ringrazio davvero molto Carlo,
che mette in fila una serie di argomenti e di considerazioni che mi
trovo a condividere.
Vorrei fare una sottolineatura: già nelle parole di Carlo ci sono le
tracce di una impianto normativo (quello del GDPR) che mostrava già al
momento della sua formale adozione (parliamo del 2016) molti limiti in
termini di adeguatezza regolativa rispetto ai fenomeni (già allora) in
essere. Da allora le cose, evidentemente, sono molto peggiorate (sempre
in termini di adeguatezza regolativa).
E, tuttavia, il GDPR offre molte munizioni se si volesse approcciare
alla regolazione dei trattamenti dei dati personali, anche con
riferimento alle cd. intelligenze artificiali. Quello che noto, però, è
che, per un verso, in sede UE ci si è imbarcati nella elaborazione di
una disciplina specifica "ad hoc" - il regolamento AI - per altro non
pefettamente coordinata con la disciplina GDPR e che presenta già molti
profili di perplessità/inadeguatezza (per fare solo un esempio, il più
immediato rispetto al nostor tema: non avevano previsto il caso delle
chatbot!).
Dall'altra parte, la regolamentazione che invece c'è (il GDPR) presenta
sì molte inadeguatezze, ma soprattutto mostra - sul piano della
governance - un assetto (ancora) estremamente frammetato che comporta
tempi e modalità di intervento farraginosi e (a volte) barocchi. C'è un
tema di fondo (quanta capacità decisionale si è voluto trattenere in
sede nazionale), che è un nodo gordiano. C'è un tema connesso al modello
della tutela di diritti fondamentali basata su tante autorità
indipendenti quanti sono i paesi membri (non sto criticando l'istituto,
sto sottolineando che non è affatto detto che 27 autorità nazionali
indipendenti siano capaci di coordinarsi adeguatamente; né è dimostrato
che siano capaci di farlo meglio di 27 governi, per intenderci). Per
arrivare ad affermare che Meta (in riferimento ai servizi di Facebook e
Instagram) tratta i dati degli utenti (e anche di terzi non utenti) in
modo che non corrisponde alle basi giuridiche legittimanti previste nel
GDPR (in base ad una causa intentata il giorno stesso che il GDPR è
entrato in vigore, cioè nel maggio del 2018), ed irrogare una
(sostanziosa) multa, _ci sono voluti quasi 5 anni_ (e adesso ci sarà
tutta la trafila dei ricorsi giurisdizionali)! Senza contare la
diversità di vedute mostrata dalle autorità di garanzia nazionali, e che
pare riproporsi anche in sede giurisdizionale (vedi le recenti sentenze
olandesi relative ai terms of service come base contrattuale dei
trattamenti).
Insomma, il tanto decantato "brussel effect" mi pare che debba fare i
conti con una governance ed una capacità di enforcement che non sono
all'altezza degli obiettivi (e dell'ambiente in cui si deve operare). La
scelta, un po' estemporanea e in effetti abbastanza "oscura" nelle sue
motivazioni, del Garante italiano, mi pare un sintomo di questa
situazione complessiva.
(mi associo sempre a Carlo nei ringraziamento per il privilegio di poter
fruire di questo spazio di discussione).
Benedetto
Il 02/04/2023 09:12, Carlo Blengino ha scritto:
Provo a proporvi alcune considerazioni in diritto, giusto per tentare
di dare un contributo, per quel che posso, nell'interpretare un
provvedimento che mi lascia molto perplesso.
1) Il provvedimento è un provvedimento connotato da “particolare
urgenza ed indifferibilità” tanto da non consentire neppure la
convocazione in tempo utile del Garante, ovvero del Collegio dei
Garanti, ed è firmato ed adottato dal solo Presidente. Le ragioni di
tale straordinaria urgenza ed indifferibilità non sono note e non sono
espresse nel provvedimento. Non è una buona partenza e la cosa si
presta a polemiche più o meno strumentali.
2) E’ un provvedimento di _limitazione provvisoria del trattamento
_dei dati personali delle persone che si trovano nel territorio
italiano (a prescindere da cittadinanza oresidenza) e la predetta
limitazione _ha effetto immediato a decorrere dalla data di
ricezione_del provvedimento. Dunque dal 31/03/2023.
