Philippe Dufresne, kanadyjski komisarz ds. prywatności, po przeprowadzeniu dochodzenia w sprawie praktyk firmy w zakresie gromadzenia danych i wyrażania zgody, stwierdził, że OpenAI „nie jest zgodne” z kanadyjskimi federalnymi i prowincjonalnymi przepisami dotyczącymi prywatności. Dochodzenie objęło partnerów z Alberty, Quebecu i Kolumbii Brytyjskiej i skupiało się na podejściu OpenAI zgodnie z ustawą o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA).
Śledczy zgłosili, że OpenAI zebrało ogromne ilości danych osobowych bez wystarczających zabezpieczeń i bez uzyskania niezbędnej zgody. Chociaż ostrzeżenia w ChatGPT wskazywały, że interakcje mogą zostać wykorzystane do celów szkoleniowych, podkreślono, że dane osób trzecich zakupione lub pobrane przez firmę obejmują dane osobowe, o których użytkownicy mogą nie być świadomi.
Dochodzenie wykazało, że użytkownicy ChatGPT nie mieli możliwości dostępu do swoich danych, poprawiania ich ani usuwania, co budzi poważne obawy dotyczące prywatności. Ponadto śledczy skrytykowali OpenAI za niewystarczające uznanie nieścisłości w niektórych odpowiedziach generowanych przez ChatGPT.
Dufresne oświadczył, że OpenAI współpracowało podczas dochodzenia i zobowiązało się do wprowadzenia kilku zmian, aby zapewnić zgodność z kanadyjskimi przepisami dotyczącymi prywatności. OpenAI wycofało wcześniejsze modele, które naruszały przepisy, i obecnie wykorzystuje narzędzie filtrujące do maskowania danych osobowych w publicznie dostępnych danych i licencjonowanych zbiorach danych wykorzystywanych do celów szkoleniowych.
W ciągu trzech miesięcy OpenAI doda do niezalogowanej wersji ChatGPT powiadomienie, informujące użytkowników, że czaty mogą służyć do celów szkoleniowych i odradzające udostępnianie poufnych informacji. Ponadto firma planuje uprościć swoje narzędzia do eksportu danych i wyjaśnić proces, w którym użytkownicy mogą kwestionować dokładność odpowiedzi ChatGPT w ciągu najbliższych sześciu miesięcy.
OpenAI zgodziło się również potwierdzić Komisarzom ds. Prywatności, że dla przyszłych wycofanych zbiorów danych zostaną wprowadzone solidne zabezpieczenia. Ponadto spółka przetestuje środki ochronne mające na celu ochronę danych osobowych nieletnich krewnych osób publicznych.
Dochodzenie w sprawie praktyk OpenAI dotyczących prywatności rozpoczęło się w 2023 r. Niedawno firma znalazła się pod kontrolą w związku z masową strzelaniną w Tumbler Ridge w lutym 2026 r. Z raportów wynika, że konto rzekomego strzelca zostało w 2025 r. oznaczone jako zawierające ostrzeżenia o przemocy w świecie rzeczywistym, jednak OpenAI nie przekazało tych obaw organom ścigania.
Po strzelaninie organy regulacyjne zażądały zmian w protokołach bezpieczeństwa OpenAI, co doprowadziło do zgody firmy na bliższą współpracę w przyszłości z kanadyjskimi organami ścigania i agencjami zdrowia.
