran, las normas en su forma actual les permitirían alcanzar los objetivos que se han propuesto sin violar los principios de protección de datos personales - dice Mirosław Wróblewski, presidente de la Oficina de Protección de Datos Personales, en una entrevista con WNP sobre la divulgación de los datos de Jerzy Ż. en la campaña electoral.
• Wróblewski critica el modelo de negocio de Facebook. -Hay un elemento de protección de nuestra dignidad en la privacidad, es un derecho fundamental. No creo que sea apropiado cobrar una tarifa para proteger nuestros derechos fundamentales, afirma.
• El Presidente de la Oficina de Protección de Datos Personales anuncia que en diciembre se tomará una decisión sobre el caso pionero relativo a OpenAI. El investigador en ciberseguridad Dr. Łukasz Olejnik denunció ante la oficina que el creador de ChatGPT estaba procesando ilegalmente sus datos.
• Wróblewski también explica cómo el RGPD podría cambiar pronto. La Comisión Europea presentó recientemente sus propuestas al respecto.

¿El cargo del Presidente de la UODO es político?

-¿Qué quieres decir con eso?

Su valoración de determinadas situaciones difiere mucho de la de su predecesor. Por ejemplo, en lo que respecta a las elecciones mediante sobres.

- Es cierto que discrepamos, pero mis apreciaciones se basan fundamentalmente en la jurisprudencia del Tribunal de Justicia y de los tribunales administrativos. No creo que tenga nada que ver con la política.

Los políticos serán sancionados por usar datos en campañas

¿Es el RGPD en sí mismo una herramienta de lucha política?

-Sé a qué te refieres. La cuestión del tratamiento de datos personales también aparece en las actividades públicas. Los acontecimientos recientes muestran que, lamentablemente, las emociones, las prisas o los elementos de la lucha electoral a menudo hacen que los políticos olviden la necesidad de respetar las disposiciones sobre protección de datos personales.

No tendría por qué ser así: si los políticos reflexionaran, las regulaciones en su forma actual les permitirían alcanzar los objetivos que se han propuesto sin violar los principios de protección de datos personales. Es posible conciliar la necesidad de transparencia, la divulgación de cierta información y la protección de la privacidad de las personas. Desgraciadamente, la campaña electoral y las emociones políticas no favorecen esta reflexión.

Se trata del hecho de que Przemysław Czarnek y Rafał Trzaskowski revelaron detalles sobre la persona a la que el candidato presidencial Karol Nawrocki debía comprarle un apartamento tipo estudio. ¿Qué consecuencias pueden enfrentar estos políticos por parte del Presidente de la UODO?

-Estamos en proceso de investigación, por lo que teóricamente todas las consecuencias son posibles. Hasta que no concluyan los procedimientos no se podrá determinar esto.

¿Y entonces a qué sanciones se enfrentan?

- La multa máxima por infringir las disposiciones del RGPD para administradores no empresariales es de 20 millones de euros . Por supuesto que no espero que hablemos de esas cantidades. Por ahora, me pregunto cómo debo reaccionar después del procedimiento. Las sanciones pretenden actuar como una sanción eficaz por un lado y como un elemento disuasorio por otro, pero me gustaría añadir a esto un elemento educativo.

La Oficina de Protección de Datos Personales ya ha elaborado una guía sobre el tratamiento de datos personales en la campaña electoral, y también en esta ocasión he recordado estas recomendaciones. Como puedes ver, nunca puedes tener demasiada educación. Cuando la temperatura en torno a las elecciones baje, propondré después de las vacaciones, como ya he anunciado, a los presidentes del Sejm y del Senado, en cooperación con los organismos electorales, cursos de formación, entre otros. para los empleados de las oficinas de los parlamentarios. Supongo que a menudo son responsables de problemas relacionados con datos personales y quiero que esta concienciación aumente para que no vuelvan a ocurrir violaciones similares.

Pregunté sobre política porque ambas partes de la disputa lo llamaron como árbitro cuando el oponente mostró demasiados datos. Incluso si estas mismas personas anteriormente criticaron las leyes que los protegen.

- Por un lado, es mi responsabilidad como presidente de la oficina investigar las violaciones, pero por otro lado, a nivel humano, me duelen mucho las situaciones en las que se procesa públicamente la información más sensible de una persona mayor que probablemente no querría que se discutiera tan ampliamente. Sin embargo, en este caso hay un guiño a muchos medios de comunicación que a menudo mostraron una sensibilidad mucho mayor que los políticos y fueron capaces de anonimizar los datos más sensibles.

¿Grandes cambios en el RGPD? Una buena dirección, pero hay un problema.

