Re: [nexa] ChatGPT disabled for users in Italy
Non sono d’accordo, anch’io la considero diffamazione. L’art. 9 della GDPR dice: 1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. ma esclude: (e) processing relates to personal data which are manifestly made public by the data subject; Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo. Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito. È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente. — Beppe
On 3 Apr 2023, at 07:19, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo <mariachiara.pievatolo@unipi.it> To: <nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID: <c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso.
In questo sito https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639... c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare.
Buonanotte, MCP
mi pare che ci siano un po' di punti fermi da cui partire, sul piano della disciplina e del regime giuridico a tutela dei dati personali (non solo e non tanto della "privacy"), se si vuole impostare un ragionamento (non tanto sulla bontà o meno della decisione del Garante, in sè, quanto) sull'impatto di tale regime giuridico su chatGPT (o chi per lei). 1) vorrei intanto ricordare che la diffamazione non richiede che il fatto narrato/rappresentato sia falso. Si può essere diffamati anche mediante l'allegazione di un fatto vero. La verità opera come scriminante in caso di esercizio del diritto di cronaca (rende non punibile il reato commesso). 2) c'è poi da aggiungere che la diffamazione è la lesione della reputazione, mentre nel discorso che qui ci occupa (il fatto che le risposte di chatGPT forniscano informazione false, scorrette, datate, etc. riguardo a persone identificate o identificabili) il profilo rilevante è quello del diritto alla (corretta rappresentazione dell')identità personale, che è un piano differente rispetto a quello della reputazione. Rileva cioè - per essere schematici - il GDPR come legslazione a tutela dei dati personali, anche in quanto funzionale alla _tutela del diritto fondamentale all'identità personale_. (correttezza, aggiornamento, esattezza dei dati sono requisiti funzionali a tale tutela). 3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni, tipo: "Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati.". Si dà il caso che dalla sentenza della Corte di giustizia "Google Spain" in poi (una sentenza del 2014), i motori di ricerca sono tenuti alla deindicizzazione dei link prodotti da una query basata su nome e cognome dell'interessato, qualora il link punti ad una pagina web in cui siano contenuti dati scorretti/inesatti/non (più) aggiornati. Il diritto al delisting (come strumento che consente di far valere in diritto alla cancellazione come strumentale, in particolare, non tanto alla tutela della reputazione, ma più ampiamente alla tutela dell'identità personale) è oramai consolidato. Possiamo discutere di come sia costruito l'equilibrio, se l'eccezione fondata sul diritto di espressione sia adeguata, etc.; ma che il diritto alla cancellazione (art. 17 GDPR) combinato con il diritto di opposizione (art. 21) impatti sui motori di ricerca oramai è un dato acquisito. I motori di ricerca non sono vietati, ma regolati sì! 4) /mutatis mutandis/, quali ricadute del combinato disposto (diritto di cancellazione+diritto di opposizione) sui chatbot LLM? Questo a mio parere è il nodo. Il delisting ha funzionato, e funziona, perché il motore di ricerca non costruisce un contenuto ad hoc, ma linka a contenuti già esistenti. Diversamente, il sistema basato sul LLM come chat GPT, non si limita a linkare, anzi fa tutt'altro. Assembla di volta in volta informazioni che trae dal web, e fornisce un contenuto ad hoc. Se in questo contenuto sono presenti inesattezze, dati non aggiornati, dati falsi etc. che sono riferiti ad una persona identificata o identificabile, i diritti di cui sopra possono essere fatti valere nei confronti del titolare del trattamento (che è OpenAI). Se la presenza di errori, scorrettezze, dati vecchi/non aggiornati è sistematica (by design), _l'impatto è enorme_, dal momento che varrebbe il principio opposto (art. 25 del gdpr cd. "privacy by design", espressione sintetica fuorviante perché l'articolo in questione impone una conformità della progettazione dei mezzi del trattamento alla tutela di tutti i diritti degli interessati, non solo della "privacy") 5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae" - ora, il fatto che i dati personali siano tratti dal web non comporta anche che i dati siano stati “manifestly made public” dallo stesso interessato cui si riferiscono (potrebbe averli pubblicati qualcun altro). Ed anche nel caso in cui quei dati li abbia effettivamente resi pubblici l'interessato, ciò non comporta di per sè che ai trattamenti di quei dati non si applichi tutto il regime del GDPR. Quella disposizione serve a disattivare il divieto con cui si apre all'art. 9 (divieto di trattamento), senza però che questo disattivi tutto il resto del GDPR. In particolare non viene meno la cogenza del principio di finalità. Tendenzialmente, sono leciti solo i trattamenti che abbiano una finalità compatibile con la finalità della pubblicazione da parte dell'interessato. Qual è la finalità del/dei trattamento/i realizzati per erogare chatCPT? chi le stabilisce? sono compatibili con quelle per le quali l'interessato aveva reso pubblici i dati (qui c'è un enorme tema di rilevanza del contesto). NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente (ieri scrivevo che per molti aspetti si rivela molto rigido, poco adatto a alle caratteristiche di determinati trattamenti, etc.), ma la legge vigente è quella lì, non quella che noi vorremmo che ci fosse. Se non muoviamo, nelle nostre analisi, dal corretto inquadramento di ciò che il regime attualmente vigente impone, faremo fatica a comprendere le ragioni dei regolatori (che ci piacciano o meno), e faremo fatica a immaginare come tale normativa dovrebbe essere modificata (eventualmente). Benedetto Ponti Il 03/04/2023 08:39, Giuseppe Attardi ha scritto:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19,<nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo<mariachiara.pievatolo@unipi.it> To:<nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID:<c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso.
