La decisión de X, la red social conocida anteriormente como Twitter, de entrenar su IA usando los datos de los usuarios puede salir muy cara para Elon Musk. Grok fue lanzada en España y otros países europeos el pasado mes de mayo, como una función exclusiva de los usuarios de pago. Pero sin saberlo, todos los usuarios, incluso los que no usaban Grok, estaban aportando sus datos para entrenar a la IA.

La clave para el funcionamiento de la IA generativa está en los datos; cuantos más se usen para entrenar a la IA, mejores resultados obtendrá. Eso ha motivado a las grandes empresas del sector a obtener datos de manera polémica o potencialmente ilegal; como cuando se reveló que Google y OpenAI habían entrenado su IA con YouTube y archivos personales de los usuarios, vulnerando las reglas de ambas compañías.

Ahora, nueve organizaciones de protección de datos han recibido reclamaciones de privacidad contra X, por supuestamente haber entrenado a la IA de Grook con datos de los usuarios, sin su consentimiento expreso. Las reclamaciones han sido presentadas ante la Agencia Española de Protección de Datos (AEPD) y sus equivalentes en Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos y Polonia.

Estas reclamaciones son el primer paso para que estas agencias puedan investigar las acciones de X y determinar si realmente violó la privacidad de los usuarios; en cuyo caso, el GDPR (Reglamento de Protección de Datos europeo) contempla multas de hasta el 4% de los ingresos anuales de la compañía.

Las reclamaciones han sido presentadas con la colaboración de la organización sin ánimo de lucro noyb, especializada en violaciones de la GDPR; llegan apenas tres días después de que X haya suspendido el uso de datos de ciudadanos europeos para el entrenamiento de Grok. A su vez, esta decisión fue tomada después de que la Comisión de Protección de Datos de Irlanda (DPC) mostrase su “sorpresa” por una nueva opción en X que había aparecido poco después del lanzamiento de Grok.

Esta opción estaba activada por defecto, y daba permiso a X para usar los datos del usuario, incluyendo fotografías y mensajes publicados en la red social, para entrenar a Grok; en otras palabras, las respuestas de Grok estarían basadas en esa información personal de los usuarios. Que la app no mostrase un aviso al usuario de que estaba usando sus datos, y que la opción estuviese activada por defecto, son hechos que podrían vulnerar el GDPR, que requiere el permiso explícito del usuario para gestionar sus datos.

X habría obtenido los datos de más de 60 millones de personas durante las semanas que la opción estuvo activada sin que nadie se diese cuenta. Aunque la compañía haya suspendido el proceso después de las quejas del DCP irlandés, los datos obtenidos pueden ser muy valiosos en el entrenamiento de Grok.

La organización que ha colaborado en las reclamaciones, noyb, ha acusado al DCP irlandés de decisiones “ineficientes y parciales” en la defensa por la privacidad de los usuarios; y por eso ha presentado estas reclamaciones ante las agencias de otros países, como la AEPD, con la esperanza de que “Twitter [sic] cumpla completamente con la ley de la UE que, como mínimo, requiere pedir consentimiento a los usuarios”.