Meta ha annunciato un aggiornamento alla sua politica sulla privacy che desta serie preoccupazioni, in particolare per la tutela dei dati degli utenti in Europa; ovvero dati personali di circa quattro miliardi di utenti che verranno utilizzati per una tecnologia sperimentale potenzialmente illimitata.
Meta sta infatti cambiando il modo in cui gestisce i dati degli utenti per l’intelligenza artificiale e questo sta scatenando una battaglia legale.
Per i conseguenti trattamenti, l’azienda ha deciso di utilizzare la base giuridica dell’interesse legittimo, rinunciando quindi a richiedere il consenso esplicito degli utenti.
Questa azione è parte del lancio delle nuove funzionalità di intelligenza artificiale nell’Unione Europea e nel Regno Unito ed entrerà in vigore il 26 giugno.
Inutile dire che una simile mossa ha immediatamente sollevato dubbi e critiche da parte di molti tra cui il gruppo per la privacy Noyb, che ha già ricevuto richieste di azione da utenti preoccupati e ansiosi che la nuova politica di Meta possa essere tempestivamente bloccata prima della sua entrata in vigore.
Indice degli argomenti
Meta userà i nostri dati per l’AI: dubbi su trasparenza e controllo
Anni di dati personali raccolti – post, immagini, attività online (le chat private sarebbero esenti) – potrebbero ben presto essere utilizzati per alimentare una tecnologia di intelligenza artificiale non ben definita.
Meta non ha infatti specificato come e per quali scopi verranno utilizzati i dati, il che significa che potrebbero essere utilizzati per qualsiasi cosa, dalla pubblicità personalizzata ai sistemi di sorveglianza.
Questi i punti chiave della questione in discussione:
- Ampia raccolta dati: Meta acquisirebbe dati personali da diverse fonti, anche da terze parti, per alimentare la sua tecnologia AI.
- Legittimità della base giuridica “legittimo interesse”: invece di richiedere l’approvazione esplicita degli utenti (opt-in), Meta ha stabilito di basarsi su un presunto “interesse legittimo”, che sembrerebbe contrastare con i diritti alla privacy previsti dal GDPR.
- Difficoltà di rimozione: una volta inseriti nel sistema, i dati sembrerebbero non più cancellabili dagli utenti (violando il diritto all’oblio).
- Diritto di opposizione e controllo dei dati: Meta consente agli utenti, sebbene con procedura alquanto macchinosa (un dark pattern vero e proprio), di opporsi all’utilizzo dei propri dati per lo sviluppo e il miglioramento della sua intelligenza artificiale. Questa scelta, peraltro obbligatoria almeno in UE, solleva varie questioni critiche che richiedono attenzione.
L’idea che i post, le foto e persino i messaggi inviati a un’IA possano essere utilizzati per addestrare gli algoritmi di intelligenza artificiale senza un valido consenso diretto pone infatti importanti interrogativi sulla trasparenza e sul controllo, oltre che sulla correttezza del trattamento.
Delude la carenza di una chiara definizione di “intelligenza artificiale su Meta“.
Mancano spiegazioni dettagliate su come i dati vengano utilizzati per l’IA e quali modelli AI ne traggano beneficio.
Non è chiaro quali criteri siano adottati per determinare se un utente o le sue informazioni “appaiano” nei contenuti condivisi da altri.
Inoltre, l’opposizione all’utilizzo dei dati per l’IA non sembrerebbe garantire la loro completa cancellazione dai sistemi di Meta. L’azienda, infatti, potrebbe comunque elaborare i dati per altri scopi, anche qualora l’utente non utilizzi i suoi prodotti o servizi.
Non è, inoltre, possibile selezionare quali tipi di dati vengano utilizzati o come vengano utilizzati per l’IA.
Sorgono preoccupazioni anche riguardo alla potenziale discriminazione algoritmica.
Meta non specifica quali misure di sicurezza siano adottate per proteggere i dati utilizzati per l’IA da accessi non autorizzati o abusi.
In aggiunta, l’azienda non fornisce un meccanismo agevole e chiaro per gli utenti per contestare l’utilizzo dei propri dati per l’IA o per richiedere la loro correzione oltre che la cancellazione.
Per di più Meta non offre agli utenti alternative significative per quanto riguarda l’utilizzo dei loro dati per l’IA, mentre sarebbe stato opportuno esplorare alternative che consentissero loro di beneficiare dei progressi dell’IA senza comprometterne la privacy.
