Discussione Ufficiale Articolo ChatGPT bloccato in Italia per preoccupazioni relative alla privacy degli utenti

[fennek]

Facciamo una precisazione però: il garante non ha bloccato niente.

Il garante ha chiesto spiegazioni circa la mancanza di privacy policies adeguate, la mancanza di controllo se chi accede ha più di 13 anni, e quali siano le motivazioni legali per raccogliere i dati degli utenti in accordo con il GDPR.
E ha dato ad OpenAI 20 giorni per rettificare la situazione.

OpenAI come tutta risposta ha bloccato il mercato italiano, e poi è andata a piangere dai media che il garante è cattivo.

Per una volta il garante italiano ha fatto il suo lavoro, facendo domande pertinenti. Sono abbastanza sicuro che altre entità europee seguiranno, affinché OpenAI chiarisca le sue policy. La cosa sorprendente è che il garante italiano sia arrivato per primo.

OpenAI incommentabile, ma cosa ci si aspetta da un'azienda che di "open" ha solo il nome per ragioni di marketing?

 

[Max Fridman]

Ho modificato il primo messaggio con un chiarimento che avevo preparato nei giorni scorsi, visti tutti i dubbi e gli equivoci emersi in questa discussione.

Sicuramente ci saranno altri sviluppi e non mancherò ad aggiornare il primo post con le novità che arriveranno durante l'istruttoria e magari anche da altri paesi UE.

 

[Max Fridman]

Una multa di 1 milione di euro a Facebook è pari ad una multa di 1 € a me

Le multe sono calcolate in base al tipo di violazione, Facebook è stata sanzionata da vari garanti per Cambridge Analytica anche negli US.

• Facebook to pay $5bn fine as regulator settles Cambridge Analytica complaint

comunque non è cambiato nulla dalla multa.

Non direi anzi, la maggior parte delle sanzioni del 2022 è stata pagata da Meta:

Distinctively, the majority of the penalties in 2022 were paid by tech behemoth - Meta. The Data Protection Commission (DPC), an authority for GDPR enforcement in Ireland, imposed a €405m fine for Meta Platforms Ireland Limited (Instagram) on 5 September 2022.

Two issues were found with the processing of personal data pertaining to child users of Instagram. The children’s email addresses and phone numbers were publicly exposed when using the Instagram business account function, and Instagram profiles of kids were public-by-default.

Another hefty sum of €265m was penalised to the same entity on 25 November 2022, when the DPC declared that Meta had infringed two articles of the EU’s data protection laws after details of Facebook users from around the world were scraped from public profiles in 2018 and 2019.

Moreover, the DPC issued a “reprimand and an order” forcing Meta to “bring its processing into compliance by executing a range of specified remedial activities within a specific deadline”. Meta complied and made the adjustments within the required timeframe.

To date, Meta has paid around €1 billion for GDPR violations.

Fonte:

Facebook’s Meta hit with hefty GDPR fines in 2022

EU businesses were fined over €830m for GDPR violations in 2022, with Meta paying over 80%

www.strategic-risk-europe.com

E potrei continuare:

Facebook fined $18.6M over string of 2018 GDPR breaches

Facebook’s parent company, Meta, has been fined €17 million (~$18.6 million) by the Irish Data Protection Commission (DPC) over a string of historical data breaches. The security lapses in question, which appear to have affected up to 30 million Facebook users, date back several years — and had...

techcrunch.com

Meta hit with ~$275M GDPR penalty for Facebook data-scraping breach

Facebook's parent, Meta, has been hit with another hefty penalty for breaching European data protection law -- this one totalling €265 million.

techcrunch.com

E le perdite monetarie in seguito all'applicazione del GDPR sono note anche agli investitori di Meta in borsa:

Facebook's $232 billion fall sets record for largest one-day value drop in stock market history

Facebook's parent company Meta set a new record for the largest one-day valuation drop in stock market history.

www.cnbc.com

Invece a chatgpt si parla di una multa sul fatturato annuo del 2/4% e in più dovrebbe cancellare tutti i dati Italiani.

Normalissimo nel caso del GDPR (è previsto questo tipo di sanzioni). E anche nel caso delle altre aziende viene chiesto di non trattare più i dati o chiedere il consenso per continuare a trattarli, niente di nuovo.

The fines must be effective, proportionate and dissuasive for each individual case. For the decision of whether and what level of penalty can be assessed, the authorities have a statutory catalogue of criteria which it must consider for their decision. Among other things, intentional infringement, a failure to take measures to mitigate the damage which occurred, or lack of collaboration with authorities can increase the penalties. For especially severe violations, listed in Art. 83(5) GDPR, the fine framework can be up to 20 million euros, or in the case of an undertaking, up to 4 % of their total global turnover of the preceding fiscal year, whichever is higher. But even the catalogue of less severe violations in Art. 83(4) GDPR sets forth fines of up to 10 million euros, or, in the case of an undertaking, up to 2% of its entire global turnover of the preceding fiscal year, whichever is higher.

