Whitebridge AI fue acusado de ilegalidad, la venta de advertencias falsas sobre "contenido político peligroso" ha generado controversia

La empresa de IA de Lituania Whitebridge AI ha sido denunciada por la organización de privacidad de la UE Noyb por violar múltiples cláusulas del GDPR, vendiendo informes de reputación que contienen advertencias falsas de “contenido 'expuesto'” y “contenido político peligroso”, exigiendo a los usuarios que paguen para verlos y utilizando “firmas electrónicas” para bloquear correcciones, lo que ha generado controversias sobre la privacidad.

Informe de Whitebridge AI sobre la revelación del modelo de negocio: Monetización de datos mediante intimidación

La empresa Whitebridge AI, con sede en Lituania, se ha visto envuelta en una tormenta de privacidad por supuestamente vender “informes de reputación” basados en la recolección ilegal de datos y desinformación generada por IA. La organización de defensa de la privacidad con sede en Austria, Noyb, ha solicitado a la Autoridad Nacional de Protección de Datos de Lituania que prohíba a Whitebridge AI “procesar datos personales recopilados y la información falsa generada por IA”.

Whitebridge AI ofrece dos servicios basados en inteligencia artificial:

Servicio de informe de reputación: Genera un informe detallado que describe el estado en línea de una persona, incluyendo publicaciones en redes sociales, imágenes, artículos de noticias y otros rastros digitales.

Servicio de monitoreo en tiempo real: seguimiento continuo de las actividades en línea de la persona objetivo, notificando de inmediato a los usuarios de pago si hay algún cambio.

Este modelo de negocio en sí no es novedoso: servicios similares de “gestión de reputación digital” han existido en Europa y América durante años. Sin embargo, la singularidad del informe de Whitebridge AI radica en su estrategia de “intimidar y luego monetizar”: según los documentos de queja de Noyb, los informes generados por la empresa incluyen advertencias falsas sobre “contenido político desnudo” y “contenido político peligroso”, creando intencionadamente una sensación de ansiedad, y luego exigen a los usuarios que paguen para poder ver el informe completo o realizar correcciones.

La abogada de protección de datos de Noyb, Lisa Steinfeld, no se anda con rodeos al señalar: “El modelo de negocio de Whitebridge AI es extremadamente poco ético, con el objetivo de asustar a las personas para que paguen por datos que han sido recopilados ilegalmente. Según la legislación de la UE, las personas tienen derecho a acceder a sus datos de forma gratuita.”

Noyb denuncia tres grandes violaciones del GDPR

El documento de queja (PDF) presentado por Noyb acusa a Whitebridge AI de violar múltiples cláusulas fundamentales del Reglamento General de Protección de Datos (GDPR) de Europa, incluyendo los artículos 5, 6, 9, 12, 14, 15 y 16. Estas cláusulas abarcan los fundamentos de la legalidad del procesamiento de datos, la protección de datos de categorías especiales, las obligaciones de transparencia, el derecho de acceso y el derecho de rectificación, entre otros principios básicos.

Origen de datos ilegales: redes sociales no 'obviamente públicas'

Whitebridge AI afirma en su sitio web: “Cumplimos completamente con el GDPR, asegurando que su información personal esté protegida y se procese de manera transparente. Solo recopilamos información pública, usted tiene derecho a acceder, corregir, eliminar y limitar el procesamiento de sus datos.”

Sin embargo, Noyb refutó diciendo que la mayor parte de la información en el informe de Whitebridge AI parece provenir de sitios de redes sociales o de búsquedas en estos sitios, y la jurisprudencia europea ha dejado claro que estos datos no pertenecen a la categoría de “manifiestamente públicos” (manifestly made public), que es el umbral clave para el tratamiento de datos personales sensibles según el artículo 9 del GDPR.