Infine, è importante notare che, al momento, l’opposizione all’utilizzo dei dati può comportare la rinuncia ad alcune funzionalità o servizi offerti da Meta altrimenti fruibili.
Noyb denuncia Meta per violazioni del GDPR
Noyb interviene e afferma che la nuova politica sulla privacy di Meta viola “almeno dieci” articoli del GDPR: L’organizzazione per i diritti digitali ha presentato denunce in 11 paesi europei per fermare questo cambiamento e tutelare la privacy degli utenti (reclami sono stati presentati in Austria, Belgio, Francia, Germania, Grecia, Italia, Irlanda, Paesi Bassi, Norvegia, Polonia e Spagna).
Avverte Max Schrems: “Meta sta sostanzialmente dicendo che può utilizzare “qualsiasi dato da qualsiasi fonte per qualsiasi scopo e renderlo disponibile a chiunque nel mondo’, purché ciò avvenga tramite ‘tecnologia AI”. Questo è chiaramente l’opposto del GDPR “tecnologia AI” è un termine estremamente ampio. Proprio come “usare i tuoi dati nei database”, Meta non dice per cosa utilizzerà i dati, quindi potrebbe essere un semplice chatbot, pubblicità personalizzata estremamente aggressiva o addirittura un drone killer Meta afferma inoltre che i dati degli utenti possono essere resi disponibili a qualsiasi “terza parte”, ovvero a chiunque nel mondo”.
Oltre a ciò Schrems non lesina critiche alla Commissione irlandese per la protezione dei dati (DPC), leading authority di Meta in Europa, accusandola di essere di fatto complice nel permettere la violazione delle normative GDPR. Sono infatti numerose le critiche rivolte al DPC irlandese ritenuto responsabile di favorire gli interessi delle grandi aziende tecnologiche statunitensi con sede nel paese rispetto a quelli dei cittadini dell’UE.
Schrems rileva a tal riguardo come nel 2021, il Parlamento europeo avesse già espresso “grande preoccupazione” per la lentezza nella gestione dei casi da parte del DPC irlandese contro aziende come Facebook, Microsoft e Apple.
Di contro, l’autorità di regolamentazione norvegese che ha già ricevuto reclami sulla nuova pratica di Meta, tra cui il reclamo congiunto presentato dal Consiglio norvegese dei consumatori e dall’organizzazione per la privacy Noyb, non pare intenzionata a temporeggiate sulla gestione della controversia.
“Prendiamo il reclamo molto seriamente e gli daremo la massima priorità. Lavoreremo a stretto contatto con i nostri colleghi europei nella gestione del caso,” ha dichiarato Line Coll, a capo dell’autorità norvegese per la protezione dei dati.
Noyb contesta la scelta di Meta per diversi motivi:
- Eccesso di portata: L’utilizzo di tutti i dati personali come “interesse legittimo” è considerato eccessivo e non proporzionato. Nel complesso, l’affermazione secondo cui Meta utilizza solo informazioni “pubbliche” non si riflette nella politica sulla privacy o nelle informazioni inviate agli utenti bensì viene affermato solo in un post sul blog. Noyb contesta che la nuova politica copra anche i dati non pubblici degli utenti, inclusi quelli inattivi dal 2007, e possa raccogliere ulteriori informazioni da terze parti.
- Mancanza di distinzione tra dati personali di diversa natura: Meta per sua stessa ammissione non sarebbe in grado di distinguere tra dati normali e “particolari categorie di dati”, che richiedono un trattamento differente.
- Illegittimità della base giuridica prescelta: La scelta di Meta di utilizzare l’interesse legittimo come base giuridica è stata considerata illegittima da Noyb, in quanto viola il Regolamento generale sulla protezione dei dati (GDPR), progettato per proteggere la privacy degli utenti. Inizialmente, Meta sembrava aver giustificato questa scelta facendo riferimento alle conclusioni di un rapporto dell’EDPB derivante dall’attività della task force dedicata a ChatGPT, istituita dopo il lancio del chatbot alla fine del 2022, che ha presentato alcuni risultati preliminari delle indagini in corso. Tuttavia ciò che Meta non pare stia considerando è che l’EDPB nel rapporto citato ha preso meramente atto dell’attuale utilizzo degli “interessi legittimi” da parte di alcuni fornitori di IA, tra cui OpenAI, ma non si è pronunciato sulla legalità di tale pratica.
