mi pare che ci siano un po' di punti fermi da cui partire, sul
piano della disciplina e del regime giuridico a tutela dei dati
personali (non solo e non tanto della "privacy"), se si vuole
impostare un ragionamento (non tanto sulla bontà o meno della
decisione del Garante, in sè, quanto) sull'impatto di tale regime
giuridico su chatGPT (o chi per lei).
1) vorrei intanto ricordare che la diffamazione non richiede che
il fatto narrato/rappresentato sia falso. Si può essere diffamati
anche mediante l'allegazione di un fatto vero. La verità opera
come scriminante in caso di esercizio del diritto di cronaca
(rende non punibile il reato commesso).
2) c'è poi da aggiungere che la diffamazione è la lesione della
reputazione, mentre nel discorso che qui ci occupa (il fatto che
le risposte di chatGPT forniscano informazione false, scorrette,
datate, etc. riguardo a persone identificate o identificabili) il
profilo rilevante è quello del diritto alla (corretta
rappresentazione dell')identità personale, che è un piano
differente rispetto a quello della reputazione. Rileva cioè - per
essere schematici - il GDPR come legslazione a tutela dei dati
personali, anche in quanto funzionale alla tutela del diritto
fondamentale all'identità personale. (correttezza,
aggiornamento, esattezza dei dati sono requisiti funzionali a tale
tutela).
3) Fatte queste precisazioni, vorrei venire ad alcune
affermazioni, tipo: "Se il solo rimettere in circolazione dati
pubblicati su web violasse la GDPR, anche i motori di ricerca
sarebbero vietati.". Si dà il caso che dalla sentenza della Corte
di giustizia "Google Spain" in poi (una sentenza del 2014), i
motori di ricerca sono tenuti alla deindicizzazione dei link
prodotti da una query basata su nome e cognome dell'interessato,
qualora il link punti ad una pagina web in cui siano contenuti
dati scorretti/inesatti/non (più) aggiornati. Il diritto al
delisting (come strumento che consente di far valere in diritto
alla cancellazione come strumentale, in particolare, non tanto
alla tutela della reputazione, ma più ampiamente alla tutela
dell'identità personale) è oramai consolidato. Possiamo discutere
di come sia costruito l'equilibrio, se l'eccezione fondata sul
diritto di espressione sia adeguata, etc.; ma che il diritto alla
cancellazione (art. 17 GDPR) combinato con il diritto di
opposizione (art. 21) impatti sui motori di ricerca oramai è un
dato acquisito. I motori di ricerca non sono vietati, ma regolati
sì!
4) mutatis mutandis, quali ricadute del combinato disposto
(diritto di cancellazione+diritto di opposizione) sui chatbot LLM?
Questo a mio parere è il nodo. Il delisting ha funzionato, e
funziona, perché il motore di ricerca non costruisce un contenuto
ad hoc, ma linka a contenuti già esistenti. Diversamente, il
sistema basato sul LLM come chat GPT, non si limita a linkare,
anzi fa tutt'altro. Assembla di volta in volta informazioni che
trae dal web, e fornisce un contenuto ad hoc. Se in questo
contenuto sono presenti inesattezze, dati non aggiornati, dati
falsi etc. che sono riferiti ad una persona identificata o
identificabile, i diritti di cui sopra possono essere fatti valere
nei confronti del titolare del trattamento (che è OpenAI). Se la
presenza di errori, scorrettezze, dati vecchi/non aggiornati è
sistematica (by design), l'impatto è enorme, dal momento
che varrebbe il principio opposto (art. 25 del gdpr cd. "privacy
by design", espressione sintetica fuorviante perché l'articolo in
questione impone una conformità della progettazione dei mezzi del
trattamento alla tutela di tutti i diritti degli interessati, non
solo della "privacy")
5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT
non ci sono dati personali che vengono elaborati, solo dati
“manifestly made public” nelle fonti web da cui li trae"
- ora, il fatto che i dati personali siano tratti dal web non
comporta anche che i dati siano stati “manifestly made public”
dallo stesso interessato cui si riferiscono (potrebbe averli
pubblicati qualcun altro). Ed anche nel caso in cui quei dati li
abbia effettivamente resi pubblici l'interessato, ciò non comporta
di per sè che ai trattamenti di quei dati non si applichi tutto il
regime del GDPR. Quella disposizione serve a disattivare il
divieto con cui si apre all'art. 9 (divieto di trattamento), senza
però che questo disattivi tutto il resto del GDPR. In particolare
non viene meno la cogenza del principio di finalità.
Tendenzialmente, sono leciti solo i trattamenti che abbiano una
finalità compatibile con la finalità della pubblicazione da parte
dell'interessato. Qual è la finalità del/dei trattamento/i
realizzati per erogare chatCPT? chi le stabilisce? sono
compatibili con quelle per le quali l'interessato aveva reso
pubblici i dati (qui c'è un enorme tema di rilevanza del
contesto).
NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente
(ieri scrivevo che per molti aspetti si rivela molto rigido, poco
adatto a alle caratteristiche di determinati trattamenti, etc.),
ma la legge vigente è quella lì, non quella che noi vorremmo che
ci fosse.
Se non muoviamo, nelle nostre analisi, dal corretto inquadramento
di ciò che il regime attualmente vigente impone, faremo fatica a
comprendere le ragioni dei regolatori (che ci piacciano o meno), e
faremo fatica a immaginare come tale normativa dovrebbe essere
modificata (eventualmente).
Benedetto Ponti
Non sono d’accordo, anch’io la considero diffamazione. L’art. 9 della GDPR dice: 1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. ma esclude: (e) processing relates to personal data which are manifestly made public by the data subject; Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo. Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito. È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente. — BeppeOn 3 Apr 2023, at 07:19, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote: Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo <mariachiara.pievatolo@unipi.it> To: <nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID: <c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed" On 02/04/23 20:19, Stefano Zacchiroli wrote:Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso. In questo sito https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639&URLID=11&ESV=10.0.19.7431&IV=FD30D571A9BE34FDF44C2AE7DE8A8F75&TT=1680499341788&ESN=Q06ji5erVxjVyeKJcOpKxNnU4nl6Pbng%2BSqum1y3kKg%3D&KV=1536961729280&B64_ENCODED_URL=aHR0cHM6Ly93d3cucHJpdmFjeWxhYi5pdC9JVC8yMDUvSS1kYXRpLXNlbnNpYmlsaS1uZWwtR0RQUi8&HK=E91FDE7B5CA871A40A3B0BA6B29B00290E68F18CA87F36FF0D9792A2FDE0F002 c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare. Buonanotte, MCP_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa