Provo a proporvi alcune considerazioni in diritto, giusto per tentare di dare un contributo, per quel che posso, nell'interpretare un provvedimento che mi lascia molto perplesso.
1) Il provvedimento è un provvedimento connotato da “particolare urgenza ed indifferibilità” tanto da non consentire neppure la convocazione in tempo utile del Garante, ovvero del Collegio dei Garanti, ed è firmato ed adottato dal solo Presidente. Le ragioni di tale straordinaria urgenza ed indifferibilità non sono note e non sono espresse nel provvedimento. Non è una buona partenza e la cosa si presta a polemiche più o meno strumentali. 2) E’ un provvedimento di *limitazione provvisoria del trattamento *dei dati personali delle persone che si trovano nel territorio italiano (a prescindere da cittadinanza o residenza) e la predetta limitazione *ha effetto immediato a decorrere dalla data di ricezione* del provvedimento. Dunque dal 31/03/2023. C’è poi una seconda imposizione che assegna 20 giorni per comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto, ovvero l’immediata limitazione del trattamento (io non leggo altre prescrizioni), e per fornire ogni elemento ritenuto utile a giustificare le violazioni evidenziate. Violazioni per cui sussiste un *fumus boni juris* e che saranno oggetto di futura istruttoria. Non sono stati concessi 20 giorni per conformarsi al GDPR, ma 20 giorni per spiegare cosa hanno immediatamente fatto in relazione al provvedimento. 3) Prima di affrontare il tema centrale su cosa si intenda per “limitazione del trattamento” è opportuno precisare quali profili di illiceità individui il provvedimento. Mi paiono 4, ma non sono sicuro: i) l’assenza di informativa (che invece c’è); ii l’assenza di base giuridica nel trattamento dei dati personali nei grandi dataset di addestramento (tema amplissimo che incide su tutti i sistemi di ML e non solo); iii) l’inesattezza di dati personali rivelata dagli out-put errati della chat (questa è davvero significativa di un grave problema di comprensione del servizio stesso) ed in ultimo iv) il problema dell'accesso dei minori. 4) Ora, tralasciando le molte considerazioni in diritto che potrebbero farsi su queste più o meno provate violazioni, ed a prescindere dalla loro fondatezza, è necessario capire cosa è una “limitazione del trattamento”. E’ fondamentale credo per capire la reale portata del provvedimento emesso dal Presidente del Garante e quali opzioni avesse OpenAI al di là di quella, piuttosto semplice, di fregarsene del provvedimento non essendo stabilita in EU e non essendo pensabile alcuna capacità esecutiva o impositiva da parte dell’Autorità Italiana, soprattutto al di fuori di qualsiasi coordinamento con le omologhe Autority europee, efficace quanto meno a livello di pressione politica. Purtroppo ancora una volta il provvedimento non aiuta a capire quale limitazione il provider avrebbe dovuto applicare, a quali dati in concreto e a quali specifici trattamenti; in un sistema in cui probabilmente manco OpenAi sa granularmente cosa c’è e cosa accade, non mi pare facile “adempiere” all’ordine immediato... Sul punto può aiutare il Considerando 67 del GDPR ove si legge: N*egli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato.* Gli informatici della lista mi aiuteranno a capire come si applica una limitazione del trattamento sui dati personali di interessati stabiliti in Italia in una rete quale quella utilizzata da ChatGpt. Mi chiedo ad esempio come nell’ampio data-set formato dagli archivi delle principali testate giornalistiche statunitensi (uno negli n° data set dichiarati) possano esser individuati, contrassegnati e bloccati i soli dati delle persone, non italiane, ma stabilite in Italia. Il provvedimento credo implicherebbe il blocco dell’intera rete, ma sul punto gli informatici mi aiuteranno. Io non saprei che fare. Ma al di là dei dati già archiviati, OpenAI dal 31/03/2023 non può ovviamente trattare, e dunque acquisire, dati di interessati stabiliti in Italia. Sarebbe singolare non applicare una generica limitazione all’acquisizione. Bloccare l’accesso dall’italia, a fronte di un provvedimento così generico è la prima soluzione che io suggerirei al provider ed è temo l’unica cosa che si può fare senza bloccare l’intero servizio worldwide. *Quel provvedimento d’urgenza non chiede adeguamenti al GDPR o la messa in conformità: individua e ipotizza alcune possibili violazioni e opera cautelativamente la limitazione di alcuni dati personali (quelli delle persone che si trovano nel territorio italiano), alla data 31/03/2023. Punto.* Le critiche al blocco operato da OpenAI ieri mi pare possano avere una loro fondatezza solo se rapportate alla scelta, del tutto legittima, tra due opzioni: fregarsene del provvedimento oppure in qualche modo adempiere nell’unico modo possibile: bloccare l’Italia. E probabilmente per sfruttare l’abnormità del provvedimento e sollevare un caso OpenAI ha scelto la seconda. Concordo con Casilli: ci sono analogie con la vicenda Berlusconi degli anni ‘80. Anche in quel caso una legge inadeguata ed inattuale (e incompatibile con l’art.21 Cost) si scontrava con una evoluzione tecnologica che ne palesava l’assoluta iniquità. La mossa di Berlusconi fu una forzatura del tutto legittima, e fu scelta efficace. I benefici in termini pluralismo nel settore dei media ed i danni e i disastri della televisione commerciale sono poi un’altro capitolo della storia. Io mi fermo qui, e ringrazio ancora una volta Nexa per questo spazio di discussione che da mesi, con competenza, dibatte su una cosa grossa che ci sta accadendo: il tema mi pare davvero non meriti di esser affrontata dagli enti regolatori italiani con provvedimenti d’urgenza inutili, inefficaci e forieri di danno per l’Italia. Purtroppo l’andazzo è questo, non solo nell’approccio alle questioni tecnologiche a noi care. Buona domenica Carlo Il giorno sab 1 apr 2023 alle ore 16:38 de petra giulio < [email protected]> ha scritto: > Leggo sul sito del Garante il testo del provvedimento: > > OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante > nello Spazio economico europeo, deve comunicare entro 20 giorni le misure > intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione > fino a 20 milioni di euro o fino al 4% del fatturato globale annuo. > > Non è una drammatizzazione, ma un provvedimento coerente con i rilievi > formulati e in linea con altri provvedimenti emanati dal Garante. > Entro 20 giorni Open AI deve comunicare quali misure intende adottare per > eliminare le cause dei rilievi formulati. Non attuare le misure, che > possono richiedere tempo, ma solo comunicarle al Garante. > > Non comprendo proprio perché con questa decisione: > ‘lo Stato regola i comportamenti dei cittadini riducendo i gradi di > libertà e l'agibilità dello spazio pubblico.’ > Al contrario mi sembra che l’Autorita’ di garanzia, organo dello Stato, ma > non del governo, cerchi di svolgere il suo compito di tutela dei cittadini, > provando a rendere meno infrequentabile uno spazio pubblico colonizzato da > imprese private digitali. > > A meno di eccepire sul merito dei rilievi del Garante, o di contestare le > regole che il Garante ha l’obbligo (non la discrezione) di attuare, la > questione politica evidente è quella della enorme sproporzione di potere > tra gli organismi pubblici nazionali che hanno il compito di attuare le > regole decise in sede politica e le grandi imprese digitali alle quali > quelle regole sono destinate. > > Il richiamo che fa Antonio Casilli ad un altro momento della recente > storia italiana mi sembra efficace e pertinente. > > G. > > > > > > Il giorno sab 1 apr 2023 alle 12:05 Guido Vetere <[email protected]> > ha scritto: > >> Mentre continuo a veleggiare su ChatGPT con una banalissima VPN, mi >> inoltro in qualche tentativo di ragionamento. >> >> Immagino che il Garante abbia valutato che le garanzie di protezione dei >> dati personali fornite da OpenAI siano insufficienti, e non ho ragione di >> credere che tali valutazioni siano erronee. >> >> Ma a questo punto interviene una decisione: diffidare OpenAI e minacciare >> una multa. A fronte di questa, la società statunitense decide a sua volta >> di sospendere il servizio in Italia. >> >> Entrambe le opzioni mi sembrano fuori misura: da una parte sarebbe >> bastata, di primo acchito, una richiesta di chiarimenti e un invito alla >> cautela alla nostra cittadinanza; dall'altra si sarebbe potuto attendere il >> decorso dei termini della diffida italiana. >> >> Siamo pertanto di fronte a una drammatizzazione. >> >> L'authority italiana, che non è il Governo ma forse coglie lo 'spirito >> dei