Las normas de protección de datos cambiarán en el futuro próximo. ¿Es la revisión del RGPD un paso necesario?

- La Comisión Europea propuso la idea de limitar las obligaciones relacionadas con el mantenimiento de un registro de actividades de tratamiento para las empresas. El límite para esta simplificación se elevará de 250 a 750 empleados. En principio valoro esta medida como positiva, pero tengo una reserva.

¿Qué?

- Este límite no puede tratarse de forma completamente automática. En el ámbito digital también podemos tratar con pequeñas empresas que emplean a pocos trabajadores y procesan datos personales muy sensibles. Las reglas para estos tratamientos deberían construirse de manera diferente debido a los altos riesgos que implica para los derechos y libertades de las personas. Hemos llamado la atención sobre este asunto en el dictamen conjunto de las autoridades de control europeas: el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

¿Por ejemplo, las plataformas de compras online?

- Por ejemplo, las farmacias online. No necesitan muchos empleados y, sin embargo, procesan inherentemente datos de salud.

En mi opinión, la simplificación debería aplicarse a otra categoría de entidades: las organizaciones no gubernamentales. Los requisitos para ellos son los mismos que para las empresas, pero tienen oportunidades incomparablemente menores. A mediados de junio organizamos una conferencia de autoridades europeas de protección de datos y quiero plantear allí este tema.

¿Ve la necesidad de realizar más cambios en el RGPD?

-Creo que los cambios legales en esta materia no son lo más importante. Los empresarios en general necesitan apoyo en el ámbito de la aplicación del RGPD , pero ya se han acostumbrado a la existencia de esta normativa y futuros cambios legales podrían provocar un caos innecesario en la protección de datos. Sobre todo porque nos enfrentamos a retos más urgentes, como la aplicación de nuevas normas de la UE que ya han entrado en vigor, pero en Polonia todavía no existe un aparato institucional designado para ello.

Hablas de la Ley de Servicios Digitales (DSA). Fuimos llevados al TJUE por no implementarlo.

- En la cola también están la Ley de IA, la Ley de Gobernanza de Datos, la Directiva NIS2 relacionada con la ciberseguridad, y podríamos seguir y seguir. Aquí hay mucha incertidumbre, porque las entidades a menudo tendrán que aplicar dos o tres regulaciones tan grandes y concentrar sus esfuerzos en ellas. El legislador de la UE nos ha planteado numerosos retos. Por lo tanto, otro cambio simultáneo, esta vez en el ámbito del RGPD, no es lo más esperado.

A finales de año, la Oficina de Protección de Datos Personales tendrá una decisión sobre OpenAI

Señor Presidente, ¿los registros de tierras e hipotecas serán datos personales o no?

- Los números de registro de tierras y de hipotecas son datos personales – lo sabemos por la sentencia firme del Tribunal Supremo Administrativo. Hoy en día, es un desafío garantizar simultáneamente la transparencia de los registros de tierras e hipotecas de conformidad con las disposiciones de la Ley de Registros de Tierras e Hipotecas y la protección de la privacidad.

¿Es esto reconciliable?

- Esperamos que se implemente un mecanismo que permita el acceso a los libros, pero con autenticación de la persona que tiene acceso a ellos. La idea es evitar que los sistemas busquen libros utilizando herramientas automatizadas que luego vendan ese conocimiento en Internet. El Ministerio de Justicia ha anunciado que desarrollará un proyecto para solucionar este problema. Pregunté sobre el estado de esta obra hace un mes, pero aún no he recibido respuesta sobre el progreso.

Personalmente, me gustaría mucho ver este problema resuelto. Sin embargo, este es uno de los aspectos de los problemas con la aplicación efectiva de la normativa de la UE en relación con las entidades registradas fuera de ella.

Las grandes empresas tecnológicas no pueden exigir responsabilidades. Su homólogo irlandés, que llevó a cabo los procedimientos durante años, es responsable de cualquier disputa con ellos.

- Es una cuestión del modo en que se construyó el RGPD. De hecho, los procedimientos en los casos que debemos remitir a Irlanda duran años, por lo que no existe la impresión de que exista un sistema de supervisión eficaz en este caso. Esto ya se ha resuelto de forma diferente en la Ley de Servicios Digitales, donde la Comisión Europea, no el país donde la empresa tiene su sede, es la encargada de hacer cumplir la normativa contra las grandes empresas. No considero que estas soluciones sean ideales, pero ciertamente pueden facilitar y simplificar los procedimientos para tratar estos casos.

No son sólo los casos transferidos a Irlanda los que continúan. Hasta agosto de 2023, no se ha tomado ninguna decisión en el caso del investigador independiente en ciberseguridad Dr. Łukasz Olejnik, quien presentó una denuncia contra OpenAI. Alegó que la empresa estaba procesando sus datos ilegalmente.

