Diego Fierro Rodríguez
Diego Fierro Rodríguez
El conflicto entre inteligencia artificial y protección de datos personales ha vuelto a emerger con fuerza en Italia tras la decisión del Garante per la protezione dei dati personali de intervenir contra DeepSeek, el chatbot desarrollado por las empresas chinas Hangzhou DeepSeek Artificial Intelligence y Beijing DeepSeek Artificial Intelligence. Este episodio, lejos de constituir un caso aislado, evidencia la creciente preocupación de las autoridades europeas por la presencia de actores tecnológicos que, operando fuera del espacio de regulación comunitario, pueden llegar a procesar datos de millones de ciudadanos sin someterse a las normativas establecidas por el Reglamento General de Protección de Datos (en adelante, RGPD). La gravedad del asunto ha llevado al organismo italiano a tomar medidas de urgencia que, en última instancia, revelan un trasfondo más complejo en el que convergen cuestiones de jurisdicción, transferencia internacional de datos y supervisión efectiva de las tecnologías emergentes.
La primera fase de la actuación del Garante italiano se manifestó en una solicitud formal de información remitida a DeepSeek el 28 de enero de 2025. La Autoridad exigió respuestas sobre aspectos fundamentales del tratamiento de datos personales en relación con el chatbot, incluyendo el tipo de datos recogidos, sus fuentes de obtención, los fines específicos del tratamiento, la base jurídica que lo sustenta y la ubicación de los servidores en los que se almacenan tales datos. De forma particular, se hizo hincapié en la posible utilización de técnicas de web scraping para alimentar el modelo de inteligencia artificial, lo que podría implicar la recopilación indiscriminada de datos personales sin conocimiento ni consentimiento de los titulares. En este contexto, la solicitud también demandaba información sobre las medidas adoptadas para garantizar que los usuarios, tanto registrados como no registrados, fuesen debidamente informados sobre la gestión de sus datos en conformidad con el principio de transparencia exigido por el RGPD.
El hecho de que el Garante identificase un «alto riesgo» para los datos de millones de ciudadanos italianos sugiere que ya existían indicios de posibles irregularidades en el tratamiento de la información por parte de DeepSeek. En este sentido, la obligación de responder en un plazo de veinte días representaba un primer paso dentro de un procedimiento que, de no contar con explicaciones satisfactorias, podía derivar en restricciones más severas. Precisamente, el 30 de enero de 2025, apenas dos días después de la solicitud inicial, el Garante adoptó una decisión drástica: la limitación inmediata del tratamiento de datos de usuarios italianos por parte de DeepSeek, medida que evidencia la insuficiencia de la respuesta ofrecida por la compañía.
Uno de los puntos más reveladores de este episodio reside en la postura adoptada por DeepSeek ante las exigencias regulatorias italianas. Según se desprende de la comunicación mantenida con el Garante, la empresa china alegó que no opera en Italia y que, por tanto, no le resulta de aplicación la normativa europea en materia de protección de datos. Este argumento, sin embargo, plantea cuestiones de enorme relevancia jurídica, especialmente en lo que respecta al alcance territorial del RGPD y la responsabilidad de las entidades que procesan datos de ciudadanos europeos sin contar con una presencia física en el territorio de la Unión.
El fundamento de la intervención del Garante italiano se encuentra en el artículo 3 del RGPD, que establece la aplicabilidad extraterritorial del reglamento en aquellos casos en los que una entidad, aunque no tenga presencia en la Unión Europea, procese datos de ciudadanos europeos en el marco de la oferta de bienes o servicios o en función de la monitorización de su comportamiento. DeepSeek, como chatbot de inteligencia artificial, se ofrece como un servicio accesible globalmente, lo que permite inferir que se encuentra dentro del ámbito de aplicación del RGPD. La alegación de la empresa de no operar en Italia, por tanto, no resulta suficiente para sustraerse a la normativa europea.
El principio de responsabilidad proactiva recogido en el RGPD exige que las entidades responsables del tratamiento de datos implementen mecanismos que aseguren la legalidad de sus operaciones, incluyendo la transparencia informativa, la existencia de una base jurídica adecuada y la garantía de derechos de los interesados. En este caso, la falta de respuesta satisfactoria por parte de DeepSeek, sumada a la opacidad en torno a la ubicación de los servidores y los métodos de recolección de datos, justifica la adopción de medidas cautelares como la limitación del tratamiento, de acuerdo con el artículo 58.2 del RGPD.
Un aspecto clave del análisis radica en el posible uso de web scraping para entrenar el modelo de inteligencia artificial. Si DeepSeek ha recopilado datos personales de ciudadanos europeos sin consentimiento ni información previa, podría estar vulnerando los principios de licitud, lealtad y transparencia consagrados en el artículo 5 del RGPD. Este punto resulta especialmente sensible en el contexto de la inteligencia artificial generativa, donde la frontera entre la recopilación legítima de datos y la apropiación indebida de información personal se vuelve difusa.
