ringrazio davvero molto Carlo, che mette in fila una serie di argomenti e di considerazioni che mi trovo a condividere.
Vorrei fare una sottolineatura: già nelle parole di Carlo ci sono le tracce di una impianto normativo (quello del GDPR) che mostrava già al momento della sua formale adozione (parliamo del 2016) molti limiti in termini di adeguatezza regolativa rispetto ai fenomeni (già allora) in essere. Da allora le cose, evidentemente, sono molto peggiorate (sempre in termini di adeguatezza regolativa). E, tuttavia, il GDPR offre molte munizioni se si volesse approcciare alla regolazione dei trattamenti dei dati personali, anche con riferimento alle cd. intelligenze artificiali. Quello che noto, però, è che, per un verso, in sede UE ci si è imbarcati nella elaborazione di una disciplina specifica "ad hoc" - il regolamento AI - per altro non pefettamente coordinata con la disciplina GDPR e che presenta già molti profili di perplessità/inadeguatezza (per fare solo un esempio, il più immediato rispetto al nostor tema: non avevano previsto il caso delle chatbot!). Dall'altra parte, la regolamentazione che invece c'è (il GDPR) presenta sì molte inadeguatezze, ma soprattutto mostra - sul piano della governance - un assetto (ancora) estremamente frammetato che comporta tempi e modalità di intervento farraginosi e (a volte) barocchi. C'è un tema di fondo (quanta capacità decisionale si è voluto trattenere in sede nazionale), che è un nodo gordiano. C'è un tema connesso al modello della tutela di diritti fondamentali basata su tante autorità indipendenti quanti sono i paesi membri (non sto criticando l'istituto, sto sottolineando che non è affatto detto che 27 autorità nazionali indipendenti siano capaci di coordinarsi adeguatamente; né è dimostrato che siano capaci di farlo meglio di 27 governi, per intenderci). Per arrivare ad affermare che Meta (in riferimento ai servizi di Facebook e Instagram) tratta i dati degli utenti (e anche di terzi non utenti) in modo che non corrisponde alle basi giuridiche legittimanti previste nel GDPR (in base ad una causa intentata il giorno stesso che il GDPR è entrato in vigore, cioè nel maggio del 2018), ed irrogare una (sostanziosa) multa, ci sono voluti quasi 5 anni (e adesso ci sarà tutta la trafila dei ricorsi giurisdizionali)! Senza contare la diversità di vedute mostrata dalle autorità di garanzia nazionali, e che pare riproporsi anche in sede giurisdizionale (vedi le recenti sentenze olandesi relative ai terms of service come base contrattuale dei trattamenti). Insomma, il tanto decantato "brussel effect" mi pare che debba fare i conti con una governance ed una capacità di enforcement che non sono all'altezza degli obiettivi (e dell'ambiente in cui si deve operare). La scelta, un po' estemporanea e in effetti abbastanza "oscura" nelle sue motivazioni, del Garante italiano, mi pare un sintomo di questa situazione complessiva. (mi associo sempre a Carlo nei ringraziamento per il privilegio di poter fruire di questo spazio di discussione). Benedetto [cid:part1.6g0tOixx.YFaDbotM@unipg.it] Il 02/04/2023 09:12, Carlo Blengino ha scritto: Provo a proporvi alcune considerazioni in diritto, giusto per tentare di dare un contributo, per quel che posso, nell'interpretare un provvedimento che mi lascia molto perplesso. 1) Il provvedimento è un provvedimento connotato da “particolare urgenza ed indifferibilità” tanto da non consentire neppure la convocazione in tempo utile del Garante, ovvero del Collegio dei Garanti, ed è firmato ed adottato dal solo Presidente. Le ragioni di tale straordinaria urgenza ed indifferibilità non sono note e non sono espresse nel provvedimento. Non è una buona partenza e la cosa si presta a polemiche più o meno strumentali. 2) E’ un provvedimento di limitazione provvisoria del trattamento dei dati personali delle persone che si trovano nel territorio italiano (a prescindere da cittadinanza o residenza) e la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del provvedimento. Dunque dal 31/03/2023. C’è poi una seconda imposizione che assegna 20 giorni per comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto, ovvero l’immediata limitazione del trattamento (io non leggo altre prescrizioni), e per fornire ogni elemento ritenuto utile a giustificare le violazioni evidenziate. Violazioni per cui sussiste un fumus boni juris e che saranno oggetto di futura istruttoria. Non sono stati concessi 20 giorni per conformarsi al GDPR, ma 20 giorni per spiegare cosa hanno immediatamente fatto in relazione al provvedimento. 3) Prima di affrontare il tema centrale su cosa si intenda per “limitazione del trattamento” è opportuno precisare quali profili di illiceità individui il provvedimento. Mi paiono 4, ma non sono sicuro: i) l’assenza di informativa (che invece c’è); ii l’assenza di base giuridica nel trattamento dei dati personali nei grandi dataset di addestramento (tema amplissimo che incide su tutti i sistemi di ML e non solo); iii) l’inesattezza di dati personali rivelata dagli out-put errati della chat (questa è davvero significativa di un grave problema di comprensione del servizio stesso) ed in ultimo iv) il problema dell'accesso dei minori. 