Il 03/04/2023 10:46, Giuseppe Attardi ha scritto:
On 3 Apr 2023, at 10:03, Benedetto Ponti <benedetto.po...@unipg.it>
wrote:
mi pare che ci siano un po' di punti fermi da cui partire, sul piano
della disciplina e del regime giuridico a tutela dei dati personali
(non solo e non tanto della "privacy"), se si vuole impostare un
ragionamento (non tanto sulla bontà o meno della decisione del
Garante, in sè, quanto) sull'impatto di tale regime giuridico su
chatGPT (o chi per lei).
1) vorrei intanto ricordare che la diffamazione non richiede che il
fatto narrato/rappresentato sia falso. Si può essere diffamati anche
mediante l'allegazione di un fatto vero. La verità opera come
scriminante in caso di esercizio del diritto di cronaca (rende non
punibile il reato commesso).
Quindi di diffamazione si tratta, questo era il mio punto.
No, è vero il contrario: l'alternativa vero/falso non opera sul piano
della diffamazione (si può essere incrimitati per diffamazione per
diffusione di un fatto vero), ma su piani diversi.
2) c'è poi da aggiungere che la diffamazione è la lesione della
reputazione, mentre nel discorso che qui ci occupa (il fatto che le
risposte di chatGPT forniscano informazione false, scorrette, datate,
etc. riguardo a persone identificate o identificabili) il profilo
rilevante è quello del diritto alla (corretta rappresentazione
dell')identità personale, che è un piano differente rispetto a quello
della reputazione. Rileva cioè - per essere schematici - il GDPR come
legslazione a tutela dei dati personali, anche in quanto funzionale
alla _tutela del diritto fondamentale all'identità personale_.
(correttezza, aggiornamento, esattezza dei dati sono requisiti
funzionali a tale tutela).
Quindi il diritto da tutelare è quello all’identità personale, non
alla protezione dei dati. La GDPR viene invocata surrettiziamente per
difendere il primo, ma è una estrapolazione.
Capisco che tu sostieni che bisogna fare uso delle leggi esistenti, ma
non mi pare corretto stiracchiarle verso altre finalità.
- ah, ma non lo sostengo mica io, eh! questa che ti ho riportato è
giurisprudenza consolidata: la tutela dei dati personali è anche
funzionale/strumentale alla tutela di altri diritti.
3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni,
tipo: "Se il solo rimettere in circolazione dati pubblicati su web
violasse la GDPR, anche i motori di ricerca sarebbero vietati.". Si
dà il caso che dalla sentenza della Corte di giustizia "Google Spain"
in poi (una sentenza del 2014), i motori di ricerca sono tenuti alla
deindicizzazione dei link prodotti da una query basata su nome e
cognome dell'interessato, qualora il link punti ad una pagina web in
cui siano contenuti dati scorretti/inesatti/non (più) aggiornati. Il
diritto al delisting (come strumento che consente di far valere in
diritto alla cancellazione come strumentale, in particolare, non
tanto alla tutela della reputazione, ma più ampiamente alla tutela
dell'identità personale) è oramai consolidato. Possiamo discutere di
come sia costruito l'equilibrio, se l'eccezione fondata sul diritto
di espressione sia adeguata, etc.; ma che il diritto alla
cancellazione (art. 17 GDPR) combinato con il diritto di opposizione
(art. 21) impatti sui motori di ricerca oramai è un dato acquisito. I
motori di ricerca non sono vietati, ma regolati sì!
Quindi il singolo interessato, non l’Autorità, dovrebbe richiedere ad
OpenAI di eliminare le fonti che lo riferiscono.
(se rischio sistemico, vedi quanto detto sotto, al punto 4). E poi,
attenzione perché la tutela dei dati personali NON si riduce negli
strumenti a disposizione del singolo interessato. Il principio di
responsabilizzazione (art. 6, comma 2) ci dice che la compliance grava
come responsabilità su chi tratta i dati personali, e le autorità stanno
lì a verificare che il gdpr sia rispettato. C'è un interesse pubblico
(una dimensione pubblica, di interesse generale) alla tutela dei dati
personali (proprio perché strumentale alla tutela di diritti
fondamentali della persona), non soltanto l'interesse specifico
deill'interessato.
4) /mutatis mutandis/, quali ricadute del combinato disposto (diritto
di cancellazione+diritto di opposizione) sui chatbot LLM? Questo a
mio parere è il nodo. Il delisting ha funzionato, e funziona, perché
il motore di ricerca non costruisce un contenuto ad hoc, ma linka a
contenuti già esistenti. Diversamente, il sistema basato sul LLM come
chat GPT, non si limita a linkare, anzi fa tutt'altro. Assembla di
volta in volta informazioni che trae dal web, e fornisce un contenuto
ad hoc. Se in questo contenuto sono presenti inesattezze, dati non
aggiornati, dati falsi etc. che sono riferiti ad una persona
identificata o identificabile, i diritti di cui sopra possono essere
fatti valere nei confronti del titolare del trattamento (che è
OpenAI). Se la presenza di errori, scorrettezze, dati vecchi/non
aggiornati è sistematica (by design), _l'impatto è enorme_, dal
momento che varrebbe il principio opposto (art. 25 del gdpr cd.
