La Commissione irlandese per la protezione dei dati (Dpc) ha emesso una sanzione di 251 milioni di euro nei confronti di Meta, la società madre di Facebook, per aver trasgredito le normative europee sulla privacy dei dati (Gdpr). La multa, annunciata martedì 17 dicembre, è il risultato di un’indagine su una violazione di sicurezza risalente a luglio 2017, che ha compromesso oltre tre milioni di account nel territorio dell’Unione Europea. “Gli individui sono stati esposti a rischi significativi per i loro diritti fondamentali a causa della mancata integrazione dei requisiti di protezione dei dati”, ha affermato Graham Doyle, vice commissario del Dpc irlandese. La falla è stata causata da un errore di progettazione nella piattaforma Facebook, che ha consentito a soggetti non autorizzati di accedere a profili utente non altrimenti visibili. Clicca qui per l'articolo completo.

Sta circolando un’accusa pesante che riguarda il popolarissimo software Word di Microsoft: userebbe i testi scritti dagli utenti per addestrare l’intelligenza artificiale dell’azienda. Se l’accusa fosse confermata, le implicazioni in termini di privacy, confidenzialità e diritto d’autore sarebbero estremamente serie. Questa è la storia di quest’accusa, dei dati che fin qui la avvalorano, e di come eventualmente rimediare. Benvenuti alla puntata del 25 novembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Le intelligenze artificiali hanno bisogno di dati sui quali addestrarsi. Tanti, tanti dati: più ne hanno, più diventano capaci di fornire risposte utili. Un’intelligenza artificiale che elabora testi, per esempio, deve acquisire non miliardi, ma migliaia di miliardi di parole per funzionare decentemente. Procurarsi così tanto testo non è facile, e quindi le aziende che sviluppano intelligenze artificiali pescano dove possono: non solo libri digitalizzati ma anche pagine Web, articoli di Wikipedia, post sui social network. E ancora non basta. Secondo le indagini del New York Times, OpenAI, l’azienda che sviluppa ChatGPT, aveva già esaurito nel 2021 ogni fonte di testo in inglese pubblicamente disponibile su Internet. Per sfamare l’appetito incontenibile della sua intelligenza artificiale, OpenAI ha creato uno strumento di riconoscimento vocale, chiamato Whisper, che trascriveva il parlato dei video di YouTube e quindi produceva nuovi testi sui quali continuare ad addestrare ChatGPT. Whisper ha trascritto oltre un milione di ore di video di YouTube, e dall’addestramento basato su quei testi è nato ChatGPT 4. Leggi la storia o ascolta l'audio su Attivisimo.me

Nel suo rapporto Draghi dice che non possiamo avere una forte tutela dei diritti fondamentali e allo stesso tempo aspettarci di promuovere l’innovazione. La critica è rivolta in particolare al GDPR, che protegge i nostri dati personali. Ma è una critica senza fondamento. Tra le cause della scarsa competitività delle imprese europee nei settori avanzati dell’informatica, oggi chiamata “intelligenza artificiale”, il rapporto Draghi individua la regolamentazione dell’Unione Europea sull’uso dei dati1. Considerata troppo complessa e onerosa rispetto ai sistemi in vigore nei principali paesi leader, come USA e Cina, tale regolamentazione penalizzerebbe i ricercatori e gli innovatori europei impegnati nella competizione globale. [...] Il senso è chiaro: non possiamo avere una forte tutela dei diritti fondamentali e allo stesso tempo aspettarci di promuovere l’innovazione. Il trade-off è inevitabile, e prepariamoci ad affrontarlo. Ma quali sarebbero gli ostacoli che questa “strong ex ante regulatory safeguard” pone all’innovazione e alla competitività delle imprese europee? Il rapporto Draghi ne individua tre: i) il GDPR impone oneri alle imprese europee impegnate nei settori di punta dell’intelligenza artificiale che le penalizzano rispetto ai concorrenti USA e cinesi; ii) l’applicazione frammentaria e incoerente del GDPR crea incertezza sull’uso legittimo dei dati e iii) questa incertezza impedisce, in modo particolare, l’uso efficiente dei dati sanitari per lo sviluppo di strumenti di intelligenza artificiale nel settore medico e farmaceutico. Verifichiamo se gli argomenti a sostegno di queste tesi possono reggere a un’analisi un po’ approfondita. Leggi l'articolo di Maurizio Borghi

L'Alta Corte dell'Unione Europea ha emesso una sentenza che limita l'uso dei dati personali degli utenti da parte di Meta e altre piattaforme social per scopi pubblicitari. La decisione, in linea con un parere precedente di un consulente della corte, impone restrizioni sulla durata della conservazione delle informazioni personali per il targeting degli annunci. La sentenza fa riferimento al Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, istituito nel 2018. In particolare, si basa sul Recital 65 del GDPR, che stabilisce il "diritto all'oblio" e il diritto alla rettifica e cancellazione dei dati personali. La mancata conformità al GDPR potrebbe comportare sanzioni fino al 4% del fatturato annuo globale, cifra che per colossi come Meta potrebbe ammontare a miliardi di euro. Link all'articolo qui

La Data Protection Commission (DPC), l’autorità irlandese che si occupa di privacy e che agisce in materia per conto dell’Unione Europea, ha multato Meta per 91 milioni di euro per non aver tutelato in maniera adeguata le password dei suoi utenti. Meta è la società statunitense che controlla Facebook, Instagram e WhatsApp e la sanzione è stata stabilita in seguito a indagini cominciate nell’aprile del 2019, quando Meta aveva avvisato l’ente irlandese di aver inavvertitamente conservato le password nei suoi sistemi interni senza che fossero criptate: è una violazione del Regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), la legge europea in vigore dal maggio del 2018 e pensata per rafforzare la protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea. Link all'articolo originale