El núcleo de esta disputa legal radica en la definición de “datos públicos”:

Posición de Whitebridge AI: Cualquier información que se pueda encontrar en la red es “pública”, por lo tanto, se puede recopilar y utilizar comercialmente de forma libre.

Sentencia del Tribunal de la UE: Incluso si la información es técnicamente accesible, no significa que el sujeto de los datos tenga la intención de hacerla “manifiestamente pública” para el uso comercial de terceros arbitrarios. Las publicaciones en redes sociales generalmente tienen un público restringido (amigos, seguidores, etc.), y no están disponibles para el público en general sin restricciones.

En 2023, el Tribunal de Justicia de la Unión Europea destacó en varios casos que los datos “manifiestamente públicos” a los que se refiere el artículo 9, apartado 2, letra e) del GDPR, deben ser información que el sujeto de datos tiene la intención clara de hacer pública ante el público en general. Esto significa que:

Publicación visible solo para amigos en Facebook: no se considera públicamente obvia

Tweet publicado en Twitter: Puede considerarse obvio que es público, pero aún se debe evaluar la legalidad del uso comercial.

Currículum profesional en LinkedIn: zona gris, depende de la configuración de privacidad del usuario

Whitebridge AI claramente ha adoptado la interpretación más amplia, considerando todos los datos accesibles como “públicos”, lo que contradice el espíritu de la jurisprudencia del Tribunal de la Unión Europea.

Contenido generado por IA falso: advertencia sobre desnudez y política

Noyb representó a dos demandantes de identidad desconocida, quienes presentaron consultas bajo el artículo 15 del GDPR (que otorga a las personas el derecho a acceder a sus propios datos), pero no recibieron ninguna respuesta. Noyb luego compró los informes de Whitebridge AI de estos demandantes y descubrió que el informe “contenía advertencias falsas sobre 'contenido político desnudo' y 'peligroso'”.

Este hallazgo revela un grave problema con el contenido generado por IA:

Problema de Alucinación en AI: Los modelos de AI pueden generar conclusiones completamente falsas basadas en fragmentos de datos no relacionados. Por ejemplo, si alguien comparte una foto de vacaciones en la playa en las redes sociales, la AI podría etiquetarla incorrectamente como “desnudo”.

Diseño malicioso posible: Lo que es aún más preocupante es que estas falsas advertencias pueden no ser defectos técnicos, sino estrategias comerciales: a través de la creación de etiquetas negativas sensacionalistas, obligan a los usuarios a pagar para ver los detalles o a solicitar su eliminación.

Riesgo de daño a la reputación: Si estos informes falsos son adquiridos por empleadores, compañías de seguros u otros terceros, pueden causar graves daños profesionales y personales a la parte afectada.

El artículo 5, apartado 1, letra d) del GDPR exige que el tratamiento de datos sea “exacto” y se mantenga actualizado cuando sea necesario. El contenido falso en el informe de Whitebridge AI viola claramente este principio.

Trampa de pago por eliminación: violación del derecho de acceso gratuito

Cuando el demandante intenta corregir su informe según el artículo 16 del GDPR, Whitebridge AI exige una “firma electrónica cualificada” (qualified electronic signature) para llevar a cabo la solicitud, Noyb señala claramente que no existe tal requisito en la ley de la UE.

GDPR Artículo 12, párrafo 5 establece claramente: “La información y las acciones proporcionadas de acuerdo con los artículos 15 a 22 deben ser gratuitas.” Esto significa que:

Acceder a sus propios datos: debe ser gratuito

Corrección de datos erróneos: debe ser gratis

Eliminar datos inapropiados: debe ser gratuito

La exigencia de una “firma electrónica cualificada” es una barrera técnica. En la UE, una firma electrónica cualificada necesita un certificado digital emitido por un organismo de certificación, cuyo costo puede alcanzar decenas a más de cien euros, y el proceso es complejo. Este requisito convierte, de hecho, el “derecho gratuito” en un “derecho de pago”.

