+1

Della GDPR apprezzo il fatto che si basi sull’affermazione di diritti degli utenti, più che a imporre vincoli a chi fornisce servizi:
https://www.privacypolicies.com/blog/gdpr-eight-user-rights/
Invece ho sentito Dragosh Tudorache, uno dei relatori del European AI Act, criticarla proprio per questo e ribadire che l’approccio giusto è quello dell’Act, di specificare casi vietati e imporre vincoli.

A me pare sia proprio l’opposto: non dovrebbe importare dettagliare in una legge tutti ciò che è illecito (è “illecito ogni comportamento che è esplicitamente o implicitamente vietato dall’ordinamento").
Dovrebbero essere poi i guardiani dei diritti (autorità o tribunali) a intervenire per punire chi viola tali diritti.
Lo stesso Tudorache ammette che ci sarà incompatibilità tra le legislazione europea, basata sul diritto civile e quella americana, basata sul diritto comune.
Per evitare il conflitto, sarebbe appunto stato meglio non addentrarsi in tale tipo di legislazione.

Già si è visto che l’ultima versione dell’Act si è dovuta aggiornare in fretta e furia per aggiungere dei vincoli al Generative AI, che non era contemplata nella versione di soli pochi mesi fa, fatta circolare a governi e consiglio dopo una consultazione pubblica.
Al pubblico non è stato consentito pronunciarsi sulla nuova versione, tanto per dire quanto contasse.

— Beppe

On 18 Jul 2023, at 04:04, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:

From: Carlo Blengino <blengino@penalistiassociati.it>
To: Maurizio Borghi <maurizio.borghi@unito.it>
Cc: Daniela Tafani <daniela.tafani@unipi.it>,
"nexa@server-nexa.polito.it" <nexa@server-nexa.polito.it>
Subject: Re: [nexa] The FTC is investigating whether ChatGPT harms
consumers
Message-ID:
<CAKd_52ZOiwr5y07WzU4ACXR4VFieKTy7NE=d2HXZVMQXFo=hug@mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Mi permetto solo un'osservazione rispetto al post di Maurizio, ringraziando
sempre tutti per i contributi in lista, che mi pare abbiano, tutti, una
parte di verità e tutti meritano attenzione (non ho letto cretinate!)

Il giorno sab 15 lug 2023 alle ore 12:37 Maurizio Borghi via nexa <
nexa@server-nexa.polito.it> ha scritto:


*Infine, alcune delle interrogazioni (ad es. la n. 22) riguardano in
maniera dettagliata la raccolta e il trattamento di dati personali, con la
richiesta di specificare le modalità impiegate da Open AI per escludere
l’impiego di informazioni personali come training data. Qui la FTC da’
chiaramente per acquisito che il trattamento di dati personali come
training data senza consenso sia illegale. Forse una riprova del fatto che
i tanto vituperati rilievi del Garante italiano non erano così infondati?*



Credo che le "informazioni personali" di cui si preoccupa la FTC al punto 22*
non siano *i "dati personali" nella amplissima accezione data dal GDPR -che
ha base nel diritto fondamentale tutto made in UE alla protezione dei dati-
ma siano solo le informazioni che consentono ex sé di identificare
direttamente (a seconda del contesto) un soggetto -nome, cognome, indirizzo
e numeri di contatto o documenti d'identità- e che sono tutelati in U.S.,
se non sono resi pubblici dall'interessato stesso, sul diverso presupposto
del right to be let alone, la mitica "privacy".
Poi noi facciamo confusione ed usiamo i due termini come sinonimi, ma non è
così: sono come noto due concetti affini ma profondamente diversi.
I timori della FTC sono legati al "doxing" (
https://en.wikipedia.org/wiki/Doxing), fattispecie a noi europei ignota (e
solo parzialmente e faticosamente tutelata dal GDPR), che invece ha grande
rilievo in U.S. (è l'incubo delle piattaforme) ove appunto non esiste un
diritto fondamentale alla protezione del dato (che infatti è usato e
sfruttato a man bassa) ma una forte sensibilità alla privacy (tema su cui
noi europei, con la riservatezza, siamo paradossalmente un po' più in
difficoltà, soprattutto nei confronti del potere statuale).

Se così non fosse e la FTC avesse improvvisamente adottato il consenso per
il trattamento dei dati personali intesi  "all'europea", avremmo risolto
tutti i problemi: non esisterebbe Google search così com'è, né
il capitalismo della sorveglianza "a la Zuboff". Nel bene e nel male,
potremmo chiudere il web, o quanto meno questo web. Con strepiti e brindisi
a seconda delle fazioni.
Escludo che l'FTC consideri illegale il training con dati personali senza
consenso, ma chiede tutela sulle "informazioni personali", che sono altro.

In realtà i due interventi (quello del Garante e quello della FTC)  hanno
poco in comune e lo spettro di competenza delle Authority non è
paragonabile, come non è paragonabile la base giuridica ed il
quadro normativo su cui agiscono.

A chiosa pongo questa riflessione.
Ormai il GDPR è utilizzato in UE e in Italia (sic!) come una clava, per
perseguire fini anche meritori e reali ma del tutto estranei alla
protezione del dato personale. Lo usiamo per tentare di regolare il
mercato, a fini anticoncorrenziali, come grimaldello per perseguire una
insana "sovranità digitale" che non promette nulla di buono sotto il
profilo della riservatezza, e fin anche per regolare i contenuti illeciti o
sgraditi, come forma di censura alle notizie o come viatico per
diffamazioni inesistenti, in ultimo, persino nella protezione dei minori
dalle brutture del web e per regolare il porno (cfr proposta Calenda), come
se fosse l'unica legge che ci salverà sulla rete.
Non va bene, ed il rischio è che quella fondamentale normativa, di per sé
aperta e flessibile, impostata ab origine su costanti bilanciamenti di
interessi contrapposti, perda il suo senso ed il suo significato e diventi
davvero incompatibile con l'innovazione.

Facciamo attenzione, non è un buon servizio alla comunità strumentalizzare
un diritto acerbo come la protezione del dato personale per fini estranei
ed eccentrici rispetto all'originario intento.

CB


-- 
*Avv. Carlo Blengino*
*Via Duchessa Jolanda n. 19,*
*10138 Torino (TO) - Italy*
*tel. +39 011 4474035*
Penalistiassociati.it