La Agencia Española de Protección de Datos ha acordado el archivo de las actuaciones iniciadas en 2023 contra OpenAI, compañía responsable de ChatGPT, que se centraban en posibles infracciones de la normativa de protección de datos con ocasión del funcionamiento y entrenamiento de la herramienta de IA.
Estas actuaciones se iniciaron en 2023 cuando la autoridad de control puso de manifiesto ante el EDPB la necesidad de coordinar las investigaciones sobre los tratamientos masivos de datos con motivo del uso de sistemas de IA generativa. En aquel momento, OpenAI carecía de establecimiento principal en el Espacio Económico Europeo, lo que permitía a las distintas autoridades de control ser competentes y actuar frente a eventuales incumplimientos del RGPD por parte de esta compañía en su territorio.
No obstante, en el año 2024 la compañía actualizó su política de privacidad y OpenAI Ireland Limited asumió formalmente la condición de responsable del tratamiento para usuarios residentes en el Espacio Económico Europeo y Suiza. Este cambio supuso que la autoridad de control que tenía competencia para investigar y, en su caso, sancionar a la entidad fuera la Data Protection Commission de Irlanda. En consecuencia, la AEPD carecía de competencia para continuar la instrucción del expediente. Es por ello por lo que, tal y como se indica en la Memoria Anual, la AEPD ha archivado este procedimiento.
Esta ausencia de competencia se fundamenta en la aplicación del denominado mecanismo de “ventanilla única”, previsto en el artículo 56 del RGPD, que atribuye la competencia a la autoridad de control del Estado donde el responsable del tratamiento tenga su establecimiento principal.
No obstante, el archivo de las actuaciones no implica una desvinculación total de la AEPD respecto del asunto, puesto que el RGPD contempla mecanismos de cooperación y asistencia mutua entre autoridades, de modo que la Agencia podrá seguir participando en las actuaciones coordinadas que, en su caso, se lleven a cabo.