 

[Max Fridman]

Cerchiamo di fare chiarezza sulla questione ChatGPT visto che ne sono state dette di tutti i colori e si fa parecchia confusione su chi ha fatto cosa e perché.

Queste sono alcune delle domande a cui andremo a rispondere:

• Cosa ha fatto il Garante della Privacy?
• Perché è sempre l'Italia?
• OpenAI è una povera vittima della burocrazia?
• E' un problema tutto italiano o c'entra anche l'Europa?

1    Cosa è successo con il Garante della Privacy e ChatGPT?

---

In data 31/03/2023 un comunicato stampa del Garante della Privacy comunica il seguente provvedimento d'urgenza, pertanto non è particolarmente raffinato nel linguaggio, ed è probabile che saranno chiarite ulteriormente le motivazioni nei giorni successivi.

Stop a ChatGPT finché non rispetterà la disciplina privacy. Il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma. L’Autorità ha contestualmente aperto un’istruttoria.

ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.

Nel provvedimento, il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.

Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.

Da ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, l’Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

Roma, 31 marzo 2023

Da questo comunicato si chiede all'azienda OpenAI operante in Europa di "cessare provvisoriamente il trattamento dei dati degli utenti italiani" questo il testo del provvedimento:

RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;

RILEVATA l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;

RILEVATO che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;

RILEVATO, inoltre, l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;

CONSIDERATO che l’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi;

RITENUTO pertanto che nella situazione sopra delineata, il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento;

RAVVISATA, pertanto, la necessità di disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento - in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento;

Quindi il garante rileva delle problematiche e tre violazioni diverse:

• (a) aver raccolto i dati personali di miliardi di persone per addestrare i propri algoritmi senza informarli di questa circostanza e, verosimilmente senza disporre di un’idonea base giuridica.
• (b) raccogliere i dati personali degli utenti nel corso delle conversazioni senza informarli della sorte di questi dati.
• (c) generare contenuti, in risposta alle domande, che talvolta attribuiscono alle persone fatti e circostanze inesatte e non veritiere proponendo così una rappresentazione distorta della loro identità personale.

Se per la C ci possono essere delle opinioni contrastanti e metodi di facile risoluzione (tipo un disclaimer che dice "mi sto inventando quanto ho scritto").
E per la B è altrettanto vero che è necessario dire "tutte le cose che voi scrivete vengono usate per X, Y, Z [es: fini diagnostici, miglioramento del servizio] e vengono cancellate e anonimizzate".

La "A" è più complessa. In quanto ChatGPT, proprio perché è "Pre-Trained" ha inghiottito dati personali (almeno questo secondo il Garante della Privacy) per poi usarli per apprendere e darci gli output predittivi che abbiamo tanto apprezzato in questi mesi.

Quindi è onere di OpenAI dimostrare che non vi è stato uso improprio dei dati personali degli utenti sia durante l'uso del servizio sia precedentemente nella sua creazione.

2    Ma cosa dice il GDPR a riguardo?

---

Tutto ciò si basa sulle leggi che ben conosciamo sulla tutela dei dati personali dei cittadini dell'UE, il famosissimo GDPR. ChatGPT è stato "allenato" grazie al Web Scraping che è specificatamente regolato precisamente dall'Articolo 6.

Quando si possono usare dati ottenuti tramite Web Scraping secondo il GDPR?

1. Consenso: Ovvero quando ho un consenso esplicito dell'utente. Capite bene che questa modalità è pressoché impossibile quando si parla di web scraping. E' come se qualcuno dovesse farvi accettare un modulo di consenso prima di salvarsi da qualche parte quello che legge nel web su di voi. Da un punto di vista pratico è irrealizzabile.
2. Contratto: Ovvero quando c'è un contratto tra me e l'utente interessato e quei dati mi servono per erogare il servizio. Ai fini della nostra trattazione, sostanzialmente questa modalità è molto simile alla prima.
3. Obbligo Legale: Ovvero se per qualsiasi motivo la legge mi obbliga a farlo. Queste sono sempre cose molto specifiche e precise, che raramente possono essere utilizzate come argomentazioni per legittimare le proprie attività.
4. Interesse Vitale: Quando l'attività di raccolta dati è fatta per preservare un interesse vitale di quella persona. Per intenderci in modo semplice, se arrivate in fin di vita al pronto soccorso, anche senza il vostro consenso, l'ospedale può andarsi a recuperare ogni dato che trova per cercare di salvarvi la vita.
5. Obbligo Pubblico: Tendenzialmente questo si applica ad un pubblico ufficiale, che è autorizzato a raccogliere i dati che gli servono per svolgere i suoi compiti. Un po' come la guardia di finanza che non ha bisogno del vostro consenso.
6. Interesse Legittimo: Questo punto è estremamente vago ed è quello che può essere argomentato dalle aziende sul perché hanno fatto quello che hanno fatto.

