Trovo l'analisi di Bendetto Ponti molto chiara e condivivisibile. Maurizio Borghi
Il giorno lun 3 apr 2023 alle ore 09:41 Benedetto Ponti < benedetto.po...@unipg.it> ha scritto: > mi pare che ci siano un po' di punti fermi da cui partire, sul piano della > disciplina e del regime giuridico a tutela dei dati personali (non solo e > non tanto della "privacy"), se si vuole impostare un ragionamento (non > tanto sulla bontà o meno della decisione del Garante, in sè, quanto) > sull'impatto di tale regime giuridico su chatGPT (o chi per lei). > > 1) vorrei intanto ricordare che la diffamazione non richiede che il fatto > narrato/rappresentato sia falso. Si può essere diffamati anche mediante > l'allegazione di un fatto vero. La verità opera come scriminante in caso di > esercizio del diritto di cronaca (rende non punibile il reato commesso). > > 2) c'è poi da aggiungere che la diffamazione è la lesione della > reputazione, mentre nel discorso che qui ci occupa (il fatto che le > risposte di chatGPT forniscano informazione false, scorrette, datate, etc. > riguardo a persone identificate o identificabili) il profilo rilevante è > quello del diritto alla (corretta rappresentazione dell')identità > personale, che è un piano differente rispetto a quello della reputazione. > Rileva cioè - per essere schematici - il GDPR come legslazione a tutela dei > dati personali, anche in quanto funzionale alla *tutela del diritto > fondamentale all'identità personale*. (correttezza, aggiornamento, > esattezza dei dati sono requisiti funzionali a tale tutela). > > 3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni, tipo: > "Se il solo rimettere in circolazione dati pubblicati su web violasse la > GDPR, anche i motori di ricerca sarebbero vietati.". Si dà il caso che > dalla sentenza della Corte di giustizia "Google Spain" in poi (una sentenza > del 2014), i motori di ricerca sono tenuti alla deindicizzazione dei link > prodotti da una query basata su nome e cognome dell'interessato, qualora il > link punti ad una pagina web in cui siano contenuti dati > scorretti/inesatti/non (più) aggiornati. Il diritto al delisting (come > strumento che consente di far valere in diritto alla cancellazione come > strumentale, in particolare, non tanto alla tutela della reputazione, ma > più ampiamente alla tutela dell'identità personale) è oramai consolidato. > Possiamo discutere di come sia costruito l'equilibrio, se l'eccezione > fondata sul diritto di espressione sia adeguata, etc.; ma che il diritto > alla cancellazione (art. 17 GDPR) combinato con il diritto di opposizione > (art. 21) impatti sui motori di ricerca oramai è un dato acquisito. I > motori di ricerca non sono vietati, ma regolati sì! > > 4) *mutatis mutandis*, quali ricadute del combinato disposto (diritto di > cancellazione+diritto di opposizione) sui chatbot LLM? Questo a mio parere > è il nodo. Il delisting ha funzionato, e funziona, perché il motore di > ricerca non costruisce un contenuto ad hoc, ma linka a contenuti già > esistenti. Diversamente, il sistema basato sul LLM come chat GPT, non si > limita a linkare, anzi fa tutt'altro. Assembla di volta in volta > informazioni che trae dal web, e fornisce un contenuto ad hoc. Se in questo > contenuto sono presenti inesattezze, dati non aggiornati, dati falsi etc. > che sono riferiti ad una persona identificata o identificabile, i diritti > di cui sopra possono essere fatti valere nei confronti del titolare del > trattamento (che è OpenAI). Se la presenza di errori, scorrettezze, dati > vecchi/non aggiornati è sistematica (by design), *l'impatto è enorme*, > dal momento che varrebbe il principio opposto (art. 25 del gdpr cd. > "privacy by design", espressione sintetica fuorviante perché l'articolo in > questione impone una conformità della progettazione dei mezzi del > trattamento alla tutela di tutti i diritti degli interessati, non solo > della "privacy") > > 5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT non ci > sono dati personali che vengono elaborati, solo dati “manifestly made > public” nelle fonti web da cui li trae" > - ora, il fatto che i dati personali siano tratti dal web non comporta > anche che i dati siano stati “manifestly made public” dallo stesso > interessato cui si riferiscono (potrebbe averli pubblicati qualcun altro). > Ed anche nel caso in cui quei dati li abbia effettivamente resi pubblici > l'interessato, ciò non comporta di per sè che ai trattamenti di quei dati > non si applichi tutto il regime del GDPR. Quella disposizione serve a > disattivare il divieto con cui si apre all'art. 9 (divieto di trattamento), > senza però che questo disattivi tutto il resto del GDPR. In particolare non > viene meno la cogenza del principio di finalità. Tendenzialmente, sono > leciti solo i trattamenti che abbiano una finalità compatibile con la > finalità della pubblicazione da parte dell'interessato. Qual è la finalità > del/dei trattamento/i realizzati per