"privacy by design", espressione sintetica fuorviante perché
l'articolo in questione impone una conformità della progettazione dei
mezzi del trattamento alla tutela di tutti i diritti degli
interessati, non solo della "privacy")
5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT non
ci sono dati personali che vengono elaborati, solo dati “manifestly
made public” nelle fonti web da cui li trae"
- ora, il fatto che i dati personali siano tratti dal web non
comporta anche che i dati siano stati “manifestly made public” dallo
stesso interessato cui si riferiscono (potrebbe averli pubblicati
qualcun altro). Ed anche nel caso in cui quei dati li abbia
effettivamente resi pubblici l'interessato, ciò non comporta di per
sè che ai trattamenti di quei dati non si applichi tutto il regime
del GDPR. Quella disposizione serve a disattivare il divieto con cui
si apre all'art. 9 (divieto di trattamento), senza però che questo
disattivi tutto il resto del GDPR. In particolare non viene meno la
cogenza del principio di finalità. Tendenzialmente, sono leciti solo
i trattamenti che abbiano una finalità compatibile con la finalità
della pubblicazione da parte dell'interessato. Qual è la finalità
del/dei trattamento/i realizzati per erogare chatCPT? chi le
stabilisce? sono compatibili con quelle per le quali l'interessato
aveva reso pubblici i dati (qui c'è un enorme tema di rilevanza del
contesto).
Me ne rendevo conto, ma interpretavo il fatto che se il soggetto non
ha richiesto la cancellazione della fonte, come nel caso precedente,
li abbia di fatto resi pubblici.
No, questa lettura è improponibile (nel senso che contrasta con tutti i
principi del GDPR, e non solo). In questo modo un diritto si trasforma
in un onere: se non passo la vita a verificare che qualcun altro abbia
pubblicato i miei dati, chiedendogli di cancellarli, allora è come se
quei dati li avessi pubblicati io? Dai, sù...
NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente (ieri
scrivevo che per molti aspetti si rivela molto rigido, poco adatto a
alle caratteristiche di determinati trattamenti, etc.), ma la legge
vigente è quella lì, non quella che noi vorremmo che ci fosse.
Se non muoviamo, nelle nostre analisi, dal corretto inquadramento di
ciò che il regime attualmente vigente impone, faremo fatica a
comprendere le ragioni dei regolatori (che ci piacciano o meno), e
faremo fatica a immaginare come tale normativa dovrebbe essere
modificata (eventualmente).
Sono d’accordo, ma servono regole idonee allo scopo, non stiracchiare
regole fatte per altri scopi e per altre tecnologie.
Anche il Copyright non si applica a ChatGPT, perché protegge la forma
dell’opera, che ChatGPT non replica mai esattamente.
Ciò che servirebbe sono regole contro la concentrazione di potere
tecnologico in poche aziende.
Come dice Daniela Tafani, occorre garantire il "il rispetto dei
diritti umani [rispetto a] il modello di business dei grandi monopoli
del capitalismo intellettuale.”
È una questione più di politica economica che giuridica.
non ho capito: "servono regole idonee" (e allora è una questione - anche
- giuridica) oppure "È una questione più di politica economica che
giuridica" ? devo citare Natalino Irti (il mercato è una costruzione del
diritto)?
BP
— Beppe
Benedetto Ponti
<firma nuova mail_3.png>
Il 03/04/2023 08:39, Giuseppe Attardi ha scritto:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin,
political opinions, religious or philosophical beliefs, or trade union
membership, and the processing of genetic data, biometric data for the purpose
of uniquely identifying a natural person, data concerning health or data
concerning a natural person’s sex life or sexual orientation shall be
prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by
the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che
vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li
trae, e le risposte sono solo affermazioni, senza garanzia di verità.
Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se
sono falsi si tratta di diffamazione.
Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR,
anche i motori di ricerca sarebbero vietati.
Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR).
Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato
European AI Act, sono inadeguati.
Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di
meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19,<nexa-requ...@server-nexa.polito.it>
<nexa-requ...@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200
From: Maria Chiara Pievatolo<mariachiara.pievat...@unipi.it>
To:<nexa@server-nexa.polito.it>
Subject: Re: [nexa] ChatGPT disabled for users in Italy
Message-ID:<c3aee1da-ee0f-4ea4-4581-4b0a45515...@unipi.it>
Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è
in effetti evidente a tutti. Ma, da non giurista, faccio veramente
fatica a capire perché questo ponga problemi al Garante per la
protezione dei dati personali. Se pubblico un sito web pieno di panzane
su persone viventi, il Garante ha il potere di farmelo chiudere? Direi
(sempre da non giurista), che al massimo rischio una querela per
diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso
esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati
particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI
allucinato mi arruola nei testimoni di Geova, descrive comunque le mie
(presunte) convinzioni religiose senza il mio consenso.
In questo sito
https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639&URLID=11&ESV=10.0.19.7431&IV=FD30D571A9BE34FDF44C2AE7DE8A8F75&TT=1680499341788&ESN=Q06ji5erVxjVyeKJcOpKxNnU4nl6Pbng%2BSqum1y3kKg%3D&KV=1536961729280&B64_ENCODED_URL=aHR0cHM6Ly93d3cucHJpdmFjeWxhYi5pdC9JVC8yMDUvSS1kYXRpLXNlbnNpYmlsaS1uZWwtR0RQUi8&HK=E91FDE7B5CA871A40A3B0BA6B29B00290E68F18CA87F36FF0D9792A2FDE0F002
c'è un
fantastico esempio, quello della malattia di un Peppino agente di
commercio in realtà fin troppo sano, in cui una rivelazione in buona
fede di un dato particolare *falso* senza il consenso dell'interessato
provoca pure una tragedia familiare.
Buonanotte,
MCP
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