Attualmente quindi vi è palesemente un vuoto normativo, non solo sul funzionamento dei Large Language Models (se i loro output devono rispettare determinati criteri) ma anche come vengono creati questi LLM e se violano la privacy degli utenti nella loro genesi. Visto che attualmente operano FUORI dall'attuale quadro normativo.

I motori di ricerca, ad esempio, hanno delle deroghe specifiche per operare. Rispettando comunque il GDPR e per esempio il diritto all'oblio. Una raccolta di dati così massiccia è palese che non sia perfettamente in linea col GDPR, starà all'azienda dimostrare eventualmente l'interesse legittimo o che tecnicamente non utilizza dati personali per far funzionare GPT4.

3    E che diritto ha il Garante di bloccare ChatGPT in Italia?

---

Nessuno, infatti non ha assolutamente bloccato ChatGPT in Italia, è stato un provvedimento preso dalla stessa azienda. Il Garante ha detto "Se OpenAI riesce a continuare ad erogare il servizio trattando legalmente i dati degli utenti italiani può operare anche durante l'istruttoria".

Vedi: https://twitter.com/sama/status/1641897800236687360?s=20
​

L'azienda potrebbe aver deciso di procedere così per due motivi principali:

• O non può operare senza usare i dati degli utenti (e quindi ha ammesso di fatto una colpa) e dovranno fare delle modifiche al servizio.
• O seguendo il principio di autotutela per evitare polemiche o addirittura danni economici hanno preferito chiudere e dare tutti i chiarimenti durante l'istruttoria.

Microsoft possiede il 49% di OpenAI e questo non è da dimenticare. Queste aziende rischiano sempre di finire nell'occhio del ciclone e sotto la lente di ingrandimento delle istituzioni (cosa che non gradiscono particolarmente).

4    E intanto l'Europa che fa?

---

Il parlamento Europeo sta lavorando ad un AI Act per regolamentare proprio questo tipo di attività. Verosimilmente gli altri paesi valuteranno l'istruttoria italiana per capire se è legittima o meno l'osservazione mossa dal nostro garante. La cosa si sposterà sul piano europeo se dovessero emergere complicazioni. La situazione è molto simile a quanto successo con Google Analytics.

Early 2022 was awash with news about Austria finding Google Analytics Universal Analytics violates Chapter V (regarding International Data Transfers) of Europe’s General Data Protection Regulation (GDPR) due to the Schrems II decision. As the year continued to roll on, Austria was joined by decisions in France, Italy, and Denmark. Other Data Protection Agencies have not been silent on the matter. Guidance has been issued out of Norway and the Netherlands cautioning against use and recommending looking at alternative vendors.

Negli anni precedenti, ignorare certe piattaforme ad esempio i Social Network, ha portato a problematiche enormi per stabilire delle regole sul loro funzionamento. Ad esempio lo scandalo di Cambridge Analytica. Nessun paese quindi vuole arrivare impreparato, visto l'enorme interesse per questo tipo di tecnologie da parte di utenti e aziende.

Sicuramente è più facile regolamentare prima che attendere l'uso in massa di determinati strumenti e poi chiedere uno stop totale in quanto tutto ciò su cui si basano è potenzialmente illegale o dover garantire straordinarie libertà ad un settore che magari poteva essere direzionato subito verso la tutela dell'utente finale (vedi l'uso massiccio dei cookies e le problematiche relative alla loro gestione e rimozione).

5    Ma io voglio usare ChatGPT lo stesso

---

Attualmente usando una banalissima VPN (ProtonVPN, NordVPN o altre) è possibile connettersi ugualmente a ChatGPT e utilizzarlo comunque.

 

[Dembron]

Only fans va benissimo e tutta la pornografia che circola anche a 11 anni , mentre uno strumento di informazione non va bene , saranno fatti miei se informarmi da un telegiornale o qualche burattino che un terzo mi obbliga a sentire solo la sua opinione ... meglio che ti dimetti Pasquale Stazione RIDICOLO.

 

[hackynonpointer]

molti utenti ci mettono dentro anche informazioni personali/sensibili.

