mi pare che ci siano un po' di punti fermi da cui partire, sul piano
della disciplina e del regime giuridico a tutela dei dati personali (non
solo e non tanto della "privacy"), se si vuole impostare un ragionamento
(non tanto sulla bontà o meno della decisione del Garante, in sè,
quanto) sull'impatto di tale regime giuridico su chatGPT (o chi per lei).
1) vorrei intanto ricordare che la diffamazione non richiede che il
fatto narrato/rappresentato sia falso. Si può essere diffamati anche
mediante l'allegazione di un fatto vero. La verità opera come
scriminante in caso di esercizio del diritto di cronaca (rende non
punibile il reato commesso).
2) c'è poi da aggiungere che la diffamazione è la lesione della
reputazione, mentre nel discorso che qui ci occupa (il fatto che le
risposte di chatGPT forniscano informazione false, scorrette, datate,
etc. riguardo a persone identificate o identificabili) il profilo
rilevante è quello del diritto alla (corretta rappresentazione
dell')identità personale, che è un piano differente rispetto a quello
della reputazione. Rileva cioè - per essere schematici - il GDPR come
legslazione a tutela dei dati personali, anche in quanto funzionale alla
_tutela del diritto fondamentale all'identità personale_. (correttezza,
aggiornamento, esattezza dei dati sono requisiti funzionali a tale tutela).
3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni,
tipo: "Se il solo rimettere in circolazione dati pubblicati su web
violasse la GDPR, anche i motori di ricerca sarebbero vietati.". Si dà
il caso che dalla sentenza della Corte di giustizia "Google Spain" in
poi (una sentenza del 2014), i motori di ricerca sono tenuti alla
deindicizzazione dei link prodotti da una query basata su nome e cognome
dell'interessato, qualora il link punti ad una pagina web in cui siano
contenuti dati scorretti/inesatti/non (più) aggiornati. Il diritto al
delisting (come strumento che consente di far valere in diritto alla
cancellazione come strumentale, in particolare, non tanto alla tutela
della reputazione, ma più ampiamente alla tutela dell'identità
personale) è oramai consolidato. Possiamo discutere di come sia
costruito l'equilibrio, se l'eccezione fondata sul diritto di
espressione sia adeguata, etc.; ma che il diritto alla cancellazione
(art. 17 GDPR) combinato con il diritto di opposizione (art. 21) impatti
sui motori di ricerca oramai è un dato acquisito. I motori di ricerca
non sono vietati, ma regolati sì!
4) /mutatis mutandis/, quali ricadute del combinato disposto (diritto di
cancellazione+diritto di opposizione) sui chatbot LLM? Questo a mio
parere è il nodo. Il delisting ha funzionato, e funziona, perché il
motore di ricerca non costruisce un contenuto ad hoc, ma linka a
contenuti già esistenti. Diversamente, il sistema basato sul LLM come
chat GPT, non si limita a linkare, anzi fa tutt'altro. Assembla di volta
in volta informazioni che trae dal web, e fornisce un contenuto ad hoc.
Se in questo contenuto sono presenti inesattezze, dati non aggiornati,
dati falsi etc. che sono riferiti ad una persona identificata o
identificabile, i diritti di cui sopra possono essere fatti valere nei
confronti del titolare del trattamento (che è OpenAI). Se la presenza di
errori, scorrettezze, dati vecchi/non aggiornati è sistematica (by
design), _l'impatto è enorme_, dal momento che varrebbe il principio
opposto (art. 25 del gdpr cd. "privacy by design", espressione sintetica
fuorviante perché l'articolo in questione impone una conformità della
progettazione dei mezzi del trattamento alla tutela di tutti i diritti
degli interessati, non solo della "privacy")
5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT non ci
sono dati personali che vengono elaborati, solo dati “manifestly made
public” nelle fonti web da cui li trae"
- ora, il fatto che i dati personali siano tratti dal web non comporta
anche che i dati siano stati “manifestly made public” dallo stesso
interessato cui si riferiscono (potrebbe averli pubblicati qualcun
altro). Ed anche nel caso in cui quei dati li abbia effettivamente resi
pubblici l'interessato, ciò non comporta di per sè che ai trattamenti di
quei dati non si applichi tutto il regime del GDPR. Quella disposizione
serve a disattivare il divieto con cui si apre all'art. 9 (divieto di
trattamento), senza però che questo disattivi tutto il resto del GDPR.
