Uma ação coletiva movida em 13 de maio no tribunal federal da Califórnia alega que a OpenAI compartilhou consultas de chat, e-mails e user IDs com Meta e Google através das ferramentas de rastreamento Meta Pixel e Google Analytics, sem obter o consentimento informado que o estatuto de escuta ilegal da Califórnia exige. O advogado Robert Freund está na petição. A queixa cita o California Invasion of Privacy Act (CIPA) e o Electronic Communications Privacy Act federal. A OpenAI não comentou imediatamente. Esta é a fase de alegação — nada foi adjudicado — mas o mecanismo nomeado é concreto e vale a pena entender.
O padrão técnico alegado é o embed ad-tech padrão: scripts Meta Pixel e Google Analytics carregados em páginas onde usuários submetem dados, transmitindo alguma carga útil para Meta e Google para atribuição publicitária. O mesmo padrão produziu um processo CIPA crescente contra portais de saúde e aplicativos de consumo desde 2023. A pergunta técnica não resolvida — a que decide a ação — é o que realmente fluiu para os rastreadores. Se a carga útil era metadados de visualização de página, URLs e cliques, isso é web analytics padrão que sobreviveu à maioria dos desafios CIPA. Se corpos de mensagens de chat, prompts ou conteúdos de e-mail transitaram pelas chamadas pixel, essa é a leitura wiretap que os autores estão pressionando. A queixa afirma a segunda; a descoberta decidirá.
O gancho legal aqui é específico da Califórnia: CIPA é um estatuto de consentimento de duas partes, e a doutrina que fez o dano nos casos Pixel trata o rastreador terceiro como uma "não-parte da comunicação" em vez de uma extensão provedora-de-serviços do site. A política de privacidade da OpenAI divulga sim que "coleta, armazena e compartilha" entradas de consumidores e informações pessoais — a alegação dos autores é que a divulgação geral não equivale a consentimento informado específico para rotear conteúdo de chat através da infraestrutura ad-tech da Meta e Google. A mesma lacuna legal se senta dentro da maioria dos produtos IA de consumo que têm um site de marketing, uma superfície de chat logada e atribuição baseada em pixel.
Para builders que enviam IA de consumo: audite o que realmente entra nos seus rastreadores. Campos de formulário, texto de prompt, texto de resposta, query strings, IDs de conversa — cada carga útil é uma evidência potencial em uma futura petição CIPA se contiver conteúdo de comunicação em vez de metadados de navegação. A divulgação genérica de política de privacidade vem perdendo nessa questão. O server-side tagging que despoja o conteúdo antes de chegar à Meta ou Google é a resposta arquitetural para a qual algumas equipes migraram; os banners de consentimento que nomeiam especificamente rastreadores de terceiros são a resposta legal de outras. Espere mais dessas petições contra os principais produtos IA este ano — a OpenAI é o primeiro grande nome IA-nativo a entrar em uma linha de litígio que vinha atingindo hospitais, varejistas e apps de telessaúde.