Selezione naturale - Wikipedia

it.wikipedia.org

 

[haxo]

Il Garante della Privacy italiano ha disposto un blocco di Chat GPT

AHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAHAHAAHAAHAHAH

molto divertente.

per quanto possa essere utile, l'utilizzo di una vpn potrebbe aggirare ma non risolverà il problema della mancata conformità ai regolamenti sulla privacy.

brevemente fa ridere, in quanto nel 2023 solo le persone anziane o poco informate non riuscirebbero a installare un vpn gratuito (opera browser) e riuscire ad accedere al chatgpt

 

[0xbro]

Ricordo che è un servizio totalmente gratuito, a discapito di tutti gli amici social dove si nascondono dietro la parola "free" ma che di gratis non hanno assolutamente nulla. E che soprattutto il 90% di quest'ultimi non rispetta la propria privacy policy, vendendo dati a destra e a sinistra (per iniziare).

Sì ma non si possono paragonare i social a un servizio come ChatGPT. Gli scopi dei dati collezionati sono completamente differenti. Sono d'accordo che anche i social dovrebbero limitare la raccolta e vendita di dati, ma la differenza sta nel fatto che le AI questi dati li usano per fare training e restituire informazioni all'utente finale (che tra l'altro possono essere pure informazioni false o informazioni riservate, ndr).

Il punto focale del provvedimento, secondo me, è questo:

Nel provvedimento, il Garante privacy rileva [...] l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma. Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.

Serve normare questa tecnologia e definire cosa possa e cosa non possa elaborare, e soprattutto come ha detto @fennek credo che debbano spiegare in maniera più chiara e cristallina come vengano utilizzati ed elaborati questi dati. Sono consapevole che spiegare un sistema di learning non sia facile nè lineare, ma si deve comunque argomentare un minimo la logica di elaborazione.

Per chi volesse leggere il testo originale, il link sono i seguenti:

• normativa: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870832
• comunicato stampa: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870847

e poi è andata a piangere dai media che il garante è cattivo

Che poi su Twitter hanno pure sbagliato e hanno incolpato il governo italiano anzichè il garante lol

 

[fennek]

La mia domanda è perchè instagram, facebook, TIK TOK, snapchat, twitter ecc.. possono fare ciò che vogliono con i dati di tutti, e invece chatgpt non può raccoglierli per scopi di training?

Non possono, anche loro devono rispettare le leggi, e infatti ci sono varie procedure aperte contro quasi tutti. Se il tema privacy in Europa interessa davvero, consiglio di seguire (e donare!) a noyb.eu. Sono avvocati che si occupano di far rispettare il GDPR (e simili), in varie sedi europee. Il fondatore è Max Schrems, famoso dalla sentenza Schrems II della corte di giustizia europea. Fanno un lavoro fantastico, troppo poco conosciuto, e con pochissime risorse. Il blog è molto interessante, ed è una causa a cui vale davvero la pena donare dei soldi mensilmente.

Se come valore intendi che "impara" avendo conversazioni, è ovvio, ma come fanno alexa, google assistant, cortana e siri. Se vogliamo avere un'intelligenza artificiale che abbia un intelligenza più vicino possibile alla nostra e che soprattutto è informata, deve poter imparare. Se no a che serve?

Sono d'accordissimo! Ma è importante che la collezione dei dati avvenga in maniera che corrisponda alla legge.

OpenAi ha fatto troppo parlare di s'è, e sta iniziando a dare fastidio.

Anche, ci saranno pure delle motivazioni reali, ma in parte la spinta a fare dei controlli è stata sicuramente guidata da manine che stanno più in alto

Uhm, ma dare fastidio a chi? In Italia non c'è nessuno che possa anche solo lontanamente competere con OpenAI, e comunque insinuare che il garante non agisca in maniera indipendente è un'accusa molto grave, che se non comprovata da fatti reali è al limite della diffamazione.

Il Garante ha fatto il suo lavoro, facendo notare che OpenAI non soddisfa tutti i regolamenti italiani ed europei. OpenAI avrebbe potuto risolvere i problemi, invece ha deciso di chiudere i battenti. Mi sembra un comportamento che evidenzia bene che la raccolta di massa dei dati era l'unico scopo di OpenAI, appena gli è stato fatto notare che non è regolare, hanno deciso di sparire.

 

[Max Fridman]

Il Garante e OpenAI avranno un incontro domani 5 Aprile.

Incontro tra il Garante della privacy italiano e OpenAi sul caso ChatGPT. È previsto per la serata di mercoledì 5 aprile, in videoconferenza, una riunione tra i rappresentanti di OpenAi e il Garante per la protezione dei dati personali, che nei giorni scorsi ha imposto alla piattaforma di limitare temporaneamente il trattamento dei dati degli utenti italiani finché non si sarà messa in regola con le normativa privacy italiana e europea

Interessanti anche le dichiarazioni di OpenAI e dei garanti della privacy di altri paesi UE e extra UE.