erogare chatCPT? chi le stabilisce? > sono compatibili con quelle per le quali l'interessato aveva reso pubblici > i dati (qui c'è un enorme tema di rilevanza del contesto). > > NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente (ieri > scrivevo che per molti aspetti si rivela molto rigido, poco adatto a alle > caratteristiche di determinati trattamenti, etc.), ma la legge vigente è > quella lì, non quella che noi vorremmo che ci fosse. > Se non muoviamo, nelle nostre analisi, dal corretto inquadramento di ciò > che il regime attualmente vigente impone, faremo fatica a comprendere le > ragioni dei regolatori (che ci piacciano o meno), e faremo fatica a > immaginare come tale normativa dovrebbe essere modificata (eventualmente). > > Benedetto Ponti > Il 03/04/2023 08:39, Giuseppe Attardi ha scritto: > > Non sono d’accordo, anch’io la considero diffamazione. > > L’art. 9 della GDPR dice: > > 1. Processing of personal data revealing racial or ethnic origin, > political opinions, religious or philosophical beliefs, or trade union > membership, and the processing of genetic data, biometric data for the > purpose of uniquely identifying a natural person, data concerning health or > data concerning a natural person’s sex life or sexual orientation shall be > prohibited. > > ma esclude: > > (e) processing relates to personal data which are manifestly made public > by the data subject; > > Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che > vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui > li trae, e le risposte sono solo affermazioni, senza garanzia di verità. > Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se > sono falsi si tratta di diffamazione. > Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo. > > Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, > anche i motori di ricerca sarebbero vietati. > Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). > Per la diffamazione c’è un reato apposito. > > È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato > European AI Act, sono inadeguati. > Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente > di meno di tanto software di cui non ci curiamo, è prematuro e > controproducente. > > — Beppe > > > On 3 Apr 2023, at 07:19, <nexa-requ...@server-nexa.polito.it> > <nexa-requ...@server-nexa.polito.it> <nexa-requ...@server-nexa.polito.it> > <nexa-requ...@server-nexa.polito.it> wrote: > > Date: Sun, 2 Apr 2023 22:14:12 +0200 > From: Maria Chiara Pievatolo <mariachiara.pievat...@unipi.it> > <mariachiara.pievat...@unipi.it> > To: <nexa@server-nexa.polito.it> <nexa@server-nexa.polito.it> > Subject: Re: [nexa] ChatGPT disabled for users in Italy > Message-ID: <c3aee1da-ee0f-4ea4-4581-4b0a45515...@unipi.it> > <c3aee1da-ee0f-4ea4-4581-4b0a45515...@unipi.it> > Content-Type: text/plain; charset="utf-8"; Format="flowed" > > On 02/04/23 20:19, Stefano Zacchiroli wrote: > > > Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è > in effetti evidente a tutti. Ma, da non giurista, faccio veramente > fatica a capire perché questo ponga problemi al Garante per la > protezione dei dati personali. Se pubblico un sito web pieno di panzane > su persone viventi, il Garante ha il potere di farmelo chiudere? Direi > (sempre da non giurista), che al massimo rischio una querela per > diffamazione dagli interessati. > > > Se si rivelano dati particolari (ex sensibili) senza il consenso > esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati > particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI > allucinato mi arruola nei testimoni di Geova, descrive comunque le mie > (presunte) convinzioni religiose senza il mio consenso. > > In questo > sitohttps://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639&URLID=11&ESV=10.0.19.7431&IV=FD30D571A9BE34FDF44C2AE7DE8A8F75&TT=1680499341788&ESN=Q06ji5erVxjVyeKJcOpKxNnU4nl6Pbng%2BSqum1y3kKg%3D&KV=1536961729280&B64_ENCODED_URL=aHR0cHM6Ly93d3cucHJpdmFjeWxhYi5pdC9JVC8yMDUvSS1kYXRpLXNlbnNpYmlsaS1uZWwtR0RQUi8&HK=E91FDE7B5CA871A40A3B0BA6B29B00290E68F18CA87F36FF0D9792A2FDE0F002 > c'è un > fantastico esempio, quello della malattia di un Peppino agente di > commercio in realtà fin troppo sano, in cui una rivelazione in buona > fede di un dato particolare *falso* senza il consenso dell'interessato > provoca pure una tragedia familiare. > > Buonanotte, > MCP > > > _______________________________________________ > nexa mailing > listnexa@server-nexa.polito.ithttps://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa > > _______________________________________________ > nexa mailing list > nexa@server-nexa.polito.it > https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa > -- _______________ *Maurizio Borghi* Università di Torino https://www.dg.unito.it/persone/maurizio.borghi Co-Director Nexa Center for Internet & Society <https://nexa.polito.it/> My Webex room: https://unito.webex.com/meet/maurizio.borghi
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
