Ayer, los reguladores de privacidad de Canadá lo hicieron oficial: las prácticas originales de entrenamiento de ChatGPT de OpenAI violaron las leyes de privacidad federales y provinciales. La investigación conjunta — en la que participaron la OPC, la CAI de Quebec y los comisionados de privacidad de BC y Alberta — encontró una recopilación excesiva de información personal, falta de consentimiento válido, transparencia insuficiente y la ausencia de un marco de rendición de cuentas antes del lanzamiento.
Desde entonces, OpenAI ha retirado esos modelos anteriores y se ha comprometido con nuevas salvaguardas. Los reguladores calificaron la queja como resuelta condicionalmente a nivel federal.
La mayor parte de la cobertura se centrará en lo que OpenAI hizo mal. Nosotros queremos hablar sobre lo que significa para su organización.
El hallazgo que debería mantener despierto a su CISO por la noche
Los reguladores no solo culparon a OpenAI por extraer datos públicos. Señalaron que OpenAI recopiló información personal — incluidos detalles sensibles como condiciones de salud y opiniones políticas — sin las salvaguardas adecuadas, y lanzó el producto sin abordar plenamente los riesgos de privacidad conocidos.
Ahora pregúntese: ¿qué está haciendo su fuerza laboral en este momento con las herramientas que OpenAI ha construido?
El 79% de los trabajadores de oficina canadienses utilizan IA en el trabajo. Solo el 25% utiliza herramientas aprobadas por la empresa. El resto utiliza lo que sea que les ayude a cumplir con una fecha límite — ChatGPT, Gemini, Grok, Perplexity — totalmente fuera de su visibilidad. Y según una investigación de Kiteworks, el 93% de los empleados introducen datos de la empresa en herramientas de IA. Eso incluye registros de clientes, notas clínicas, datos financieros y código fuente.
La investigación de la OPC se centró en cómo OpenAI manejó los datos para entrenar sus modelos. Pero el riesgo de exposición para su organización no se trata solo de la línea de entrenamiento de OpenAI. Se trata de lo que sus empleados están enviando ahora mismo, hoy, a través de prompts de IA — y si alguno de esos datos está regulado, es sensible o simplemente no es asunto de OpenAI.
El problema del consentimiento no termina con OpenAI
El fallo canadiense destaca una brecha crítica: el consentimiento no se trata solo de los términos de servicio que usted firma; se trata del flujo de datos que usted controla. Si sus empleados están alimentando sistemas de IA de terceros con información sensible sin una supervisión organizacional explícita, usted ya se encuentra en un estado de incumplimiento.
La solución no es prohibir la IA, sino sanitizar la interacción. Al eliminar los identificadores sensibles y la PII en el punto de entrada, las organizaciones pueden aprovechar el poder de los LLMs al tiempo que garantizan que sus datos de entrenamiento — y sus prompts activos — nunca infrinjan la ley.