C’è poi una seconda imposizione che assegna 20 giorni per comunicare
quali iniziative siano state intraprese al fine di dare attuazione a
quanto prescritto, ovvero l’immediata limitazione del trattamento (io
non leggo altre prescrizioni),e perfornire ogni elemento ritenuto
utile a giustificare le violazioni evidenziate. Violazioni per cui
sussiste un /fumus boni juris/e che saranno oggetto di futura istruttoria.
Non sono stati concessi 20 giorni per conformarsi al GDPR, ma 20
giorni per spiegare cosa hanno immediatamente fatto in relazione al
provvedimento.
3) Prima di affrontare il tema centrale su cosa si intenda per
“limitazione del trattamento” è opportuno precisare quali profili di
illiceità individui il provvedimento. Mi paiono 4, ma non sono sicuro:
i) l’assenza di informativa (che invece c’è); ii l’assenza di base
giuridica neltrattamento dei dati personali nei grandi dataset di
addestramento (tema amplissimo che incide su tutti i sistemi di ML e
non solo); iii) l’inesattezza di dati personali rivelatadagli
out-put errati della chat (questa è davvero significativadi un grave
problema di comprensione del servizio stesso) ed in ultimo iv) il
problema dell'accesso dei minori.
4) Ora, tralasciando le molte considerazioni in diritto che potrebbero
farsi su queste più o meno provate violazioni,ed a prescindere dalla
loro fondatezza, è necessario capire cosa è una “limitazione del
trattamento”. E’fondamentale credoper capire la reale portata del
provvedimento emesso dal Presidente del Garante e quali opzioni avesse
OpenAI al di là di quella, piuttosto semplice, di fregarsene del
provvedimento non essendo stabilita in EU e non essendo pensabile
alcuna capacità esecutiva o impositiva da parte dell’Autorità
Italiana, soprattuttoal di fuori di qualsiasi coordinamento con le
omologhe Autority europee, efficacequanto meno a livello di pressione
politica.
Purtroppo ancora una volta il provvedimento non aiuta a capire quale
limitazione il provider avrebbe dovuto applicare, a quali dati in
concretoe a quali specifici trattamenti; in un sistema in
cuiprobabilmente manco OpenAi sa granularmentecosa c’èe cosaaccade,
non mi pare facile “adempiere” all’ordine immediato...
Sul punto può aiutare ilConsiderando 67 del GDPR ove si legge: N/egli
archivi automatizzati, la limitazione del trattamento dei dati
personali dovrebbe in linea di massima essere assicurata mediante
dispositivi tecnici in modo tale che i dati personali non siano
sottoposti a ulteriori trattamenti e non possano più essere
modificati. Il sistema dovrebbe indicare chiaramente che il
trattamento dei dati personali è stato limitato./
Gli informatici della lista mi aiuteranno a capire come si applica una
limitazione del trattamento sui dati personali di interessati
stabiliti in Italia in una rete quale quella utilizzata da ChatGpt. Mi
chiedo ad esempio come nell’ampio data-set formato dagli archivi delle
principali testate giornalistiche statunitensi (uno negli n° data set
dichiarati)possano esserindividuati, contrassegnati e bloccatii soli
dati delle persone, non italiane, ma stabilite in Italia. Il
provvedimento credo implicherebbe il blocco dell’intera rete, ma sul
punto gli informatici mi aiuteranno.Io non saprei che fare.
Ma al di là dei dati già archiviati, OpenAI dal 31/03/2023 non può
ovviamente trattare, e dunque acquisire, dati di interessati stabiliti
in Italia. Sarebbe singolare non applicare una generica limitazione
all’acquisizione.
Bloccare l’accesso dall’italia, a fronte di un provvedimento così
generico è la prima soluzioneche io suggerirei alprovider ed
ètemol’unica cosa che si puòfare senza bloccare l’intero servizio
worldwide.
_Quel provvedimento d’urgenzanon chiede adeguamenti al GDPR o la messa
in conformità: individua eipotizza alcune possibili violazioni e opera
cautelativamente la limitazione di alcuni dati personali (quelli delle
persone che si trovano nel territorio italiano), alla data31/03/2023.