4) Ora, tralasciando le molte considerazioni in diritto che potrebbero farsi su queste più o meno provate violazioni, ed a prescindere dalla loro fondatezza, è necessario capire cosa è una “limitazione del trattamento”. E’ fondamentale credo per capire la reale portata del provvedimento emesso dal Presidente del Garante e quali opzioni avesse OpenAI al di là di quella, piuttosto semplice, di fregarsene del provvedimento non essendo stabilita in EU e non essendo pensabile alcuna capacità esecutiva o impositiva da parte dell’Autorità Italiana, soprattutto al di fuori di qualsiasi coordinamento con le omologhe Autority europee, efficace quanto meno a livello di pressione politica. Purtroppo ancora una volta il provvedimento non aiuta a capire quale limitazione il provider avrebbe dovuto applicare, a quali dati in concreto e a quali specifici trattamenti; in un sistema in cui probabilmente manco OpenAi sa granularmente cosa c’è e cosa accade, non mi pare facile “adempiere” all’ordine immediato... Sul punto può aiutare il Considerando 67 del GDPR ove si legge: Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato. Gli informatici della lista mi aiuteranno a capire come si applica una limitazione del trattamento sui dati personali di interessati stabiliti in Italia in una rete quale quella utilizzata da ChatGpt. Mi chiedo ad esempio come nell’ampio data-set formato dagli archivi delle principali testate giornalistiche statunitensi (uno negli n° data set dichiarati) possano esser individuati, contrassegnati e bloccati i soli dati delle persone, non italiane, ma stabilite in Italia. Il provvedimento credo implicherebbe il blocco dell’intera rete, ma sul punto gli informatici mi aiuteranno. Io non saprei che fare. Ma al di là dei dati già archiviati, OpenAI dal 31/03/2023 non può ovviamente trattare, e dunque acquisire, dati di interessati stabiliti in Italia. Sarebbe singolare non applicare una generica limitazione all’acquisizione. Bloccare l’accesso dall’italia, a fronte di un provvedimento così generico è la prima soluzione che io suggerirei al provider ed è temo l’unica cosa che si può fare senza bloccare l’intero servizio worldwide. Quel provvedimento d’urgenza non chiede adeguamenti al GDPR o la messa in conformità: individua e ipotizza alcune possibili violazioni e opera cautelativamente la limitazione di alcuni dati personali (quelli delle persone che si trovano nel territorio italiano), alla data 31/03/2023. Punto. Le critiche al blocco operato da OpenAI ieri mi pare possano avere una loro fondatezza solo se rapportate alla scelta, del tutto legittima, tra due opzioni: fregarsene del provvedimento oppure in qualche modo adempiere nell’unico modo possibile: bloccare l’Italia. E probabilmente per sfruttare l’abnormità del provvedimento e sollevare un caso OpenAI ha scelto la seconda. Concordo con Casilli: ci sono analogie con la vicenda Berlusconi degli anni ‘80. Anche in quel caso una legge inadeguata ed inattuale (e incompatibile con l’art.21 Cost) si scontrava con una evoluzione tecnologica che ne palesava l’assoluta iniquità. La mossa di Berlusconi fu una forzatura del tutto legittima, e fu scelta efficace. I benefici in termini pluralismo nel settore dei media ed i danni e i disastri della televisione commerciale sono poi un’altro capitolo della storia. Io mi fermo qui, e ringrazio ancora una volta Nexa per questo spazio di discussione che da mesi, con competenza, dibatte su una cosa grossa che ci sta accadendo: il tema mi pare davvero non meriti di esser affrontata dagli enti regolatori italiani con provvedimenti d’urgenza inutili, inefficaci e forieri di danno per l’Italia. Purtroppo l’andazzo è questo, non solo nell’approccio alle questioni tecnologiche a noi care. Buona domenica Carlo Il giorno sab 1 apr 2023 alle ore 16:38 de petra giulio <giulio.depe...@gmail.com<mailto:giulio.depe...@gmail.com>> ha scritto: Leggo sul sito del Garante il testo del provvedimento: OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo. Non è una drammatizzazione, ma un provvedimento coerente con i rilievi formulati e in linea con altri provvedimenti emanati dal Garante. Entro 20 giorni Open AI deve comunicare quali misure intende adottare per eliminare le cause dei rilievi formulati. Non attuare le misure, che possono richiedere tempo, ma solo comunicarle al Garante. Non comprendo proprio perché con questa decisione: ‘lo Stato regola i comportamenti dei cittadini riducendo i gradi di libertà e l'agibilità dello spazio pubblico.’ Al contrario mi sembra che l’Autorita’ di garanzia, organo dello Stato, ma non del governo, cerchi di svolgere il suo compito di tutela dei cittadini, provando a rendere meno infrequentabile uno spazio pubblico colonizzato da imprese private digitali. A meno di eccepire sul merito dei rilievi del Garante, o di contestare le regole che il Garante ha l’obbligo (non la discrezione) di attuare, la questione politica evidente è quella della enorme sproporzione di potere tra gli organismi pubblici nazionali che hanno il compito di attuare le regole decise in sede politica e le grandi imprese digitali alle quali quelle regole sono destinate. Il richiamo che fa Antonio Casilli ad un altro momento della recente storia italiana mi sembra efficace e pertinente. G. Il giorno sab 1 apr 2023 alle 12:05 Guido Vetere <vetere.gu...