Da OpenAi fanno inoltre sapere: “Siamo attivamente impegnati a ridurre i dati personali nell'addestramento dei nostri sistemi di Ai come ChatGPT perché vogliamo che le nostre Ai imparino informazioni sul mondo, non rispetto a singoli individui. Crediamo che una regolamentazione sull'Ai sia necessaria, quindi intendiamo lavorare a stretto contatto con il garante ed educarli su come i nostri sistemi sono costruiti e utilizzati”. Il portavoce di OpenAi fa infine sapere che: “I nostri utenti in Italia ci hanno fatto sapere che reputano ChatGPT utile per attività quotidiane e ci aspettiamo di poter rendere il servizio disponibile di nuovo quanto prima”.

Molte le aziende che nelle ultime ore si chiedono come affrontare questo blocco, mentre anche i garanti della privacy di altri paesi, tra cui Germania, Francia e Irlanda sono al lavoro per adottare provvedimenti simili a quello italiano. Per ora il Consiglio dei garanti europei per la privacy e l'Autorità comunitaria per la protezione dei dati, interpellati da Wired, invece non si esprimono. Anche il Giappone e il Regno Unito studiano il dossier ChatGPT valutando gli eventuali provvedimenti da adottare verso l'algoritmo.

Fonte: https://www.wired.it/chatgpt-incontro-garante-privacy-openai/

 

[Max Fridman]

Ecco gli aggiornamenti sulla situazione direttamente dal Garante della Privacy dopo l'incontro con OpenAI (CEO e rappresentanti) comunicato stampa.

ChatGPT: Garante privacy, iniziato l’esame delle misure proposte da OpenAI

Il Garante per la protezione dei dati personali (Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza) si è riunito oggi, in seduta straordinaria, per un primo esame dei due documenti fatti pervenire da OpenAI dopo l’incontro svoltosi mercoledì in video conferenza.

Il Collegio tornerà a riunirsi martedì per proseguire l’esame delle misure proposte dalla società statunitense per rendere il trattamento dei dati degli utenti e degli interessati conforme alla normativa privacy.

OpenAI ha proposto al garante delle soluzioni per i problemi evidenziati, OpenAI ha entro il 30 Aprile per implementare quanto proposto e riporto.

OpenAI dovrà predisporre e rendere disponibile sul proprio sito un’informativa trasparente, in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.

Per gli utenti che si collegano dall’Italia, l’informativa dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione dovrà essere loro richiesto di dichiarare di essere maggiorenni.

Agli utenti già registrati, l’informativa dovrà essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovrà essere loro richiesto di superare un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni.

Passaggio molto importante questo:

Quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante privacy ha ordinato a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare, invece, in base al principio di accountability, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l’esercizio dei propri poteri di verifica e accertamento successivi a tale scelta.

OpenAI non usa i dati per "esecuzione contrattuale" ma per consenso o legittimo interesse, pertanto gli Utenti possono chiedere di essere rimossi dal dataset di addestramento degli algoritmi.

Pertanto infatti l'azienda metterà a disposizione di Utenti e NON Utenti dei meccanismi di rettifica e cancellazione dei dati personali:

Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile.

OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l’esercizio degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento.

Infine passaggio minore la tutela dei minori di 13 anni:

Per quanto riguarda la verifica dell’età dei minori, oltre all’immediata implementazione di un sistema di richiesta dell’età ai fini della registrazione al servizio, l’Autorità ha ordinato a OpenAI di sottoporle entro il 31 maggio un piano di azione che preveda, al più tardi entro il 30 settembre 2023, l’implementazione di un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.

E OpenAI si impegna col Garante per informare quante più persone possibili tramite ogni mezzo possibile che l'azienda potrebbe aver utilizzato i dati personali di terzi per addestrare i propri algoritmi:

Di concerto col Garante, entro il 15 maggio, OpenAI dovrà infine promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.

Non ci resta che attendere che OpenAI implementi entro fine mese tutte queste prescrizioni (proposte da loro stessi al Garante della Privacy) e in linea con il GDPR (salvo qualche piccolo caveat che per ora viene fatto rientrare nel Legittimo Interesse e si suppone sarà corretto a livello europeo in futuro).

Sono molto curioso di vedere che strumenti darà l'azienda e come cambieranno certe risposte ad alcune query effettuate su ChatGPT.

 

[Max Fridman]

Personalmente non ho mai scritto che OpenAI non debba rispettare le regole, ma che è stata attaccata come fosse l'unica che non le rispetti.