Punto._
Le critiche al blocco operato da OpenAI ieri mi pare possano avere una
loro fondatezza solo se rapportate alla scelta, del tutto
legittima,tra due opzioni:fregarsene del provvedimento oppurein
qualche modo adempiere nell’unico modo possibile: bloccare l’Italia. E
probabilmente per sfruttare l’abnormità del provvedimento esollevare
un caso OpenAI ha scelto la seconda.
Concordo con Casilli: ci sono analogie con la vicenda Berlusconi degli
anni ‘80. Anche in quel caso una legge inadeguata ed inattuale (e
incompatibile con l’art.21 Cost) si scontrava con una evoluzione
tecnologica che ne palesava l’assoluta iniquità. La mossa di
Berlusconi fu una forzatura del tutto legittima, e fu scelta efficace.
I benefici in termini pluralismo nel settore dei media ed i danni e i
disastri della televisione commerciale sono poi un’altro capitolo
della storia.
Io mi fermo qui, e ringrazio ancora una volta Nexa per questo spazio
di discussione che da mesi, con competenza, dibatte su una cosa grossa
che ci sta accadendo: il tema mi pare davvero non meriti di esser
affrontata dagli enti regolatori italiani con provvedimenti d’urgenza
inutili, inefficaci e forieri di danno per l’Italia. Purtroppo
l’andazzo è questo, non solo nell’approccio alle questioni
tecnologiche a noi care.
Buona domenica
Carlo
Il giorno sab 1 apr 2023 alle ore 16:38 de petra giulio
<giulio.depe...@gmail.com> ha scritto:
Leggo sul sito del Garante il testo del provvedimento:
OpenAI, che non ha una sede nell’Unione ma ha designato un
rappresentante nello Spazio economico europeo, deve comunicare
entro 20 giorni le misure intraprese in attuazione di quanto
richiesto dal Garante, pena una sanzione fino a 20 milioni di euro
o fino al 4% del fatturato globale annuo.
Non è una drammatizzazione, ma un provvedimento coerente con i
rilievi formulati e in linea con altri provvedimenti emanati dal
Garante.
Entro 20 giorni Open AI deve comunicare quali misure intende
adottare per eliminare le cause dei rilievi formulati. Non attuare
le misure, che possono richiedere tempo, ma solo comunicarle al
Garante.
Non comprendo proprio perché con questa decisione:
‘lo Stato regola i comportamenti dei cittadini riducendo i gradi
di libertà e l'agibilità dello spazio pubblico.’
Al contrario mi sembra che l’Autorita’ di garanzia, organo dello
Stato, ma non del governo, cerchi di svolgere il suo compito di
tutela dei cittadini, provando a rendere meno infrequentabile uno
spazio pubblico colonizzato da imprese private digitali.
A meno di eccepire sul merito dei rilievi del Garante, o di
contestare le regole che il Garante ha l’obbligo (non la
discrezione) di attuare, la questione politica evidente è quella
della enorme sproporzione di potere tra gli organismi pubblici
nazionali che hanno il compito di attuare le regole decise in sede
politica e le grandi imprese digitali alle quali quelle regole
sono destinate.
Il richiamo che fa Antonio Casilli ad un altro momento della
recente storia italiana mi sembra efficace e pertinente.
G.
Il giorno sab 1 apr 2023 alle 12:05 Guido Vetere
<vetere.gu...@gmail.com> ha scritto:
Mentre continuo a veleggiare su ChatGPT con una banalissima
VPN, mi inoltro in qualche tentativo di ragionamento.
Immagino che il Garante abbia valutato che le garanzie di
protezione dei dati personali fornite da OpenAI siano
insufficienti, e non ho ragione di credere che tali
valutazioni siano erronee.
Ma a questo punto interviene una decisione: diffidare OpenAI e
minacciare una multa. A fronte di questa, la società
statunitense decide a sua volta di sospendere il servizio in
Italia.