-Quería que este asunto se cerrara. Pero entonces el administrador se despertó y comenzó a presentar una documentación tan extensa que lleva mucho tiempo analizarla.

En términos sencillos: ¿OpenAI te ha inundado con documentos?

- Yo no usaría esas palabras.

Lo usé.

-No lo negaré. He pedido a mis colegas que aborden esto lo más rápidamente posible, pero también debemos mantener los estándares y la equidad procesal, porque si no lo hacemos, cualquier mínimo descuido o prisa será más tarde la forma más fácil de impugnar la decisión en el tribunal administrativo. Basta un pequeño error para que se desperdicie una gran cantidad de trabajo sustancial.

¿Cuándo sabremos quién tiene razón?

- Me gustaría terminar el trabajo a más tardar durante las vacaciones. La fecha límite final para mí es fin de año.

Su decisión podría afectar a todo el negocio de OpenAI en Europa.

-La empresa seguramente lo cuestionará, estoy preparado para eso. Poczta Polska, que recibió la multa más alta jamás impuesta por la oficina en relación con el caso de las elecciones con sobres , también apeló ante el tribunal administrativo. Tiene derecho a hacerlo, pero es precisamente por eso que debemos garantizar que se sigan los procedimientos.

Los críticos dirán que usted está limitando el desarrollo de la inteligencia artificial en Polonia.

- Por supuesto que alguien puede tratarlo de esa manera. Sin embargo, diré esto: nuestro objetivo no es bloquear nada. No se trata de prohibir a cualquiera organizar conferencias de prensa de campaña o crear aplicaciones útiles basadas en inteligencia artificial. La cuestión es poder alcanzar el objetivo manteniendo la protección de los datos personales. Y, por supuesto, esto suele ser muy difícil: requiere cierto esfuerzo y la introducción de nuevas soluciones tecnológicas y legales. Pero realmente no hay otro camino que perseguir ambos objetivos.

Me gustaría señalar una cosa más. Las decisiones del Presidente de la UODO nunca se redactan en formato "no, debido al RGPD". Nos esforzamos por brindar orientación sobre cómo lograr el cumplimiento normativo. Esto, por supuesto, requiere que nuestros socios encuentren soluciones, ya sean de naturaleza jurídica o técnica.

La protección de la privacidad es un derecho fundamental. Facebook no puede cobrar por esto

Facebook ha encontrado una solución a la excesiva interferencia en la privacidad de los usuarios introduciendo la opción “pagar o aceptar”, es decir aceptar la vigilancia o pagar. Y al presidente todavía no le gustó.

- A veces encontrar una solución requiere más esfuerzo, a veces es muy difícil. Pero sin esto no hay progreso.

¿Qué tiene de malo este modelo en el que pagamos a Facebook o con datos o con dinero por su uso?

- Algunos desafíos son de naturaleza ética.

Hay un elemento de protección de nuestra dignidad en la privacidad, es un derecho fundamental. No creo que sea apropiado cobrar una tarifa para proteger nuestros derechos fundamentales.

Meta también te permite excluir tus datos del entrenamiento de IA.

- Después de mi experiencia con esta empresa, veo que es capaz de cambio y de cooperación. Lo mismo ocurrió con la estafa que afectó, entre otros, al señor Rafał Brzoska. Se creó una herramienta que permitió la detección automática de dichos anuncios fraudulentos .

Esto no funciona, como lo ha demostrado CERT Polska en NASK.

- Sí, pero se están intentando solucionar el problema y la empresa se muestra receptiva, aunque al principio no lo fue en absoluto. Creo que el sector empresarial responderá a los problemas que señalamos porque es pragmático y no quiere meterse en problemas.

¿Es esta una lección que también deberían aprender los empresarios polacos? Cada año aumenta el número y la severidad de las multas que la Oficina impone a los empresarios polacos.

- Esto se debe a que las expectativas sobre el cumplimiento del RGPD tras siete años de vigencia de la normativa son mayores que al principio. Después de este tiempo, es difícil justificar que alguien no sepa cuáles son los deberes básicos.

¿No hay misericordia?

- Definitivamente. La UODO obviamente tiene una misión educativa: viajamos por Polonia, nos reunimos con empresarios y cooperamos con los gobiernos locales. Al mismo tiempo, sin embargo, no se puede ocultar el hecho de que las actividades de control, ejecución y procesamiento en casos de violaciones continúan. Creo que de las decisiones de este año ya se desprende claramente que el sector público también tiene mucho que hacer en materia de protección de datos personales.