No? Semplicemente non hanno fatto tanto scalpore esempio Replika:

Italy Strikes Crushing Blow to AI-Powered Girlfriend

Italy's privacy watchdog has moved to ban Replika, the AI "companion" app that's recently made headlines for being too sexual.

futurism.com

nessun servizio online tutela la privacy, e una privacy policy non da alcuna garanzia che siete tutelati.

Per questo esiste l'authority appunto...non ci vedo niente di strano...

Si poteva risolvere la cosa molto più semplicemente, con una richiesta scritta, ed un eventuale riscontro. Cosa che non c'è assolutamente stato.

Funziona esattamente così, si apre un'istruttoria richiedendo chiarimenti però il garante ti chiede di non processare più indebitamente i dati degli utenti italiani. E' una richiesta legittima.

ma obbligare alla censura non è democrazia

Non è censura, OpenAI poteva tranquillamente mantenere online ChatGPT se rispettava a priori tutte le prescrizioni e il GDPR.

Che alla fine ciò che deve fare sono dei semplicissimi flag, in quanto OpenAi nelle "F.A.Q." già spiega e specifica che il servizio raccoglie dati a scopo di addestramento, e che deve essere utilizzata sopra i 13 anni.

No è molto più complesso di così, le F.A.Q non bastano per rispettare il GDPR (se leggi il comunicato stampa + la spiegazione nel primo post che ho inserito per questo motivo). Cambia il motivo per cui processano i dati (da esecuzione di contratto a legittimo interesse), danno strumenti per la rimozione degli stessi e deve esserci un modulo dedicato nella registrazione per bloccare gli utenti sotto i 13 anni. Funziona così.

Come detto dalla società stessa, attualmente ChatGpt è già regolamentata per l'europa infatti ha una privacy policy e i termini d'uso

Avere una Privacy Policy e rispettare gli standard dettati dal GDPR è ben diverso. Il GDPR prevede degli strumenti (esempio per fare il takeout dei dati personali degli utenti, la rettifica dei dati personali mostrati e così via).

Inoltre vorrei aggiungere che noi in primis dovremmo proteggere la libertà online

Quando usi dati di milioni se non miliardi di persone per lucrare non vedo che libertà vada protetta. Come ho già scritto, in passato, le nostre istituzioni hanno ignorato questi rischi trovandoci poi in problematiche enormi. Vedi per dire l'uso dei cookies. Che tutt'oggi dopo ANNI è una rogna e non è ancora stato deprecato. Poi alla fine le multinazionali pagano poco questi problemi (forse nel caso di Facebook/Meta di più) ma molto meno per Google o Amazon (che di fatto fanno la parte del leone nell'universo dell'advertising online) e ancor meno Microsoft. E i problemi ricadono sugli utenti finali fruitori dei servizi e sui publisher minori.

 

[DjCanigia]

Vergogna tutta italiana, come sempre. Facciamo ridere.

Ad ogni modo si con VPN passa la paura, io ho già messo l'estensione nel browser e vado a meraviglia

 

[LocalAreaNetwork]

Salve a tutti. Mi sono documentato a riguardo. Il Garante della Privacy italiano ha bloccato temporaneamente il servizio offerto da OpenAI per i seguenti motivi:

1. assenza di una base giuridica per la massiccia raccolta e conservazione dei dati
2. mancanza di un filtro per gli utenti minorenni ( ChatGPT richiede un età minima di 13 anni )

 

[--- Ra ---]

Selezione naturale - Wikipedia

it.wikipedia.org

Ahaha @0xGhost ma sei un criminale

 

[fennek]

Inoltre il garante stesso ha richiesto il blocco immediato.

No, il garante ha chiesto di smettere di raccogliere i dati degli utenti finché non vengono chiarite le modalità di trattamento. Non ha mai chiesto di sospendere il servizio.

Ricordo che è un servizio totalmente gratuito, a discapito di tutti gli amici social dove si nascondono dietro la parola "free" ma che di gratis non hanno assolutamente nulla. E che soprattutto il 90% di quest'ultimi non rispetta la propria privacy policy, vendendo dati a destra e a sinistra (per iniziare).

Guarda, sfondi una porta aperta, fosse per me sulle homepage dei social dovrebbe esserci una etichetta tipo quelle delle sigarette "usare questo servizio nuove gravemente alla tua privacy, i tuoi dati saranno acquistabili dal miglior offerente". Non capisco perché tu pensi che OpenAI sia differente dagli altri social americani... Un servizio "gratuito" che riceve un sacco di valore dai dati degli utenti.