Lo que es aún más grave es que este diseño puede crear un ciclo vicioso:

1. El usuario descubre que el informe de Whitebridge AI contiene contenido negativo falso.

2. El usuario solicita una corrección gratuita, pero se le pide que proporcione una firma electrónica costosa.

3. Los usuarios se ven obligados a renunciar a la corrección o son inducidos a comprar el “servicio de gestión de reputación” de la empresa.

La empresa se beneficia de la ansiedad de la fabricación

Reglamento GDPR de la UE contra la extracción de datos de IA

El caso de Whitebridge AI destaca el conflicto fundamental entre las prácticas de datos del GDPR y la era de la IA. A continuación se presentan las cláusulas clave del GDPR involucradas en el caso y su significado en el contexto de la IA:

Artículo 5 (Principios de Tratamiento de Datos): Se exige que el tratamiento de datos sea legal, justo, transparente y preciso. Las advertencias falsas generadas por IA violan el principio de “precisión”, mientras que un proceso de obtención no transparente viola el principio de “transparencia”.

Artículo 6 (Base de legalidad): Cualquier procesamiento de datos debe tener una base legal, como el consentimiento, contrato, obligación legal o interés legítimo. Whitebridge AI alega basarse en el “interés legítimo”, pero en ausencia de consentimiento del usuario y con un daño evidente a los intereses del usuario, esta base es difícil de establecer.

Artículo 9 (Datos Sensibles): Se prohíbe el procesamiento de datos que revelen raza, opiniones políticas, creencias religiosas, orientación sexual, etc., a menos que se cumplan excepciones específicas. La etiqueta “Contenido Político Peligroso” puede implicar inferencias sobre opiniones políticas, y la advertencia de “Desnudez” puede implicar insinuaciones, ambos pertenecen a la categoría de datos sensibles.

Artículos 12 y 14 (Obligación de transparencia y notificación): El controlador de datos debe informar activamente al sujeto de datos que sus datos están siendo procesados. El reclamante de Noyb nunca recibió una notificación de Whitebridge AI, y solo descubrió que sus datos estaban siendo procesados cuando compró el informe de manera activa.

Artículo 15 (Derecho de acceso): Las personas tienen derecho a obtener de forma gratuita la confirmación y una copia del tratamiento de sus datos. El modelo de pago de Whitebridge AI viola directamente este derecho fundamental.

Artículo 16 (Derecho de rectificación): Las personas tienen derecho a solicitar la rectificación de datos inexactos. Establecer obstáculos para la firma electrónica en la práctica priva a las personas de este derecho.

La acumulación de violaciones de estos términos muestra que el modelo de negocio de Whitebridge AI es completamente contrario al espíritu fundamental del GDPR: otorgar a los individuos el control sobre sus datos.

Respuesta oficial de Whitebridge AI: enfatiza la legalidad pero hay muchas dudas

Después de la presentación de este artículo, un portavoz de Whitebridge AI proporcionó una declaración para defender las prácticas de la empresa: “WhiteBridge AI valora mucho la protección de datos y la privacidad. Todos los datos personales que maneja la empresa se recogen únicamente de fuentes públicas y solo se utilizan para fines legales y claramente definidos. Queremos dejar en claro que WhiteBridge AI no recoge ni almacena proactivamente ningún dato personal.”

La declaración enfatiza varias afirmaciones clave:

Modo de procesamiento pasivo: “El procesamiento de datos solo se realiza después de recibir una solicitud de elaboración de informes de un cliente para una persona específica” — esto significa que la empresa afirma no mantener una base de datos permanente y solo extrae datos cuando hay una solicitud de pago.

Política de eliminación de 30 días: “WhiteBridge AI cumple estrictamente con las regulaciones de retención de datos, todos los informes publicados serán eliminados después de 30 días” — esto parece ser para cumplir con el principio de minimización de datos del GDPR.