Vinted, la nota piattaforma online di abbigliamento di seconda mano con oltre 100 milioni di utenti in tutto il mondo avrebbe violato il Gdpr, e per questo è stata condannata a pagare una multa di € 2.385.276. Le autorità avevano denunciato delle “difficoltà incontrate da parte degli interessati nell’esercizio del loro diritto alla cancellazione dei dati", a cui Vinted avrebbe omesso di dare seguito senza fornire specifiche motivazioni, e senza chiarire perché in certi ambiti il trattamento dei dati degli utenti sarebbe proseguito anche dopo la loro richiesta di cancellazione. In Italia Vinted era stata già sanzionata nel 2022 dall’Antitrust con una multa di 1,5 milioni di euro per aver dato informazioni “ingannevoli e scorrette” agli utenti. Articolo completo qui

Sintetizzando, sono ormai parecchi anni che le piattaforme digitali sono moderate, con buona pace delle utopie libertarie della rete: la gran parte di quello che vediamo oggi su internet é gestita, direttamente dalla piattaforme di riferimento oppure da aziende terze, perché si tratta di ambienti di tipo commerciale, istituzionale, in definitiva spazi non liberi. Link all'articolo completo qui. Approfondimento Dal Digital services act all'AI act "La moderazione mediata dalle macchine è la regola, con i deludenti risultati che conosciamo: opere d'arte censurate perché considerate nudi imbarazzanti, post eliminati e ricorsi che si perdono nei meandri delle big tech." "Per effetto del Dsa Bruxelles ha bloccato il lancio di TikTok Lite in Europa, giudicano pericoloso il suo sistema di ricompense per stare sul social perché genererebbe dipendenza. Anche per Temu e Shein sono scattate le prime richieste di informazioni su come gestiscono la sorveglianza di prodotti illegali, che se insoddisfacenti potrebbe costare un'indagine a carico." Your page content goes here.

La localizzazione del dato sta diventando sempre di più un "false friend". il 24 giugno Microsoft ha ammesso agli organi di polizia scozzesi che non può garantire che i dati sensibili delle forze dell'ordine rimangano nel Regno Unito. Può sembrare che processare i dati nei confini territoriali dello Stato sia una garanzia assoluta di sovranità. Purtroppo non è così, intanto perchè banalmente non sempre accade. Ed il caso inglese è emblematico. Ma comunque c’è sempre un dato fattuale che non possiamo più far finta di non vedere. L’operatore cloud extraeuropeo spesso si processa i dati in casa: la sua. Nella migliore delle ipotesi, tiene fermi i dati degli utenti inattivi, ma gli altri li porta fuori e sono proprio quelli in elaborazione. [...] Di quale sovranità stiamo parlando quando reclamiamo la localizzazione dei dati nei confini UE? Lo capiamo facilmente seguendo il filo conduttore che ha portato al rinnovo dell’accordo di data flow UE/US. Leggi l'articolo

L'articolo dei ricercatori del Politecnico di Zurigo, disponibile presso Usenix.org, spiega il metodo usato per documentare con i dati quello che molti utenti sospettano da tempo: i ricercatori hanno adoperato il machine learning, una particolare branca dell'intelligenza artificiale, per automatizzare il processo di interazione con queste richieste di cookie dei siti. Questo ha permesso di estendere la ricerca a ben 97.000 siti fra i più popolari, scelti fra quelli che si rivolgono principalmente a utenti dell'Unione Europea, includendo siti scritti in ben undici lingue dell'Unione. [...] I risultati, però, sono sconsolanti: oltre il 90% dei siti visitati con il software scritto dai ricercatori contiene almeno una violazione della privacy. Ci sono violazioni particolarmente vistose, come la mancanza totale di un avviso per i cookie nei siti che usano i cookie per la profilazione dei visitatori, che secondo i ricercatori si verifica in quasi un sito su tre, ossia il 32%. Leggi l'articolo su ZEUS News

Sulla scia della pandemia, le scuole dell'Unione Europea hanno iniziato a implementare sempre più servizi digitali per l'apprendimento online. Se da un lato questi sforzi di modernizzazione sono uno sviluppo apprezzabile, dall'altro un piccolo numero di grandi aziende tecnologiche ha immediatamente cercato di dominare lo spazio, spesso con l'intenzione di abituare i bambini ai loro sistemi e creare una nuova generazione di futuri clienti "fedeli". Una di queste è Microsoft, i cui servizi 365 Education violano i diritti di protezione dei dati dei bambini. Quando gli studenti vogliono esercitare i loro diritti GDPR, Microsoft afferma che le scuole sono il "responsabile del trattamento" dei loro dati. Tuttavia, le scuole non hanno alcun controllo sui sistemi. Spostamento di responsabilità tra Big Tech e scuole locali. I fornitori di software come Microsoft hanno un enorme potere di mercato, che consente loro di dettare i termini e le condizioni dei contratti con chiunque voglia utilizzare i loro prodotti. Allo stesso tempo, questi fornitori di software cercano di eludere le responsabilità insistendo sul fatto che quasi tutto ricade sulle autorità locali o sulle scuole. In realtà, nessuno dei due ha il potere di influenzare il modo in cui Microsoft tratta i dati degli utenti. Al contrario, si trovano di fronte a una situazione di "prendere o lasciare" in cui tutto il potere decisionale e i profitti spettano a Microsoft, mentre le scuole devono sopportare la maggior parte dei rischi. Le scuole non hanno alcuna possibilità realistica di negoziare o modificare i termini. Leggi l'articolo completo