@gmail.com<mailto:vetere.gu...@gmail.com>> ha scritto: Mentre continuo a veleggiare su ChatGPT con una banalissima VPN, mi inoltro in qualche tentativo di ragionamento. Immagino che il Garante abbia valutato che le garanzie di protezione dei dati personali fornite da OpenAI siano insufficienti, e non ho ragione di credere che tali valutazioni siano erronee. Ma a questo punto interviene una decisione: diffidare OpenAI e minacciare una multa. A fronte di questa, la società statunitense decide a sua volta di sospendere il servizio in Italia. Entrambe le opzioni mi sembrano fuori misura: da una parte sarebbe bastata, di primo acchito, una richiesta di chiarimenti e un invito alla cautela alla nostra cittadinanza; dall'altra si sarebbe potuto attendere il decorso dei termini della diffida italiana. Siamo pertanto di fronte a una drammatizzazione. L'authority italiana, che non è il Governo ma forse coglie lo 'spirito dei tempi', agisce in modo patriarcale: lo Stato regola i comportamenti dei cittadini riducendo i gradi di libertà e l'agibilità dello spazio pubblico. OpenAI coglie l'occasione per ridurre all'assurdo la posizione di chi critica gli sviluppi e gli impieghi della loro loro tecnologia. Vittime di questa drammatizzazione sono coloro che in tutto il mondo stanno cercando di costruire uno sviluppo sostenibile, sicuro e sociale delle tecnologie. G. On Sat, 1 Apr 2023 at 11:19, Enrico Nardelli <narde...@mat.uniroma2.it<mailto:narde...@mat.uniroma2.it>> wrote: A me pare che la decisione del Garante sia formalmente ineccepibile: sarò lieto di leggere pareri difformi da parte degli avvocati esperti di privacy presenti in lista. Per il momento è un atto urgente del Presidente che il collegio deve confermare entro 30 giorni (come immagino accadrà). Però penso che quelli che ritengo siano i due punti principali contestati: - la mancanza di un'informativa rispondente al GDPR sui dati raccolti - la mancanza di un sistema di verifica dell'età possano essere rimediati in un tempo sicuramente inferiore a 6 mesi (la moratoria richiesta dalla famosa lettera). Personalmente proverei a fare qualcos'altro, basandomi sulla legislazione in materia di informazione al pubblico. Non sono un avvocato, quindi non posso dire se sia fattibile, ma in sostanza qui abbiamo un sistema che - a differenza dei motori di ricerca che rispondono agli utenti con qualcosa di realmente esistente sul web - fabbrica informazioni false. Questo difetto può essere corretto con molta più difficoltà e quindi quest'approccio fornirebbe, se fattibile, una base legale per bloccare l'uso di ChatGPT per un tempo molto più lungo. Sia chiaro: non ritengo abbia senso bloccare ricerca e sviluppo in questo settore, ma qui c'è qualcosa di equivalente (anzi, probabilmente superiore) ad una tecnologia per costruire a costo irrisorio reattori nucleari portatili. Possono essere un enorme vantaggio per tutti, ma possono essere anche assai pericolosi. Una qualche forma di regolamentazione va trovata. Aggiungo che un reclamo presentato negli USA alla Federal Trade Commission da parte del Center for AI and Digital Policy (https://s899a9742c3d83292.jimcontent.com/download/version/1680174583/module/8450182663/name/PRESS-CAIDP-OpenAI-FTC-Complaint.pdf) cita, tra l'altro, la "consumer deception" come motivo per bloccare l'utilizzo di questi strumenti. Concludo osservando che il paragone con regimi autoritari mi sembra un po' fuor di luogo: questo collegio non è espressione dell'attuale governo (che comunque è il risultato di elezioni democraticamente svolte) ma del governo Draghi. Ciao, Enrico -- -- EN https://www.hoepli.it/libro/la-rivoluzione-informatica/9788896069516.html [cid:part2.fpJxa2Na.XobTzCl0@unipg.it] ====================================================== Prof. Enrico Nardelli Presidente di "Informatics Europe" Direttore del Laboratorio Nazionale "Informatica e Scuola" del CINI Dipartimento di Matematica - Università di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma home page: https://www.mat.uniroma2.it/~nardelli blog: https://link-and-think.blogspot.it/ tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: narde...@mat.uniroma2.it<mailto:narde...@mat.uniroma2.it> online meeting: https://blue.meet.garr.it/b/enr-y7f-t0q-ont ====================================================== -- _______________________________________________ nexa mailing list nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa -- Avv. Carlo Blengino Via Duchessa Jolanda n. 19, 10138 Torino (TO) - Italy tel. +39 011 4474035 Penalistiassociati.it _______________________________________________ nexa mailing list nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