Sin declaración de base de datos: “WhiteBridge AI no almacenará información personal sin una solicitud legal” - tratando de marcar la diferencia con los corredores de datos tradicionales.

Sin embargo, estas defensas presentan dudas evidentes:

Definición de fuente pública ambigua: La empresa no ha aclarado su definición específica de “fuente pública” ni cómo asegura que estas fuentes cumplan con el estándar de “obviedad pública” del artículo 9 del GDPR.

Problemas del modo pasivo: incluso si se procesa bajo demanda, aún se deben cumplir las obligaciones de notificación (artículo 14) y el derecho de acceso (artículo 15). El reclamante de Noyb claramente no recibió notificación y el derecho de acceso está bloqueado por un muro de pago.

Vulnerabilidad eliminada en 30 días: El informe puede ser descargado y distribuido múltiples veces dentro de los 30 días, y eliminar el original no puede deshacer el daño ya causado. Más importante aún, si el informe contiene información falsa, el período de 30 días es suficiente para causar un grave daño a la reputación.

Contradicción de la falta de declaración de base de datos: Si la empresa realmente no tiene ninguna base de datos, ¿cómo puede generar un informe rápidamente después de recibir una solicitud? Esto sugiere que la empresa podría haber establecido previamente algún tipo de mecanismo de índice o caché.

La empresa también respondió a las acusaciones de Noyb, afirmando que “las afirmaciones sobre 'modelos comerciales indebidos' y la supuesta recopilación y venta ilegal de datos carecen de fundamento”, y expresó su “disposición a entablar un diálogo constructivo”. Sin embargo, en cuanto a las acusaciones específicas sobre contenido generado por IA falso y los requisitos de firma electrónica, la declaración no proporcionó explicaciones sustantivas.

Tu reputación digital está siendo reescrita por la IA

El caso de Whitebridge AI no es un evento aislado, sino que revela una crisis sistémica en la gestión de identidades digitales en la era de la IA.

Hace un año, Stacey Edmonds, cofundadora y directora ejecutiva de la organización de ciberseguridad australiana Dodgy or Not?, publicó una entrada en LinkedIn expresando su preocupación por el servicio de recopilación de datos de Whitebridge AI. Edmonds escribió que se puso en contacto con Whitebridge AI y con la Autoridad Nacional de Protección de Datos de Lituania para expresar su preocupación. Sin embargo, su consulta parece no haber tenido ningún impacto en las prácticas de la empresa.

Esta falta de regulación destaca dos problemas:

Dificultades en la aplicación de la ley transfronteriza: Whitebridge AI está registrado en Lituania, pero presta servicios a usuarios de todo el mundo. Incluso si la autoridad reguladora de un país determina que es ilegal, la aplicación de la ley aún enfrenta desafíos de jurisdicción.

Recursos de supervisión insuficientes: La Autoridad Nacional de Protección de Datos de Lituania puede carecer de suficientes recursos para investigar a fondo los complejos casos de datos de IA. Aunque el GDPR otorga un poder considerable, la capacidad de ejecución depende del compromiso de cada estado miembro.

Quizás la queja formal de Noyb reciba más atención. Como una de las organizaciones de defensa de la privacidad más activas de Europa, Noyb ha logrado impulsar sanciones significativas contra gigantes tecnológicos como Facebook y Google. Si las autoridades de Lituania toman medidas contra Whitebridge AI, podría sentar un precedente para otros países de la UE y frenar modelos de negocio similares de “monetización del miedo de la IA”.

Para los usuarios comunes, la lección de este caso es: tu identidad digital puede estar siendo analizada, etiquetada e incluso distorsionada por sistemas de IA sin que tú lo sepas. Buscar regularmente tu nombre, establecer configuraciones de privacidad en redes sociales y compartir información personal con precaución no solo es una buena práctica de protección de la privacidad, sino que también es una defensa necesaria contra la manipulación digital de la reputación impulsada por la IA.