tempi', agisce in modo patriarcale: lo Stato regola i comportamenti dei >> cittadini riducendo i gradi di libertà e l'agibilità dello spazio pubblico. >> >> OpenAI coglie l'occasione per ridurre all'assurdo la posizione di chi >> critica gli sviluppi e gli impieghi della loro loro tecnologia. >> >> Vittime di questa drammatizzazione sono coloro che in tutto il mondo >> stanno cercando di costruire uno sviluppo sostenibile, sicuro e sociale >> delle tecnologie. >> >> G. >> >> >> On Sat, 1 Apr 2023 at 11:19, Enrico Nardelli <[email protected]> >> wrote: >> >>> A me pare che la decisione del Garante sia formalmente ineccepibile: >>> sarò lieto di leggere pareri difformi da parte degli avvocati esperti di >>> privacy presenti in lista. >>> >>> Per il momento è un atto urgente del Presidente che il collegio deve >>> confermare entro 30 giorni (come immagino accadrà). >>> Però penso che quelli che ritengo siano i due punti principali >>> contestati: >>> - la mancanza di un'informativa rispondente al GDPR sui dati raccolti >>> - la mancanza di un sistema di verifica dell'età >>> >>> possano essere rimediati in un tempo sicuramente inferiore a 6 mesi (la >>> moratoria richiesta dalla famosa lettera). >>> >>> Personalmente proverei a fare qualcos'altro, basandomi sulla >>> legislazione in materia di informazione al pubblico. Non sono un avvocato, >>> quindi non posso dire se sia fattibile, ma in sostanza qui abbiamo un >>> sistema che - a differenza dei motori di ricerca che rispondono agli utenti >>> con qualcosa di realmente esistente sul web - fabbrica informazioni false. >>> >>> Questo difetto può essere corretto con molta più difficoltà e quindi >>> quest'approccio fornirebbe, se fattibile, una base legale per bloccare >>> l'uso di ChatGPT per un tempo molto più lungo. >>> >>> Sia chiaro: non ritengo abbia senso bloccare ricerca e sviluppo in >>> questo settore, ma qui c'è qualcosa di equivalente (anzi, probabilmente >>> superiore) ad una tecnologia per costruire a costo irrisorio reattori >>> nucleari portatili. Possono essere un enorme vantaggio per tutti, ma >>> possono essere anche assai pericolosi. Una qualche forma di >>> regolamentazione va trovata. >>> >>> Aggiungo che un reclamo presentato negli USA alla Federal Trade >>> Commission da parte del Center for AI and Digital Policy ( >>> https://s899a9742c3d83292.jimcontent.com/download/version/1680174583/module/8450182663/name/PRESS-CAIDP-OpenAI-FTC-Complaint.pdf) >>> cita, tra l'altro, la "consumer deception" come motivo per bloccare >>> l'utilizzo di questi strumenti. >>> >>> Concludo osservando che il paragone con regimi autoritari mi sembra un >>> po' fuor di luogo: questo collegio non è espressione dell'attuale governo >>> (che comunque è il risultato di elezioni democraticamente svolte) ma del >>> governo Draghi. >>> >>> Ciao, Enrico >>> >>> -- >>> >>> -- EN >>> https://www.hoepli.it/libro/la-rivoluzione-informatica/9788896069516.html >>> ====================================================== >>> Prof. Enrico Nardelli >>> Presidente di "Informatics Europe" >>> Direttore del Laboratorio Nazionale "Informatica e Scuola" del CINI >>> Dipartimento di Matematica - Università di Roma "Tor Vergata" >>> Via della Ricerca Scientifica snc - 00133 Roma >>> home page: https://www.mat.uniroma2.it/~nardelli >>> blog: https://link-and-think.blogspot.it/ >>> tel: +39 06 7259.4204 fax: +39 06 7259.4699 >>> mobile: +39 335 590.2331 e-mail: [email protected] >>> online meeting: https://blue.meet.garr.it/b/enr-y7f-t0q-ont >>> ====================================================== >>> -- >>> _______________________________________________ >>> nexa mailing list >>> [email protected] >>> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa >>> >> _______________________________________________ >> nexa mailing list >> [email protected] >> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa >> > _______________________________________________ > nexa mailing list > [email protected] > https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa > -- *Avv. Carlo Blengino* *Via Duchessa Jolanda n. 19,* *10138 Torino (TO) - Italy* *tel. +39 011 4474035* Penalistiassociati.it
_______________________________________________ nexa mailing list [email protected] https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