In questo sito https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639... c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare.
Buonanotte, MCP
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Trovo l'analisi di Bendetto Ponti molto chiara e condivivisibile. Maurizio Borghi Il giorno lun 3 apr 2023 alle ore 09:41 Benedetto Ponti < benedetto.ponti@unipg.it> ha scritto:
mi pare che ci siano un po' di punti fermi da cui partire, sul piano della disciplina e del regime giuridico a tutela dei dati personali (non solo e non tanto della "privacy"), se si vuole impostare un ragionamento (non tanto sulla bontà o meno della decisione del Garante, in sè, quanto) sull'impatto di tale regime giuridico su chatGPT (o chi per lei).
1) vorrei intanto ricordare che la diffamazione non richiede che il fatto narrato/rappresentato sia falso. Si può essere diffamati anche mediante l'allegazione di un fatto vero. La verità opera come scriminante in caso di esercizio del diritto di cronaca (rende non punibile il reato commesso).
2) c'è poi da aggiungere che la diffamazione è la lesione della reputazione, mentre nel discorso che qui ci occupa (il fatto che le risposte di chatGPT forniscano informazione false, scorrette, datate, etc. riguardo a persone identificate o identificabili) il profilo rilevante è quello del diritto alla (corretta rappresentazione dell')identità personale, che è un piano differente rispetto a quello della reputazione. Rileva cioè - per essere schematici - il GDPR come legslazione a tutela dei dati personali, anche in quanto funzionale alla *tutela del diritto fondamentale all'identità personale*. (correttezza, aggiornamento, esattezza dei dati sono requisiti funzionali a tale tutela).
3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni, tipo: "Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati.". Si dà il caso che dalla sentenza della Corte di giustizia "Google Spain" in poi (una sentenza del 2014), i motori di ricerca sono tenuti alla deindicizzazione dei link prodotti da una query basata su nome e cognome dell'interessato, qualora il link punti ad una pagina web in cui siano contenuti dati scorretti/inesatti/non (più) aggiornati. Il diritto al delisting (come strumento che consente di far valere in diritto alla cancellazione come strumentale, in particolare, non tanto alla tutela della reputazione, ma più ampiamente alla tutela dell'identità personale) è oramai consolidato. Possiamo discutere di come sia costruito l'equilibrio, se l'eccezione fondata sul diritto di espressione sia adeguata, etc.; ma che il diritto alla cancellazione (art. 17 GDPR) combinato con il diritto di opposizione (art. 21) impatti sui motori di ricerca oramai è un dato acquisito. I motori di ricerca non sono vietati, ma regolati sì!
