Comissários de privacidade do Canadá dizem que a OpenAI violou leis federais e provinciais de dados
Pontos principais
- Privacy Commissioner Philippe Dufresne finds OpenAI non‑compliant with Canadian federal and provincial privacy laws.
- Investigation cites massive personal data collection without consent or adequate safeguards.
- Users lack ability to access, correct, or delete personal information used to train ChatGPT.
- OpenAI commits to new user notices, stronger data‑filtering tools, and improved data‑export processes.
- Company will protect retired datasets and test safeguards for minor relatives of public figures.
- Findings intensified after OpenAI’s handling of a warning about the Tumbler Ridge shooter.
- Regulators will monitor OpenAI’s compliance and issue follow‑up reports.
O comissário de privacidade do Canadá, Philippe Dufresne, concluiu que a OpenAI não cumpriu com as leis federais e provinciais de privacidade do país durante o treinamento de seus modelos de inteligência artificial. A investigação encontrou que a empresa coletou grandes quantidades de dados pessoais sem salvaguardas ou consentimento adequados, e que os usuários não têm como corrigir ou excluir essas informações. A OpenAI prometeu uma série de medidas corretivas, incluindo novos avisos para os usuários, ferramentas de filtragem de dados mais fortes e proteções mais rigorosas para conjuntos de dados aposentados.
O comissário de privacidade do Canadá, Philippe Dufresne, anunciou que a OpenAI violou as leis federais e provinciais de privacidade durante o desenvolvimento de seus modelos de inteligência artificial. A conclusão segue uma investigação conjunta com reguladores de privacidade em Alberta, Quebec e Colúmbia Britânica, que identificou um padrão de práticas de coleta de dados que violaram a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) e estatutos provinciais comparáveis.
Os comissários disseram que a OpenAI coletou "grandes quantidades de informações pessoais sem salvaguardas adequadas" e não obteve consentimento antes de usar esses dados para treinamento de modelos. Embora o ChatGPT exiba um aviso de que as interações podem ser usadas para treinamento, os reguladores observaram que a OpenAI também se baseou em conjuntos de dados de terceiros - raspados ou comprados da internet pública - que contêm detalhes pessoais que muitos indivíduos não sabiam que estavam sendo coletados.
Outro ponto de controvérsia é a falta de controle do usuário. Os comissários notaram que os usuários do ChatGPT não podem acessar, corrigir ou excluir os dados pessoais que podem ter sido incorporados à base de conhecimento do sistema. Além disso, a agência criticou as "tentativas fracas" da OpenAI de reconhecer e corrigir respostas inaccuradas geradas pelo modelo.
Reformas prometidas pela OpenAI
A OpenAI, que os comissários descreveram como "aberta e responsiva", concordou em implementar uma série de ações corretivas. A empresa já aposentou versões anteriores de modelos que a investigação considerou não conformes. Agora, ela emprega uma ferramenta de filtragem projetada para detectar e mascarar identificadores pessoais - como nomes e números de telefone - em dados da internet pública e conjuntos de dados licenciados usados para treinamento.
Dentro de três meses, a OpenAI adicionará um novo aviso à versão sem login do ChatGPT, alertando os usuários de que suas conversas podem ser usadas para treinamento e aconselhando contra a partilha de informações sensíveis. Dentro de seis meses, a empresa simplificará suas ferramentas de exportação de dados e esclarecerá como os usuários podem questionar a precisão das informações fornecidas pelo ChatGPT. A empresa também se comprometeu a confirmar aos comissários de privacidade que os conjuntos de dados aposentados estão protegidos contra uso futuro no desenvolvimento.
Medidas de segurança adicionais incluem testar medidas de proteção para parentes menores de figuras públicas, garantindo que o modelo negue pedidos para divulgar detalhes pessoais. Essas medidas visam abordar as preocupações dos comissários sobre a exposição involuntária de dados privados.
A investigação de privacidade, aberta em 2023, ganhou urgência renovada após o tiroteio em massa em Tumbler Ridge, Colúmbia Britânica, em fevereiro de 2026. A OpenAI havia sinalizado a conta do suposto atirador em 2025 por conter ameaças violentas, mas não encaminhou o aviso às agências de aplicação da lei canadenses. Os reguladores subsequentemente exigiram protocolos de segurança mais fortes, e a OpenAI concordou em colaborar mais estreitamente com agências de aplicação da lei e saúde em frente.
Embora os comissários tenham reconhecido a cooperação da OpenAI, eles enfatizaram que o cumprimento da legislação de privacidade permanecerá uma "obrigação contínua". A agência planeja monitorar a implementação das medidas acordadas pela empresa e emitirá relatórios de follow-up conforme necessário.