Il 03/04/2023 11:35, Giuseppe Attardi ha scritto:
On 3 Apr 2023, at 11:09, Benedetto Ponti <benedetto.po...@unipg.it>
wrote:
Il 03/04/2023 10:46, Giuseppe Attardi ha scritto:
On 3 Apr 2023, at 10:03, Benedetto
Ponti<benedetto.po...@unipg.it>wrote:
mi pare che ci siano un po' di punti fermi da cui partire, sul
piano della disciplina e del regime giuridico a tutela dei dati
personali (non solo e non tanto della "privacy"), se si vuole
impostare un ragionamento (non tanto sulla bontà o meno della
decisione del Garante, in sè, quanto) sull'impatto di tale regime
giuridico su chatGPT (o chi per lei).
1) vorrei intanto ricordare che la diffamazione non richiede che il
fatto narrato/rappresentato sia falso. Si può essere diffamati
anche mediante l'allegazione di un fatto vero. La verità opera come
scriminante in caso di esercizio del diritto di cronaca (rende non
punibile il reato commesso).
Quindi di diffamazione si tratta, questo era il mio punto.
No, è vero il contrario: l'alternativa vero/falso non opera sul piano
della diffamazione (si può essere incrimitati per diffamazione per
diffusione di un fatto vero), ma su piani diversi.
Non ci capiamo. Siamo d’accordo che c’è diffamazione, nel diffondere
affermazioni che un soggetto non vorrebbe fossero diffuse?
- no, non siamo d'accordo.
1) C'è diffamazione solo se le informazioni diffuse sono lesive della
reputazione.
2) Se vengono diffuse notizie che non sono lesive della reputazione, ma
rappresentano in modo falsato/scorretto i miei gusti, preferenze,
vicende, etc., c'è lesione dell'identità personale;
3) se vengono diffuse notizie vere che riguardano la sfera intima e
strettamente personale, senza un giustificato motivo per la loro
diffusione (interesse pubblico della notizia), c'è lesione della
riservatezza
4) se - in presenza di diffusioni di dati personali - non si verifica
nessuna delle condizioni precedenti, residua l'applicazione del GDPR:
diritto di opposizione, diritto di cancellazione, con i connessi
presupposti e casi di non applicazione/deroga
2) c'è poi da aggiungere che la diffamazione è la lesione della
reputazione, mentre nel discorso che qui ci occupa (il fatto che le
risposte di chatGPT forniscano informazione false, scorrette,
datate, etc. riguardo a persone identificate o identificabili) il
profilo rilevante è quello del diritto alla (corretta
rappresentazione dell')identità personale, che è un piano
differente rispetto a quello della reputazione. Rileva cioè - per
essere schematici - il GDPR come legslazione a tutela dei dati
personali, anche in quanto funzionale alla_tutela del diritto
fondamentale all'identità personale_. (correttezza, aggiornamento,
esattezza dei dati sono requisiti funzionali a tale tutela).
Quindi il diritto da tutelare è quello all’identità personale, non
alla protezione dei dati. La GDPR viene invocata surrettiziamente
per difendere il primo, ma è una estrapolazione.
Capisco che tu sostieni che bisogna fare uso delle leggi esistenti,
ma non mi pare corretto stiracchiarle verso altre finalità.
- ah, ma non lo sostengo mica io, eh! questa che ti ho riportato è
giurisprudenza consolidata: la tutela dei dati personali è anche
funzionale/strumentale alla tutela di altri diritti.
Mah, io qui vedo il percorso opposto: si pretende che il diritto
all’identità sia tutelato da una regola che non si applica, e si forza
tale regola ad essere applicabile in funzione del diritto all’identità.
libero di vederla così: chi applica il diritto in italia ed in UE la
vede diversamente (lo vogliamo chiamare "il diritto vivente"?)