4) *mutatis mutandis*, quali ricadute del combinato disposto (diritto di cancellazione+diritto di opposizione) sui chatbot LLM? Questo a mio parere è il nodo. Il delisting ha funzionato, e funziona, perché il motore di ricerca non costruisce un contenuto ad hoc, ma linka a contenuti già esistenti. Diversamente, il sistema basato sul LLM come chat GPT, non si limita a linkare, anzi fa tutt'altro. Assembla di volta in volta informazioni che trae dal web, e fornisce un contenuto ad hoc. Se in questo contenuto sono presenti inesattezze, dati non aggiornati, dati falsi etc. che sono riferiti ad una persona identificata o identificabile, i diritti di cui sopra possono essere fatti valere nei confronti del titolare del trattamento (che è OpenAI). Se la presenza di errori, scorrettezze, dati vecchi/non aggiornati è sistematica (by design), *l'impatto è enorme*, dal momento che varrebbe il principio opposto (art. 25 del gdpr cd. "privacy by design", espressione sintetica fuorviante perché l'articolo in questione impone una conformità della progettazione dei mezzi del trattamento alla tutela di tutti i diritti degli interessati, non solo della "privacy")
5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae" - ora, il fatto che i dati personali siano tratti dal web non comporta anche che i dati siano stati “manifestly made public” dallo stesso interessato cui si riferiscono (potrebbe averli pubblicati qualcun altro). Ed anche nel caso in cui quei dati li abbia effettivamente resi pubblici l'interessato, ciò non comporta di per sè che ai trattamenti di quei dati non si applichi tutto il regime del GDPR. Quella disposizione serve a disattivare il divieto con cui si apre all'art. 9 (divieto di trattamento), senza però che questo disattivi tutto il resto del GDPR. In particolare non viene meno la cogenza del principio di finalità. Tendenzialmente, sono leciti solo i trattamenti che abbiano una finalità compatibile con la finalità della pubblicazione da parte dell'interessato. Qual è la finalità del/dei trattamento/i realizzati per erogare chatCPT? chi le stabilisce? sono compatibili con quelle per le quali l'interessato aveva reso pubblici i dati (qui c'è un enorme tema di rilevanza del contesto).
NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente (ieri scrivevo che per molti aspetti si rivela molto rigido, poco adatto a alle caratteristiche di determinati trattamenti, etc.), ma la legge vigente è quella lì, non quella che noi vorremmo che ci fosse. Se non muoviamo, nelle nostre analisi, dal corretto inquadramento di ciò che il regime attualmente vigente impone, faremo fatica a comprendere le ragioni dei regolatori (che ci piacciano o meno), e faremo fatica a immaginare come tale normativa dovrebbe essere modificata (eventualmente).
Benedetto Ponti Il 03/04/2023 08:39, Giuseppe Attardi ha scritto:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo <mariachiara.pievatolo@unipi.it> <mariachiara.pievatolo@unipi.it> To: <nexa@server-nexa.polito.it> <nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID: <c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> <c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso.
In questo sitohttps://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639... c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare.
Buonanotte, MCP
_______________________________________________ nexa mailing listnexa@server-nexa.polito.ithttps://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- _______________ *Maurizio Borghi* Università di Torino https://www.dg.unito.it/persone/maurizio.borghi Co-Director Nexa Center for Internet & Society <https://nexa.polito.it/> My Webex room: https://unito.webex.com/meet/maurizio.borghi
mi pare che ci siano un po' di punti fermi da cui partire, sul piano della disciplina e del regime giuridico a tutela dei dati personali (non solo e non tanto della "privacy"), se si vuole impostare un ragionamento (non tanto sulla bontà o meno della decisione del Garante, in sè, quanto) sull'impatto di tale regime giuridico su chatGPT (o chi per lei). 1) vorrei intanto ricordare che la diffamazione non richiede che il fatto narrato/rappresentato sia falso. Si può essere diffamati anche mediante l'allegazione di un fatto vero. La verità opera come scriminante in caso di esercizio del diritto di cronaca (rende non punibile il reato commesso). 2) c'è poi da aggiungere che la diffamazione è la lesione della reputazione, mentre nel discorso che qui ci occupa (il fatto che le risposte di chatGPT forniscano informazione false, scorrette, datate, etc. riguardo a persone identificate o identificabili) il profilo rilevante è quello del diritto alla (corretta rappresentazione dell')identità personale, che è un piano differente rispetto a quello della reputazione. Rileva cioè - per essere schematici - il GDPR come legslazione a tutela dei dati personali, anche in quanto funzionale alla _tutela del diritto fondamentale all'identità personale_. (correttezza, aggiornamento, esattezza dei dati sono requisiti funzionali a tale tutela). 