Il social network ha annunciato l’interruzione dell’addestramento dei propri sistemi di intelligenza artificiale in seguito al reclamo dell’organizzazione austriaca NOYB, che aveva coinvolto ben 11 Autorità europee per la Protezione dei Dati Personali, compresa quella italiana, circa la possibile violazione del Regolamento (UE) 2016/679 (“GDPR”).
Il reclamo di NOYB alle Autorità Garanti europee
Nel reclamo presentato il 6 giugno scorso, l’organizzazione no-profit fondata da Max Schrems aveva rappresentato che l’addestramento dei sistemi di IA da parte di Meta avrebbe condotto alla violazione dei principi previsti dal GDPR. La società americana aveva, infatti, annunciato che avrebbe trattato tutti i dati pubblici e non raccolti dal 2007, (riferibili anche agli utenti c.d. “dormienti” che interagiscono poco con il social network), per la finalità di training dei propri algoritmi, sulla base del legittimo interesse, consentendo agli utenti di opporsi entro e non oltre il 26 giugno 2024.
Secondo NOYB, Meta non avrebbe giustificato adeguatamente i motivi ed i criteri posti a fondamento del bilanciamento tra i propri interessi e i diritti e le libertà degli interessati, attuando, pertanto, un trattamento di dati personali in assenza di adeguata base giuridica. Anche le finalità non sarebbero state specificate puntualmente: gli utenti sono stati attinti da una semplice comunicazione contenente il riferimento al trattamento dei dati personali per non meglio precisate finalità di addestramento di “tecnologia di intelligenza artificiale”.
Ulteriore profilo di criticità è l’esercizio del diritto di “opt-out” per gli utenti: NOYB ha evidenziato non solo l’imposizione di un limite temporale (il 26 giugno) alla facoltà di opporsi al trattamento, ma anche la messa a disposizione di un modulo, peraltro carente sotto i profili di trasparenza e chiarezza. L’utente, inoltre, avrebbe dovuto indicare le ragioni dell’opposizione, senza godere della possibilità di cliccare su un semplice link (al pari di quello che accade, ad esempio, per i comuni servizi di “newsletter”).
A tanto si aggiunga che l’utente non avrebbe avuto certezza alcuna circa l’interruzione del trattamento dei dati personali per tali finalità, con il rischio che le informazioni (post, foto, commenti) sarebbero stati comunque utilizzati per addestrare l’algoritmo di Meta, con il pericoloso effetto di ottenere anche dei risultati discriminatori, laddove il set di dati per allenare l’intelligenza artificiale non sia adeguatamente impostato.
NOYB ha, quindi, richiesto alle Autorità di controllo di intervenire a tutela dei diritti e delle libertà degli interessati per garantire che i dati personali siano trattati sulla base di consenso espresso, consapevole, libero ed informato dei soggetti coinvolti.
La decisione di Meta
Il 14 giugno, Meta ha, quindi, deciso di fermare il training del proprio algoritmo di intelligenza artificiale, “Meta AI”, sui dati degli utenti europei. La decisione è intervenuta forzosamente dopo l’intervento dell’Autorità Garante in Irlanda (“Data Protection Commission”), stato in cui ha sede la filiale europea del colosso americano. Anche l’“Information Commissioner Office” inglese aveva richiesto a Meta ulteriori informazioni circa le caratteristiche degli strumenti impiegati per l’addestramento degli algoritmi; Meta è fortemente convinta che il proprio approccio sia conforme alla normativa sulla protezione dei dati personali ed ha annunciato che lo stop imposto dall’Autorità servirà anche a chiarire meglio la propria posizione e i requisiti tecnici posti a fondamento dei mezzi impiegati per l’addestramento.
Il caso analogo di LinkedIn
Nonostante il progetto di Meta abbia subìto una battuta d’arresto, sembra che anche altre piattaforme social abbiano cavalcato l’onda del trattamento dei dati personali degli iscritti per le finalità già menzionate. L’organizzazione indipendente per la tutela dei consumatori “Altroconsumo” ha, infatti, reso noto, il 21 giugno scorso, di aver presentato un reclamo all’Autorità per la Protezione dei Dati Personali italiana, e all’Autorità irlandese, circa il contenuto della privacy policy di LinkedIn, che sembra sia stato aggiornato di recente. Infatti, a partire dal 6 marzo 2024, ogni informazione personale, foto, post e perfino i messaggi privati tra gli utenti sono utilizzabili per addestrare i sistemi di IA generativa della piattaforma, senza che sia prevista una limitazione a seconda delle categorie di dati, comuni o particolari, oggetto di trattamento. Secondo quanto riportato da Altroconsumo, anche LinkedIn avrebbe fondato il trattamento dei dati personali sul legittimo interesse per la finalità di addestramento. Pur riconoscendo agli utenti il diritto di opposizione, sembra che l’unica alternativa rappresentata dal social network sia la cancellazione del profilo. Non resta, quindi, che attendere l’intervento delle Autorità di controllo coinvolte.
Avv. Rossella Bucca e Dott. Lapo Lucani