3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni,
tipo: "Se il solo rimettere in circolazione dati pubblicati su web
violasse la GDPR, anche i motori di ricerca sarebbero vietati.". Si
dà il caso che dalla sentenza della Corte di giustizia "Google
Spain" in poi (una sentenza del 2014), i motori di ricerca sono
tenuti alla deindicizzazione dei link prodotti da una query basata
su nome e cognome dell'interessato, qualora il link punti ad una
pagina web in cui siano contenuti dati scorretti/inesatti/non (più)
aggiornati. Il diritto al delisting (come strumento che consente di
far valere in diritto alla cancellazione come strumentale, in
particolare, non tanto alla tutela della reputazione, ma più
ampiamente alla tutela dell'identità personale) è oramai
consolidato. Possiamo discutere di come sia costruito l'equilibrio,
se l'eccezione fondata sul diritto di espressione sia adeguata,
etc.; ma che il diritto alla cancellazione (art. 17 GDPR) combinato
con il diritto di opposizione (art. 21) impatti sui motori di
ricerca oramai è un dato acquisito. I motori di ricerca non sono
vietati, ma regolati sì!
Quindi il singolo interessato, non l’Autorità, dovrebbe richiedere
ad OpenAI di eliminare le fonti che lo riferiscono.
(se rischio sistemico, vedi quanto detto sotto, al punto 4). E poi,
attenzione perché la tutela dei dati personali NON si riduce negli
strumenti a disposizione del singolo interessato. Il principio di
responsabilizzazione (art. 6, comma 2) ci dice che la compliance
grava come responsabilità su chi tratta i dati personali, e le
autorità stanno lì a verificare che il gdpr sia rispettato. C'è un
interesse pubblico (una dimensione pubblica, di interesse generale)
alla tutela dei dati personali (proprio perché strumentale alla
tutela di diritti fondamentali della persona), non soltanto
l'interesse specifico deill'interessato.
4)/mutatis mutandis/, quali ricadute del combinato disposto
(diritto di cancellazione+diritto di opposizione) sui chatbot LLM?
Questo a mio parere è il nodo. Il delisting ha funzionato, e
funziona, perché il motore di ricerca non costruisce un contenuto
ad hoc, ma linka a contenuti già esistenti. Diversamente, il
sistema basato sul LLM come chat GPT, non si limita a linkare, anzi
fa tutt'altro. Assembla di volta in volta informazioni che trae dal
web, e fornisce un contenuto ad hoc. Se in questo contenuto sono
presenti inesattezze, dati non aggiornati, dati falsi etc. che sono
riferiti ad una persona identificata o identificabile, i diritti di
cui sopra possono essere fatti valere nei confronti del titolare
del trattamento (che è OpenAI). Se la presenza di errori,
scorrettezze, dati vecchi/non aggiornati è sistematica (by
design),_l'impatto è enorme_, dal momento che varrebbe il principio
opposto (art. 25 del gdpr cd. "privacy by design", espressione
sintetica fuorviante perché l'articolo in questione impone una
conformità della progettazione dei mezzi del trattamento alla
tutela di tutti i diritti degli interessati, non solo della "privacy")
5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT
non ci sono dati personali che vengono elaborati, solo dati
“manifestly made public” nelle fonti web da cui li trae"
- ora, il fatto che i dati personali siano tratti dal web non
comporta anche che i dati siano stati “manifestly made public”
dallo stesso interessato cui si riferiscono (potrebbe averli
pubblicati qualcun altro). Ed anche nel caso in cui quei dati li
abbia effettivamente resi pubblici l'interessato, ciò non comporta
di per sè che ai trattamenti di quei dati non si applichi tutto il
regime del GDPR. Quella disposizione serve a disattivare il divieto
con cui si apre all'art. 9 (divieto di trattamento), senza però che
questo disattivi tutto il resto del GDPR. In particolare non viene
meno la cogenza del principio di finalità. Tendenzialmente, sono
leciti solo i trattamenti che abbiano una finalità compatibile con
la finalità della pubblicazione da parte dell'interessato. Qual è
la finalità del/dei trattamento/i realizzati per erogare chatCPT?
chi le stabilisce? sono compatibili con quelle per le quali
l'interessato aveva reso pubblici i dati (qui c'è un enorme tema di
rilevanza del contesto).
Me ne rendevo conto, ma interpretavo il fatto che se il soggetto non
ha richiesto la cancellazione della fonte, come nel caso precedente,
li abbia di fatto resi pubblici.
No, questa lettura è improponibile (nel senso che contrasta con tutti
i principi del GDPR, e non solo). In questo modo un diritto si
trasforma in un onere: se non passo la vita a verificare che qualcun
altro abbia pubblicato i miei dati, chiedendogli di cancellarli,
allora è come se quei dati li avessi pubblicati io? Dai, sù...
NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente
(ieri scrivevo che per molti aspetti si rivela molto rigido, poco
adatto a alle caratteristiche di determinati trattamenti, etc.), ma
la legge vigente è quella lì, non quella che noi vorremmo che ci fosse.
Se non muoviamo, nelle nostre analisi, dal corretto inquadramento
di ciò che il regime attualmente vigente impone, faremo fatica a
comprendere le ragioni dei regolatori (che ci piacciano o meno), e
faremo fatica a immaginare come tale normativa dovrebbe essere
modificata (eventualmente).
Sono d’accordo, ma servono regole idonee allo scopo, non
stiracchiare regole fatte per altri scopi e per altre tecnologie.
Anche il Copyright non si applica a ChatGPT, perché protegge la
forma dell’opera, che ChatGPT non replica mai esattamente.
Ciò che servirebbe sono regole contro la concentrazione di potere
tecnologico in poche aziende.
Come dice Daniela Tafani, occorre garantire il "il rispetto dei
diritti umani [rispetto a] il modello di business dei grandi
monopoli del capitalismo intellettuale.”
È una questione più di politica economica che giuridica.
non ho capito: "servono regole idonee" (e allora è una questione -
anche - giuridica) oppure "È una questione più di politica economica
che giuridica" ? devo citare Natalino Irti (il mercato è una
costruzione del diritto)?
Intendo che occorre un intervento sui meccanismi economici, la
concentrazione di mercato (che l’antitrust depotenziato in USA non
protegge più) e sul capitalismo di sorveglianza (servizi gratuiti in
cambio di profilazione).
Le norme per attuare tali interventi richiedono un accordo di politica
economica su scala internazionale che non c’è: vedi l’accantonamento
della Minimum Tax.
BP
— Beppe
Benedetto Ponti
<firma nuova mail_3.png>
Il 03/04/2023 08:39, Giuseppe Attardi ha scritto:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin,
political opinions, religious or philosophical beliefs, or trade union
membership, and the processing of genetic data, biometric data for the purpose
of uniquely identifying a natural person, data concerning health or data
concerning a natural person’s sex life or sexual orientation shall be
prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by
the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che
vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li
trae, e le risposte sono solo affermazioni, senza garanzia di verità.
Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se
sono falsi si tratta di diffamazione.
Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR,
anche i motori di ricerca sarebbero vietati.
Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR).
Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato
European AI Act, sono inadeguati.
Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di
meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19,<nexa-requ...@server-nexa.polito.it>
<nexa-requ...@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200
From: Maria Chiara Pievatolo<mariachiara.pievat...@unipi.it>
To:<nexa@server-nexa.polito.it>
Subject: Re: [nexa] ChatGPT disabled for users in Italy
Message-ID:<c3aee1da-ee0f-4ea4-4581-4b0a45515...@unipi.it>
Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è
in effetti evidente a tutti. Ma, da non giurista, faccio veramente
fatica a capire perché questo ponga problemi al Garante per la
protezione dei dati personali. Se pubblico un sito web pieno di panzane
su persone viventi, il Garante ha il potere di farmelo chiudere? Direi
(sempre da non giurista), che al massimo rischio una querela per
diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso
esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati
particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI
allucinato mi arruola nei testimoni di Geova, descrive comunque le mie
(presunte) convinzioni religiose senza il mio consenso.
In questo sito
https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639&URLID=11&ESV=10.0.19.7431&IV=FD30D571A9BE34FDF44C2AE7DE8A8F75&TT=1680499341788&ESN=Q06ji5erVxjVyeKJcOpKxNnU4nl6Pbng%2BSqum1y3kKg%3D&KV=1536961729280&B64_ENCODED_URL=aHR0cHM6Ly93d3cucHJpdmFjeWxhYi5pdC9JVC8yMDUvSS1kYXRpLXNlbnNpYmlsaS1uZWwtR0RQUi8&HK=E91FDE7B5CA871A40A3B0BA6B29B00290E68F18CA87F36FF0D9792A2FDE0F002
c'è un
fantastico esempio, quello della malattia di un Peppino agente di
commercio in realtà fin troppo sano, in cui una rivelazione in buona
fede di un dato particolare *falso* senza il consenso dell'interessato
provoca pure una tragedia familiare.
Buonanotte,
MCP
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