3) Fatte queste precisazioni, vorrei venire ad alcune affermazioni, tipo: "Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati.". Si dà il caso che dalla sentenza della Corte di giustizia "Google Spain" in poi (una sentenza del 2014), i motori di ricerca sono tenuti alla deindicizzazione dei link prodotti da una query basata su nome e cognome dell'interessato, qualora il link punti ad una pagina web in cui siano contenuti dati scorretti/inesatti/non (più) aggiornati. Il diritto al delisting (come strumento che consente di far valere in diritto alla cancellazione come strumentale, in particolare, non tanto alla tutela della reputazione, ma più ampiamente alla tutela dell'identità personale) è oramai consolidato. Possiamo discutere di come sia costruito l'equilibrio, se l'eccezione fondata sul diritto di espressione sia adeguata, etc.; ma che il diritto alla cancellazione (art. 17 GDPR) combinato con il diritto di opposizione (art. 21) impatti sui motori di ricerca oramai è un dato acquisito. I motori di ricerca non sono vietati, ma regolati sì! 4) /mutatis mutandis/, quali ricadute del combinato disposto (diritto di cancellazione+diritto di opposizione) sui chatbot LLM? Questo a mio parere è il nodo. Il delisting ha funzionato, e funziona, perché il motore di ricerca non costruisce un contenuto ad hoc, ma linka a contenuti già esistenti. Diversamente, il sistema basato sul LLM come chat GPT, non si limita a linkare, anzi fa tutt'altro. Assembla di volta in volta informazioni che trae dal web, e fornisce un contenuto ad hoc. Se in questo contenuto sono presenti inesattezze, dati non aggiornati, dati falsi etc. che sono riferiti ad una persona identificata o identificabile, i diritti di cui sopra possono essere fatti valere nei confronti del titolare del trattamento (che è OpenAI). Se la presenza di errori, scorrettezze, dati vecchi/non aggiornati è sistematica (by design), _l'impatto è enorme_, dal momento che varrebbe il principio opposto (art. 25 del gdpr cd. "privacy by design", espressione sintetica fuorviante perché l'articolo in questione impone una conformità della progettazione dei mezzi del trattamento alla tutela di tutti i diritti degli interessati, non solo della "privacy") 5) si dice, ancora: "Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae" - ora, il fatto che i dati personali siano tratti dal web non comporta anche che i dati siano stati “manifestly made public” dallo stesso interessato cui si riferiscono (potrebbe averli pubblicati qualcun altro). Ed anche nel caso in cui quei dati li abbia effettivamente resi pubblici l'interessato, ciò non comporta di per sè che ai trattamenti di quei dati non si applichi tutto il regime del GDPR. Quella disposizione serve a disattivare il divieto con cui si apre all'art. 9 (divieto di trattamento), senza però che questo disattivi tutto il resto del GDPR. In particolare non viene meno la cogenza del principio di finalità. Tendenzialmente, sono leciti solo i trattamenti che abbiano una finalità compatibile con la finalità della pubblicazione da parte dell'interessato. Qual è la finalità del/dei trattamento/i realizzati per erogare chatCPT? chi le stabilisce? sono compatibili con quelle per le quali l'interessato aveva reso pubblici i dati (qui c'è un enorme tema di rilevanza del contesto). NB: non sto dicendo che il GDPR sia sempre e cmq soddisfacente (ieri scrivevo che per molti aspetti si rivela molto rigido, poco adatto a alle caratteristiche di determinati trattamenti, etc.), ma la legge vigente è quella lì, non quella che noi vorremmo che ci fosse. Se non muoviamo, nelle nostre analisi, dal corretto inquadramento di ciò che il regime attualmente vigente impone, faremo fatica a comprendere le ragioni dei regolatori (che ci piacciano o meno), e faremo fatica a immaginare come tale normativa dovrebbe essere modificata (eventualmente). Benedetto Ponti Il 03/04/2023 08:39, Giuseppe Attardi ha scritto:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19,<nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo<mariachiara.pievatolo@unipi.it> To:<nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID:<c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso.
In questo sito https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639... c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare.
Buonanotte, MCP
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Ciao Giuseppe, Stefano, Guido e Nexa. L'articolo 9 del GDPR al comma 2(e) esclude i dati personali pubblicamente condivisi dal DIVIETO di trattarmento per le categorie di dato personale elencate al comma 1 dello stesso articolo. Non esclude in alcun modo gli stessi dati dalla protezione prevista dal resto del GDPR. On Mon, 3 Apr 2023 08:39:11 +0200 Giuseppe Attardi wrote:
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public”
No, Giuseppe: quelli utilizzati per la programmazione statistica di GPT4 sono dati personali. Il fatto che siano stati resi pubblici dagli interessati (se dimostrabile, caso per caso), li esclude dal divieto di cui all'articolo 9, ma non inficia in alcun modo il resto dei diritti che il GDPR garantisce alle persone interessate.
Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Falsa dicotomia. ChatGPT può tranquillamente rivelare dati personali VERI che i soggetti non hanno mai rivelato a nessuno con la stessa probabilità con cui può diffondere dati personali FALSI. Spero che siamo d'accordo sul fatto che, se sulla base di correlazioni statistiche a noi ignote, rivelasse ad esempio l'omossessualità di una persona effettivamente omosessuale ma che non avesse liberamente deciso di rivelare tale omosessualità, ci troveremmo di fronte ad una violenza psicologica terribile fatta ad una persona reale. Che dovrebbe fare quella persona? Negare pubblicamente e con forza la propria omosessualità (mentendo e magari offendendo la sensibilità del proprio partner) o rivelare a tutti qualcosa che preferiva tenere per sé? Dunque, nello stesso output, ChatGPT può diffondere, contemporaneamente e con la stessa probabilità, informazioni accidentalmente vere e pubbliche, informazioni false (diffamazione/calunnia) e informazioni vere (sempre accidentalmente) ma riservate. Nel caso del mio esempio, si tratterebbe pure di una violazione dell'articolo 9 del GDPR che OpenAI^W Microsoft deve essere in condizione di IMPEDIRE SEMPRE per qualunque cittadino europeo, se vuole elaborare dati di cittadini europei.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
Prima di dichiarare la normativa attuale inadeguata, sarebbe utile conoscerla ed averla studiata BENE. In qualunque caso, il diritto fondamentale protetto dal GDPR, il diritto alla protezione dei dati come parte della persona in una società cibernetica, è sempre più fondamentale. L'inadeguatezza del GDPR, al limite, sta nell'enorme difficoltà che abbiamo in questo momento a farlo rispettare, sia dai Titolari (che continuano a scegliere fornitori in violazione degli articoli 25 e 28) sia dai fornitori che, di fatto, se ne sbattono, circuendo gli interessati e la norma, sia dei molti Data Protection Officer che si "dimenticano" di segnalare gli uni e gli altri al Garante con cui dovrebbero invece cooperare lealmente ai sensi dell'articolo 39, comma 1(d). Sugli enormi limiti del diritto d'autore (e del copyright) potremmo poi aprire un thread dedicato, ma di certo, la sua violazione sistematica a mezzo LLM, già evidenziata da GitHub CopyALot (sempre di Microsoft), sulla base del "fair use" è proprio uno di questi limiti. Tuttavia Giuseppe, il fatto che i diritti fondamentali delle persone escludano certi percorsi di ricerca tecnologica (e certi business model), non rende quei diritti "inadeguati". Sostenerlo significherebbe, di fatto, privare gli esseri umani di qualsiasi dignità, riducendoli a cavie da laboratorio, oggetti da studiare e sfruttare per il profitto (di altri esseri umani). Anche no, grazie. On Sun, 2 Apr 2023 20:19:40 +0200 Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Semplicemente, come Floridi (per quanto riportato da Guido Vetere qui https://server-nexa.polito.it/pipermail/nexa/2023-April/025257.html ) non hai un idea chiara del concetto di informazione. Anzitutto, il dato rappresenta sempre un informazione per il semplice fatto di essere interpretabile da un essere umano. In particolare, l'output di ChatGPT è specificatamente studiato per essere interpretabile da un essere umano, dunque veicola sempre informazione, ovvero un'esperienza soggettiva di pensiero comunicabile nella mente di chi lo legge. Inoltre, sembrerebbe che entrambi dimentichiate che prima di essere VERA o FALSA, un'informazione deve essere NOTA o IGNOTA. In logica, come sai, NULL (ignoto) è diverso sia da TRUE che da FALSE https://learnsql.com/blog/null-comparison-operators/ Ne consegue che, fintanto che non risponderà a tutte le domande con un semplice "Mi dispiace, non lo so.", GPT4 continuerà ad essere buggato. E di tale enorme bug, OpenAI DEVE rispondere . Giacomo On Mon, 3 Apr 2023 08:39:11 +0200 Giuseppe Attardi wrote:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo <mariachiara.pievatolo@unipi.it> To: <nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID: <c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso.
In questo sito https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639... c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare.