Otro elemento de particular interés es la cuestión de la transferencia internacional de datos. Si los datos de los usuarios italianos han sido almacenados en servidores ubicados en China sin contar con garantías adecuadas, se produciría una vulneración del capítulo V del RGPD, que impone restricciones a la transferencia de datos a terceros países que no ofrecen un nivel de protección equivalente al del Espacio Económico Europeo. Dado que China no ha sido reconocida por la Comisión Europea como un país que garantiza un nivel adecuado de protección de datos, cualquier transferencia de información personal desde la UE hacia servidores chinos debería estar sustentada en mecanismos como cláusulas contractuales tipo o reglas corporativas vinculantes. La falta de claridad sobre este aspecto refuerza la legitimidad de la actuación del Garante italiano.
El caso DeepSeek se inscribe en una tendencia más amplia de conflicto entre reguladores europeos y empresas tecnológicas extraeuropeas, en la que el cumplimiento del RGPD se convierte en un punto de fricción constante. La rápida actuación del Garante italiano refleja no solo la firmeza de la autoridad de control en la defensa de los derechos de los ciudadanos, sino también la creciente tensión entre la expansión global de la inteligencia artificial y los marcos regulatorios diseñados para proteger la privacidad y la seguridad de los datos personales. Precisamente, ha habido más avisos.
La Organización de Consumidores y Usuarios (en adelante, OCU) ha emitido una advertencia seria sobre los riesgos que implica el uso de DeepSeek, una nueva inteligencia artificial de origen chino que ha ganado notoriedad por sus capacidades avanzadas en razonamiento matemático y programación. Sin embargo, la OCU ha detectado deficiencias graves en materia de privacidad y protección de datos, lo que la ha llevado a presentar una denuncia ante la Agencia Española de Protección de Datos (en adelante, AEPD), instando a las autoridades a tomar medidas precautorias. Según la organización, DeepSeek no cumple con los requisitos establecidos en el RGPD, lo que representa un riesgo significativo para los usuarios europeos que interactúan con esta tecnología.
Uno de los principales problemas identificados por la OCU radica en el almacenamiento y tratamiento de datos personales. DeepSeek transfiere y almacena la información de los usuarios en servidores ubicados en China sin ofrecer garantías suficientes sobre la seguridad y el uso que se les da a esos datos. La falta de un representante legal dentro de la Unión Europea agrava la situación, ya que no hay una entidad responsable que pueda responder ante posibles vulneraciones de derechos. Esta opacidad en el manejo de la información suscita preocupaciones sobre el acceso que las autoridades chinas podrían tener a los datos de los usuarios europeos sin que medien criterios de transparencia y proporcionalidad.
Además, la política de privacidad de DeepSeek ha sido calificada como imprecisa e insuficiente. La OCU señala que no se especifican detalles esenciales como los plazos de conservación de los datos, los mecanismos para ejercer derechos fundamentales como la rectificación y supresión de información personal, ni los procedimientos de contacto en caso de incidencias. También se desconoce si la plataforma emplea los datos de sus usuarios para la elaboración de perfiles o la toma de decisiones automatizadas, lo que podría derivar en situaciones de discriminación o sesgo sin el conocimiento ni el consentimiento expreso de los afectados.
Otro aspecto que inquieta a la organización de consumidores es la aparente falta de control sobre el acceso de menores de edad a la plataforma. Aunque DeepSeek indica que sus servicios no están dirigidos a menores de 18 años, no establece mecanismos claros para la verificación de edad ni explica cómo maneja la información de los menores en caso de que accedan a la herramienta sin la autorización de sus tutores legales. Esta falta de previsión expone a los menores a riesgos considerables en un entorno digital donde la protección de su privacidad es un asunto prioritario dentro de la normativa europea.
Pese a que DeepSeek destaca por su código abierto, su bajo coste y su alto rendimiento en determinadas tareas de inteligencia artificial, estos beneficios no compensan los riesgos asociados a su uso. La OCU recomienda a los consumidores evitar la utilización de esta herramienta hasta que se garantice el cumplimiento de la normativa europea de protección de datos. Para aquellos que decidan emplearla pese a las advertencias, la organización aconseja hacerlo con pleno conocimiento de los peligros que implica para la seguridad y privacidad de su información personal. Ante la creciente preocupación sobre el uso de inteligencia artificial de origen extranjero, la OCU insiste en la necesidad de que las autoridades europeas refuercen los controles y adopten medidas que protejan de manera efectiva los derechos digitales de los ciudadanos.
Estos episodios ponen de manifiesto la importancia de fortalecer los mecanismos de supervisión y de garantizar que las empresas que operan en el ámbito digital asuman responsabilidades claras en materia de protección de datos. La inteligencia artificial plantea desafíos inéditos que requieren respuestas igualmente innovadoras, pero ello no puede suponer una erosión de los derechos fundamentales. En última instancia, el dilema subyacente no es meramente tecnológico, sino jurídico y ético: cómo equilibrar la evolución de la inteligencia artificial con la necesidad de preservar la privacidad de los ciudadanos en un entorno cada vez más interconectado.
La entrada La desconfianza italiana (y española) por DeepSeek en materia de protección de datos se publicó primero en Lawyerpress NEWS.