 

[nfvblog]

Ora bisogna sperare che le asprità sorte tra l'UE e OpenAI non si inaspriscano ulteriormente, perché comunque tantissimi professionisti italiani hanno già stipulato abbonamenti che nessuno gli renderà di sto passo, comunque un data breach capita a tutte le grosse aziende quello che comunque risulta problematico per questi servizi è proprio il fatto che essendo nuovi devono ancora essere regolamentati correttamente in Europa, per evitare futuri problemi di questo tipo, anche sul cosa possono archiviate e possedere e cosa no, altrimenti si sta in una sorta di far west in cui ogni tanto qualcuno viene punito per una legge interpretabile

Non è ciò che penso, gli unici dati che raccoglie OpenAi sono, nome cognome, email e numero di telefono (sempre che siano stati inseriti quelli veritieri). Dati a mio avviso per niente interessanti per il marketing. (Ovviamente raccoglie anche le ricerche ma sappiamo bene che tipo di ricerche fa l'utente medio con chatgpt, quindi sono dati pressochè inutili per la vendita).

Al contrario i Social Network, raccolgono dati molto importanti per la ricerca di marketing, come i posti che visiti, quante volte apri il social, quali sono i tuoi interessi, cosa mangi, cosa bevi, le cose che ti piacciono di più e quelle che non sopporti. Hanno una vera e propria AI dietro che ti studia e impara a conoscerti fin dal primo login. Questi sono i dati che possono essere venduti a caro prezzo, non un nome/cognome o email/numero di telefono.

Se come valore intendi che "impara" avendo conversazioni, è ovvio, ma come fanno alexa, google assistant, cortana e siri. Se vogliamo avere un'intelligenza artificiale che abbia un intelligenza più vicino possibile alla nostra e che soprattutto è informata, deve poter imparare. Se no a che serve?

Comunque si il garante ha richiesto di sospendere la raccolta degli utenti italiani, e di conseguenza il servizio è stato sospeso visto che non c'è modo di utilizzare la piattaforma senza raccogliere dati almeno di diagnostica.

@0xbro mhm no non sono d'accordo non sto paragonando i dati raccolti dalle due società, è chiaro che utilizzano i dati per fare "training" ma come ho scritto sopra, non puoi puntare ad un AI senza dargli la capacità di imparare, è un controsenso. Inoltre è vero che possono dare informazioni sensibili e sbagliate, ma allora stessa cosa può fare google con una ricerca sul web, oppure tutti gli altri assistenti. Il bot spesso però afferma di poter sbagliare, e che le sue informazioni possono essere errate.

Per concludere, non ci vedo assolutamente nulla di pericoloso in tutti questi problemi di "privacy" sono tutte cose che il 90% dei siti online non rispettano.
Non capisco veramente perchè accanirsi cosi tanto ad una IA, una cosa utile finalmente in mezzo a tutta la discarica che c'è online.

E comunque io prendo di "mira" tanto i social network non perchè li odio, ma per il semplice motivo che da quando esistono hanno creato svariati problemi legati a privacy, stalking ecc... ma nessuno glielo ha mai fatto notare. Garante in primis.
La mia domanda è perchè instagram, facebook, TIK TOK, snapchat, twitter ecc.. possono fare ciò che vogliono con i dati di tutti, e invece chatgpt non può raccoglierli per scopi di training?

Si, li in mezzo c'erano anche credenziali inerenti ai metodi di pagamento e anche ad altre analitiche di varia natura, onestamente io mi attengo a quello che è uscito dalla disciplinare, non mi incasino andando visionare i vari leak che si trovano nei vari portali dedicati a sta roba

 

[nfvblog]

No non parlavo del data breach ma in generale, anche perchè se il problema fosse il data breach farebbe ancora più ridere, visto tutti quelli accaduti negli ultimi mesi (vedi lastpass, activision, whats app ecc..)

Si, lasciamo stare tutto quello che non sappiamo, se il Garante si è lamentato vuol dire che tra quello che veniva dichiarato e quello che veniva preso c'era una discreta discrepanza

 

[nfvblog]

Sono pronto a scommetterci che è sempre una questione di Business. OpenAi ha fatto troppo parlare di s'è, e sta iniziando a dare fastidio.

Anche, ci saranno pure delle motivazioni reali, ma in parte la spinta a fare dei controlli è stata sicuramente guidata da manine che stanno più in alto

 

[Max Fridman]

ma perchè non ha MAI fatto niente del genere verso tutti gli altri servizi online? Non può fare la stessa cosa con facebook? Google?