Entrambe le opzioni mi sembrano fuori misura: da una parte
sarebbe bastata, di primo acchito, una richiesta di
chiarimenti e un invito alla cautela alla nostra cittadinanza;
dall'altra si sarebbe potuto attendere il decorso dei termini
della diffida italiana.
Siamo pertanto di fronte a una drammatizzazione.
L'authority italiana, che non è il Governo ma forse coglie lo
'spirito dei tempi', agisce in modo patriarcale: lo Stato
regola i comportamenti dei cittadini riducendo i gradi di
libertà e l'agibilità dello spazio pubblico.
OpenAI coglie l'occasione per ridurre all'assurdo la posizione
di chi critica gli sviluppi e gli impieghi della loro loro
tecnologia.
Vittime di questa drammatizzazione sono coloro che in tutto il
mondo stanno cercando di costruire uno sviluppo sostenibile,
sicuro e sociale delle tecnologie.
G.
On Sat, 1 Apr 2023 at 11:19, Enrico Nardelli
<narde...@mat.uniroma2.it> wrote:
A me pare che la decisione del Garante sia formalmente
ineccepibile: sarò lieto di leggere pareri difformi da
parte degli avvocati esperti di privacy presenti in lista.
Per il momento è un atto urgente del Presidente che il
collegio deve confermare entro 30 giorni (come immagino
accadrà).
Però penso che quelli che ritengo siano i due punti
principali contestati:
- la mancanza di un'informativa rispondente al GDPR sui
dati raccolti
- la mancanza di un sistema di verifica dell'età
possano essere rimediati in un tempo sicuramente inferiore
a 6 mesi (la moratoria richiesta dalla famosa lettera).
Personalmente proverei a fare qualcos'altro, basandomi
sulla legislazione in materia di informazione al pubblico.
Non sono un avvocato, quindi non posso dire se sia
fattibile, ma in sostanza qui abbiamo un sistema che - a
differenza dei motori di ricerca che rispondono agli
utenti con qualcosa di realmente esistente sul web -
fabbrica informazioni false.
Questo difetto può essere corretto con molta più
difficoltà e quindi quest'approccio fornirebbe, se
fattibile, una base legale per bloccare l'uso di ChatGPT
per un tempo molto più lungo.
Sia chiaro: non ritengo abbia senso bloccare ricerca e
sviluppo in questo settore, ma qui c'è qualcosa di
equivalente (anzi, probabilmente superiore) ad una
tecnologia per costruire a costo irrisorio reattori
nucleari portatili. Possono essere un enorme vantaggio per
tutti, ma possono essere anche assai pericolosi. Una
qualche forma di regolamentazione va trovata.
Aggiungo che un reclamo presentato negli USA alla Federal
Trade Commission da parte del Center for AI and Digital
Policy
(https://s899a9742c3d83292.jimcontent.com/download/version/1680174583/module/8450182663/name/PRESS-CAIDP-OpenAI-FTC-Complaint.pdf)
cita, tra l'altro, la "consumer deception" come motivo per
bloccare l'utilizzo di questi strumenti.
Concludo osservando che il paragone con regimi autoritari
mi sembra un po' fuor di luogo: questo collegio non è
espressione dell'attuale governo (che comunque è il
risultato di elezioni democraticamente svolte) ma del
governo Draghi.
Ciao, Enrico
--
-- EN
https://www.hoepli.it/libro/la-rivoluzione-informatica/9788896069516.html
======================================================
Prof. Enrico Nardelli
Presidente di "Informatics Europe"
Direttore del Laboratorio Nazionale "Informatica e Scuola"
del CINI
Dipartimento di Matematica - Università di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
home page: https://www.mat.uniroma2.it/~nardelli
blog: https://link-and-think.blogspot.it/
tel: +39 06 7259.4204 fax: +39 06 7259.4699
mobile: +39 335 590.2331 e-mail: narde...@mat.uniroma2.it
online meeting: https://blue.meet.garr.it/b/enr-y7f-t0q-ont
======================================================
--
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
--
*
*
*Avv. Carlo Blengino*
*
*
/Via Duchessa Jolanda n. 19,/
/10138 Torino (TO) - Italy/
/tel. +39 011 4474035/
Penalistiassociati.it
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