Buonanotte, MCP
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
facciamo un esperimento mentale metto in piedi (senza GPT) un sito che, dato un nome qualsiasi, inventa una storia sulla persona a cui quel nome si riferisce (per una qualsiasi nozione di 'riferimento' estesa anche a entità inesistenti), utilizzando come 'seed' dell'algoritmo generativo le consonanti del nome il mio sito presenta un disclaimer che recita: "Le mie storie sono inventate *così* e *così*". il Garante deve intervenire in questo caso? in seguito, modifico l'algoritmo implementando una qualsiasi elaborazione delle prime tre pagine che ottengo cercando quel nome su Google il mio sito presenta un disclaimer che recita: "Le mie storie sono inventate *così* e *così*". il Garante deve intervenire in questo caso? mi scuso per l'ingenuità di questo esperimento, spero che qualche giurista voglia comunque rispondere G. On Mon, 3 Apr 2023 at 10:30, Giacomo Tesio <giacomo@tesio.it> wrote:
Ciao Giuseppe, Stefano, Guido e Nexa.
L'articolo 9 del GDPR al comma 2(e) esclude i dati personali pubblicamente condivisi dal DIVIETO di trattarmento per le categorie di dato personale elencate al comma 1 dello stesso articolo.
Non esclude in alcun modo gli stessi dati dalla protezione prevista dal resto del GDPR.
On Mon, 3 Apr 2023 08:39:11 +0200 Giuseppe Attardi wrote:
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public”
No, Giuseppe: quelli utilizzati per la programmazione statistica di GPT4 sono dati personali. Il fatto che siano stati resi pubblici dagli interessati (se dimostrabile, caso per caso), li esclude dal divieto di cui all'articolo 9, ma non inficia in alcun modo il resto dei diritti che il GDPR garantisce alle persone interessate.
Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Falsa dicotomia.
ChatGPT può tranquillamente rivelare dati personali VERI che i soggetti non hanno mai rivelato a nessuno con la stessa probabilità con cui può diffondere dati personali FALSI.
Spero che siamo d'accordo sul fatto che, se sulla base di correlazioni statistiche a noi ignote, rivelasse ad esempio l'omossessualità di una persona effettivamente omosessuale ma che non avesse liberamente deciso di rivelare tale omosessualità, ci troveremmo di fronte ad una violenza psicologica terribile fatta ad una persona reale.
Che dovrebbe fare quella persona? Negare pubblicamente e con forza la propria omosessualità (mentendo e magari offendendo la sensibilità del proprio partner) o rivelare a tutti qualcosa che preferiva tenere per sé?
Dunque, nello stesso output, ChatGPT può diffondere, contemporaneamente e con la stessa probabilità, informazioni accidentalmente vere e pubbliche, informazioni false (diffamazione/calunnia) e informazioni vere (sempre accidentalmente) ma riservate.
Nel caso del mio esempio, si tratterebbe pure di una violazione dell'articolo 9 del GDPR che OpenAI^W Microsoft deve essere in condizione di IMPEDIRE SEMPRE per qualunque cittadino europeo, se vuole elaborare dati di cittadini europei.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
Prima di dichiarare la normativa attuale inadeguata, sarebbe utile conoscerla ed averla studiata BENE.
In qualunque caso, il diritto fondamentale protetto dal GDPR, il diritto alla protezione dei dati come parte della persona in una società cibernetica, è sempre più fondamentale.
L'inadeguatezza del GDPR, al limite, sta nell'enorme difficoltà che abbiamo in questo momento a farlo rispettare, sia dai Titolari (che continuano a scegliere fornitori in violazione degli articoli 25 e 28) sia dai fornitori che, di fatto, se ne sbattono, circuendo gli interessati e la norma, sia dei molti Data Protection Officer che si "dimenticano" di segnalare gli uni e gli altri al Garante con cui dovrebbero invece cooperare lealmente ai sensi dell'articolo 39, comma 1(d).
Sugli enormi limiti del diritto d'autore (e del copyright) potremmo poi aprire un thread dedicato, ma di certo, la sua violazione sistematica a mezzo LLM, già evidenziata da GitHub CopyALot (sempre di Microsoft), sulla base del "fair use" è proprio uno di questi limiti.
Tuttavia Giuseppe, il fatto che i diritti fondamentali delle persone escludano certi percorsi di ricerca tecnologica (e certi business model), non rende quei diritti "inadeguati".