Lo ha fatto:

• Cambridge Analytica: il Garante privacy multa Facebook per 1 milione di euro
• Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
• Google Street View: le auto dovranno essere riconoscibili

E se non lo ha fatto il garante italiano ci ha pensato quello irlandese (europeo):

• Facebook and Instagram decisions: “Important impact on use of personal data for behavioural advertising”
• Dutch DPA: TikTok fined for violating children’s privacy

E queste sono solo alcune sanzioni o richieste, a livello europeo ne sono state avanzate tante sia di singoli paesi sia a livello comunitario.

Qui la lista completa l'ultima a Discord per 800.000 euro dall'ente francese: https://edpb.europa.eu/news/news_en

E altre in arrivo:

EU confirms multiple ongoing investigations into TikTok data practices

EU regulators are looking into issues such as the possible transfers of data to China and ads targeted at children.

www.engadget.com

 

[nfvblog]

Una multa di 1 milione di euro a Facebook è pari ad una multa di 1 € a me e comunque non è cambiato nulla dalla multa.
Invece a chatgpt si parla di una multa sul fatturato annuo del 2/4% e in più dovrebbe cancellare tutti i dati Italiani.

si, siamo a quei livelli

 

[MRPants]

Selezione naturale - Wikipedia

it.wikipedia.org

hahahaha 4 real


Italia solito fanalino di coda

al di là di implicazioni etiche o legali , al di là del fatto che in italia passa la peggio merd* da sempre a livello informatico , al di là di tutto ;
l'utilizzo dell'AI è un passo evolutivo enorme , a cui tutti i paesi evoluti stanno facendo fronte , noi stessi a lavoro lo stavamo utilizzando per ammodernare vari script e ora siamo fermi ( nella tua abitazione privata puoi usare una VPN e aggirare il problema ma in una azienda grossa è un altro discorso ) .

la verità penso sia un altra , ma senza prove me la tengo per me ;

non voglio essere negativo ma penso che questo paese sia più che finito , grazie comunque Max per aver tirato fuori l'argomento , tantissimi purtroppo stanno evitando di parlarne ...

Messaggio unito automaticamente: 6 Aprile 2023

propongo questo articolo che io ho trovato molto interessante :

https://www.matricedigitale.it/inch...-del-caso-open-ai-e-le-scuse-che-non-reggono/

 

[DjCanigia]

hahahaha 4 real


Italia solito fanalino di coda

al di là di implicazioni etiche o legali , al di là del fatto che in italia passa la peggio merd* da sempre a livello informatico , al di là di tutto ;
l'utilizzo dell'AI è un passo evolutivo enorme , a cui tutti i paesi evoluti stanno facendo fronte , noi stessi a lavoro lo stavamo utilizzando per ammodernare vari script e ora siamo fermi ( nella tua abitazione privata puoi usare una VPN e aggirare il problema ma in una azienda grossa è un altro discorso ) .

la verità penso sia un altra , ma senza prove me la tengo per me ;

non voglio essere negativo ma penso che questo paese sia più che finito , grazie comunque Max per aver tirato fuori l'argomento , tantissimi purtroppo stanno evitando di parlarne ...

Messaggio unito automaticamente: 6 Aprile 2023

propongo questo articolo che io ho trovato molto interessante :

https://www.matricedigitale.it/inch...-del-caso-open-ai-e-le-scuse-che-non-reggono/

Condivido appieno.
Soprattutto il fatto che servizi come Bing non hanno avuto nessun tipo di ripercussioni..

La verità è ben diversa

 

[MRPants]

Vorrei ricordare che il GPDP è un ente indipendente istituito per tutelarci.

Vorrei ricordare che si parla di discipline estremamente complesse e che, il Garante non vuole opporsi per principio alle IA.

Personalmente penso che la loro sia una decisione comprensibile e da condividere. Questa si chiama prevenzione! Forse conviene muoversi per tempo no?

Per cultura personale vi condivido questa documentazione reperibile nel sito del GPDP.

Rispetto la tua opinione ma voglio anchio ricordare che il garante della privacy ha latitato su cosa ben più importanti , a stò mondo i santi stanno solo in chiesa , come diceva mio nonno

Faccio davvero fatica a credere a quel motivo , in ogni caso uno stop di 6 mesi sullo sviluppo del progetto per discutere sulle implicazioni etiche cè stato ed è in corso , quindi che openAi siano pazzi criminali insomma anche no , cè di peggio ; in ogni caso vediamo gli sviluppi

 

[emina]

Il Garante della Privacy italiano ha disposto un blocco di Chat GPT, che potrà rimanere inattiva fino a quando non rispetterà tutti i criteri previsti dalla normativa sulla privacy. L'autorità ha quindi aperto un'istruttoria verso OpenAI, a causa del trattamento dei dati personali di questa intelligenza artificiale.
vorrei sapere cosa ne pensate solo a me non funziona?
usando un vpn posso risolvere?