In particolare non viene meno la cogenza del principio di finalità.
Tendenzialmente, sono leciti solo i trattamenti che abbiano una finalità
compatibile con la finalità della pubblicazione da parte
dell'interessato. Qual è la finalità del/dei trattamento/i realizzati
per erogare chatCPT? chi le stabilisce? sono compatibili con quelle per
le quali l'interessato aveva reso pubblici i dati (qui c'è un enorme
tema di rilevanza del contesto).
NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente (ieri
scrivevo che per molti aspetti si rivela molto rigido, poco adatto a
alle caratteristiche di determinati trattamenti, etc.), ma la legge
vigente è quella lì, non quella che noi vorremmo che ci fosse.
Se non muoviamo, nelle nostre analisi, dal corretto inquadramento di ciò
che il regime attualmente vigente impone, faremo fatica a comprendere le
ragioni dei regolatori (che ci piacciano o meno), e faremo fatica a
immaginare come tale normativa dovrebbe essere modificata (eventualmente).
Benedetto Ponti
Il 03/04/2023 08:39, Giuseppe Attardi ha scritto:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin,
political opinions, religious or philosophical beliefs, or trade union
membership, and the processing of genetic data, biometric data for the purpose
of uniquely identifying a natural person, data concerning health or data
concerning a natural person’s sex life or sexual orientation shall be
prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by
the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che
vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li
trae, e le risposte sono solo affermazioni, senza garanzia di verità.
Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se
sono falsi si tratta di diffamazione.
Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR,
anche i motori di ricerca sarebbero vietati.
Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR).
Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato
European AI Act, sono inadeguati.
Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di
meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19,<nexa-requ...@server-nexa.polito.it>
<nexa-requ...@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200
From: Maria Chiara Pievatolo<mariachiara.pievat...@unipi.it>
To:<nexa@server-nexa.polito.it>
Subject: Re: [nexa] ChatGPT disabled for users in Italy
Message-ID:<c3aee1da-ee0f-4ea4-4581-4b0a45515...@unipi.it>
Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è
in effetti evidente a tutti. Ma, da non giurista, faccio veramente
fatica a capire perché questo ponga problemi al Garante per la
protezione dei dati personali. Se pubblico un sito web pieno di panzane
su persone viventi, il Garante ha il potere di farmelo chiudere? Direi
(sempre da non giurista), che al massimo rischio una querela per
diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso
esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati
particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI
allucinato mi arruola nei testimoni di Geova, descrive comunque le mie
(presunte) convinzioni religiose senza il mio consenso.
In questo sito
https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639&URLID=11&ESV=10.0.19.7431&IV=FD30D571A9BE34FDF44C2AE7DE8A8F75&TT=1680499341788&ESN=Q06ji5erVxjVyeKJcOpKxNnU4nl6Pbng%2BSqum1y3kKg%3D&KV=1536961729280&B64_ENCODED_URL=aHR0cHM6Ly93d3cucHJpdmFjeWxhYi5pdC9JVC8yMDUvSS1kYXRpLXNlbnNpYmlsaS1uZWwtR0RQUi8&HK=E91FDE7B5CA871A40A3B0BA6B29B00290E68F18CA87F36FF0D9792A2FDE0F002
c'è un
fantastico esempio, quello della malattia di un Peppino agente di
commercio in realtà fin troppo sano, in cui una rivelazione in buona
fede di un dato particolare *falso* senza il consenso dell'interessato
provoca pure una tragedia familiare.
Buonanotte,
MCP
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
