+1 Della GDPR apprezzo il fatto che si basi sull’affermazione di diritti degli utenti, più che a imporre vincoli a chi fornisce servizi: https://www.privacypolicies.com/blog/gdpr-eight-user-rights/ Invece ho sentito Dragosh Tudorache, uno dei relatori del European AI Act, criticarla proprio per questo e ribadire che l’approccio giusto è quello dell’Act, di specificare casi vietati e imporre vincoli. A me pare sia proprio l’opposto: non dovrebbe importare dettagliare in una legge tutti ciò che è illecito (è “illecito ogni comportamento che è esplicitamente o implicitamente vietato dall’ordinamento"). Dovrebbero essere poi i guardiani dei diritti (autorità o tribunali) a intervenire per punire chi viola tali diritti. Lo stesso Tudorache ammette che ci sarà incompatibilità tra le legislazione europea, basata sul diritto civile e quella americana, basata sul diritto comune. Per evitare il conflitto, sarebbe appunto stato meglio non addentrarsi in tale tipo di legislazione. Già si è visto che l’ultima versione dell’Act si è dovuta aggiornare in fretta e furia per aggiungere dei vincoli al Generative AI, che non era contemplata nella versione di soli pochi mesi fa, fatta circolare a governi e consiglio dopo una consultazione pubblica. Al pubblico non è stato consentito pronunciarsi sulla nuova versione, tanto per dire quanto contasse. — Beppe

On 18 Jul 2023, at 04:04, <nexa-request@server-nexa.polito.it> <nexa-request@server-nexa.polito.it> wrote:

From: Carlo Blengino <blengino@penalistiassociati.it <mailto:blengino@penalistiassociati.it>> To: Maurizio Borghi <maurizio.borghi@unito.it <mailto:maurizio.borghi@unito.it>> Cc: Daniela Tafani <daniela.tafani@unipi.it <mailto:daniela.tafani@unipi.it>>, "nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it>" <nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it>> Subject: Re: [nexa] The FTC is investigating whether ChatGPT harms consumers Message-ID: <CAKd_52ZOiwr5y07WzU4ACXR4VFieKTy7NE=d2HXZVMQXFo=hug@mail.gmail.com <mailto:CAKd_52ZOiwr5y07WzU4ACXR4VFieKTy7NE=d2HXZVMQXFo=hug@mail.gmail.com>> Content-Type: text/plain; charset="utf-8"

Mi permetto solo un'osservazione rispetto al post di Maurizio, ringraziando sempre tutti per i contributi in lista, che mi pare abbiano, tutti, una parte di verità e tutti meritano attenzione (non ho letto cretinate!)

Il giorno sab 15 lug 2023 alle ore 12:37 Maurizio Borghi via nexa < nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it>> ha scritto:

...

*Infine, alcune delle interrogazioni (ad es. la n. 22) riguardano in maniera dettagliata la raccolta e il trattamento di dati personali, con la richiesta di specificare le modalità impiegate da Open AI per escludere l’impiego di informazioni personali come training data. Qui la FTC da’ chiaramente per acquisito che il trattamento di dati personali come training data senza consenso sia illegale. Forse una riprova del fatto che i tanto vituperati rilievi del Garante italiano non erano così infondati?*

Credo che le "informazioni personali" di cui si preoccupa la FTC al punto 22* non siano *i "dati personali" nella amplissima accezione data dal GDPR -che ha base nel diritto fondamentale tutto made in UE alla protezione dei dati- ma siano solo le informazioni che consentono ex sé di identificare direttamente (a seconda del contesto) un soggetto -nome, cognome, indirizzo e numeri di contatto o documenti d'identità- e che sono tutelati in U.S., se non sono resi pubblici dall'interessato stesso, sul diverso presupposto del right to be let alone, la mitica "privacy". Poi noi facciamo confusione ed usiamo i due termini come sinonimi, ma non è così: sono come noto due concetti affini ma profondamente diversi. I timori della FTC sono legati al "doxing" ( https://en.wikipedia.org/wiki/Doxing), fattispecie a noi europei ignota (e solo parzialmente e faticosamente tutelata dal GDPR), che invece ha grande rilievo in U.S. (è l'incubo delle piattaforme) ove appunto non esiste un diritto fondamentale alla protezione del dato (che infatti è usato e sfruttato a man bassa) ma una forte sensibilità alla privacy (tema su cui noi europei, con la riservatezza, siamo paradossalmente un po' più in difficoltà, soprattutto nei confronti del potere statuale).

Se così non fosse e la FTC avesse improvvisamente adottato il consenso per il trattamento dei dati personali intesi "all'europea", avremmo risolto tutti i problemi: non esisterebbe Google search così com'è, né il capitalismo della sorveglianza "a la Zuboff". Nel bene e nel male, potremmo chiudere il web, o quanto meno questo web. Con strepiti e brindisi a seconda delle fazioni. Escludo che l'FTC consideri illegale il training con dati personali senza consenso, ma chiede tutela sulle "informazioni personali", che sono altro.

In realtà i due interventi (quello del Garante e quello della FTC) hanno poco in comune e lo spettro di competenza delle Authority non è paragonabile, come non è paragonabile la base giuridica ed il quadro normativo su cui agiscono.

A chiosa pongo questa riflessione. Ormai il GDPR è utilizzato in UE e in Italia (sic!) come una clava, per perseguire fini anche meritori e reali ma del tutto estranei alla protezione del dato personale. Lo usiamo per tentare di regolare il mercato, a fini anticoncorrenziali, come grimaldello per perseguire una insana "sovranità digitale" che non promette nulla di buono sotto il profilo della riservatezza, e fin anche per regolare i contenuti illeciti o sgraditi, come forma di censura alle notizie o come viatico per diffamazioni inesistenti, in ultimo, persino nella protezione dei minori dalle brutture del web e per regolare il porno (cfr proposta Calenda), come se fosse l'unica legge che ci salverà sulla rete. Non va bene, ed il rischio è che quella fondamentale normativa, di per sé aperta e flessibile, impostata ab origine su costanti bilanciamenti di interessi contrapposti, perda il suo senso ed il suo significato e diventi davvero incompatibile con l'innovazione.

Facciamo attenzione, non è un buon servizio alla comunità strumentalizzare un diritto acerbo come la protezione del dato personale per fini estranei ed eccentrici rispetto all'originario intento.

CB

-- *Avv. Carlo Blengino* *Via Duchessa Jolanda n. 19,* *10138 Torino (TO) - Italy* *tel. +39 011 4474035* Penalistiassociati.it <http://penalistiassociati.it/>