Sostenerlo significherebbe, di fatto, privare gli esseri umani di qualsiasi dignità, riducendoli a cavie da laboratorio, oggetti da studiare e sfruttare per il profitto (di altri esseri umani).
Anche no, grazie.
On Sun, 2 Apr 2023 20:19:40 +0200 Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Semplicemente, come Floridi (per quanto riportato da Guido Vetere qui https://server-nexa.polito.it/pipermail/nexa/2023-April/025257.html ) non hai un idea chiara del concetto di informazione.
Anzitutto, il dato rappresenta sempre un informazione per il semplice fatto di essere interpretabile da un essere umano. In particolare, l'output di ChatGPT è specificatamente studiato per essere interpretabile da un essere umano, dunque veicola sempre informazione, ovvero un'esperienza soggettiva di pensiero comunicabile nella mente di chi lo legge.
Inoltre, sembrerebbe che entrambi dimentichiate che prima di essere VERA o FALSA, un'informazione deve essere NOTA o IGNOTA. In logica, come sai, NULL (ignoto) è diverso sia da TRUE che da FALSE https://learnsql.com/blog/null-comparison-operators/
Ne consegue che, fintanto che non risponderà a tutte le domande con un semplice "Mi dispiace, non lo so.", GPT4 continuerà ad essere buggato.
E di tale enorme bug, OpenAI DEVE rispondere .
Giacomo
On Mon, 3 Apr 2023 08:39:11 +0200 Giuseppe Attardi wrote:
Non sono d’accordo, anch’io la considero diffamazione.
L’art. 9 della GDPR dice:
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
ma esclude:
(e) processing relates to personal data which are manifestly made public by the data subject;
Nel produrre le risposte risposte di ChatGPT non ci sono dati personali che vengono elaborati, solo dati “manifestly made public” nelle fonti web da cui li trae, e le risposte sono solo affermazioni, senza garanzia di verità. Se fossero vere, si potrebbe contestare che rivelano fatti personali, ma se sono falsi si tratta di diffamazione. Delle due l’una: o riteniamo che ChatGPT dica cose vere o non lo crediamo.
Se il solo rimettere in circolazione dati pubblicati su web violasse la GDPR, anche i motori di ricerca sarebbero vietati. Non dobbiamo vedere tutto come chiodi perché siamo un martello (GDPR). Per la diffamazione c’è un reato apposito.
È abbastanza evidente che le norme attuali, GDPR, Copyright e annunciato European AI Act, sono inadeguati. Ma intervenire adesso a bloccare una tecnologia che non fa danni, certamente di meno di tanto software di cui non ci curiamo, è prematuro e controproducente.
— Beppe
On 3 Apr 2023, at 07:19, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:
Date: Sun, 2 Apr 2023 22:14:12 +0200 From: Maria Chiara Pievatolo <mariachiara.pievatolo@unipi.it> To: <nexa@server-nexa.polito.it> Subject: Re: [nexa] ChatGPT disabled for users in Italy Message-ID: <c3aee1da-ee0f-4ea4-4581-4b0a45515802@unipi.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"
On 02/04/23 20:19, Stefano Zacchiroli wrote:
Che GhatGPT dica panzane a proposito di persone specifiche (viventi) è in effetti evidente a tutti. Ma, da non giurista, faccio veramente fatica a capire perché questo ponga problemi al Garante per la protezione dei dati personali. Se pubblico un sito web pieno di panzane su persone viventi, il Garante ha il potere di farmelo chiudere? Direi (sempre da non giurista), che al massimo rischio una querela per diffamazione dagli interessati.
Se si rivelano dati particolari (ex sensibili) senza il consenso esplicito dell'interessato si viola l'articolo 9 della GDPR. I dati particolari, perfino quando sono falsi, mi rappresentano. Se un SALAMI allucinato mi arruola nei testimoni di Geova, descrive comunque le mie (presunte) convinzioni religiose senza il mio consenso.
In questo sito
https://es.sonicurlprotection-fra.com/click?PV=2&MSGID=202304030519280824639...
c'è un fantastico esempio, quello della malattia di un Peppino agente di commercio in realtà fin troppo sano, in cui una rivelazione in buona fede di un dato particolare *falso* senza il consenso dell'interessato provoca pure una tragedia familiare.
Buonanotte, MCP
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (5)
-
Benedetto Ponti -
Giacomo Tesio -
Giuseppe Attardi -
Guido Vetere -
Maurizio Borghi