Anzi, il board dei garanti europei “giunge addirittura a menzionare i “dati pubblici dei social media” come una situazione in cui è improbabile che tale interesse legittimo prevalga”.
Prospettive normative sull’AI: le posizioni delle Autorità privacy
Uno dei punti principali emersi dal rapporto è che gli operatori di grandi modelli linguistici come ChatGPT non possono giustificare la mancata conformità ai requisiti del Regolamento generale sulla protezione dei dati invocando l’impossibilità tecnica. Questo è particolarmente rilevante considerando il principio della “scatola nera” associato ai sistemi di intelligenza artificiale, dove la mancanza di trasparenza nei processi decisionali può complicare l’attribuzione di responsabilità per eventuali errori.
Quanto alla base giuridica il Comitato suggerisce che OpenAI e altri fornitori di IA potrebbero adottare garanzie tecniche per rendere più accettabile l’uso della base giuridica degli interessi legittimi, come l’esclusione e il filtraggio di determinate categorie di dati e la cancellazione dei dati una volta utilizzati.
Sempre il rapporto afferma che le aziende di IA non possono trasferire la responsabilità della conformità al GDPR sugli utenti del suo prodotto. Anche se OpenAI includesse nei suoi termini e condizioni che gli utenti sono responsabili dei loro “input nella chat”, l’azienda rimarrebbe comunque responsabile della gestione dei dati personali inseriti dagli utenti.
Stesso tenore peraltro è mantenuto negli orientamenti emessi dall’EDPS “Generative AI and the EUDPR. First EDPS Orientations for ensuring data protection compliance when using Generative AI systems” il 3 giugno scorso.
Non si discosta da una tale prospettiva neppure il Garante per la privacy italiano che ha pubblicato “le indicazioni” per proteggere i dati personali pubblicati online da enti pubblici e privati dal fenomeno del web scraping, ovvero la raccolta indiscriminata di dati personali su internet da parte di terzi per addestrare i modelli di intelligenza artificiale generativa. Il documento è stato elaborato tenendo conto dei contributi ricevuti nell’ambito di un’indagine conoscitiva avviata lo scorso dicembre.
In attesa di pronunciarsi sulla liceità del web scraping di dati personali basato sul legittimo interesse, l’Autorità ha dunque ritenuto necessario fornire indicazioni preliminari a coloro che pubblicano dati personali online come titolari del trattamento. Indicazioni che mirano appunto a suggerire valutazioni e misure idonee a impedire o, almeno, ostacolare il web scraping.
Il documento dell’Autorità propone alcuni accorgimenti da adottare, tra cui:
- La creazione di aree riservate accessibili solo previa registrazione, per sottrarre i dati dalla pubblica disponibilità.
- L’inserimento di clausole anti-scraping nei termini di servizio dei siti.
- Il monitoraggio del traffico verso le pagine web per individuare flussi anomali di dati in entrata e in uscita.
- Interventi specifici sui bot, utilizzando soluzioni tecnologiche come l’uso del file robot.txt.
Misure che non sono obbligatorie, ma che i titolari del trattamento devono valutare ed eventualmente implementare per prevenire o mitigare in modo selettivo gli effetti del web scraping. Le valutazioni devono ovviamente tener conto dello stato dell’arte della tecnologia e dei costi di attuazione, soprattutto per le PMI.
Meta e Google difendono l’uso dei dati personali per l’AI
Meta, sotto fuoco per le critiche ricevute, ha ribadito che il suo approccio all’uso dei dati per l’intelligenza artificiale è coerente con altre società tecnologiche come Google e OpenAI.
Proprio Google ha recentemente reso noto un nuovo documento chiamato “Generative AI and Privacy” in cui sostiene che agli sviluppatori di intelligenza artificiale non dovrebbe essere vietato l’uso dei dati personali per addestrare i propri modelli, nonostante alcuni rischi.
Google sottolinea che le informazioni pubblicamente disponibili sono essenziali per l’addestramento dei modelli di intelligenza artificiale, inclusi alcuni dati personali incidentali.
Anche se esistono tecniche per ridurre la raccolta di dati personali specifici, questi vengono ritenuti cruciali per comprendere il linguaggio e la loro eliminazione potrebbe addirittura compromettere la qualità del modello.
Se, dunque, da una parte Google riconosce le difficoltà nel rimuovere i dati personali dai set di dati iniziali e minimizzare l’uso dei dati, come richiesto dal Regolamento generale sulla protezione dei dati (GDPR), dall’altra afferma comunque che sarebbe possibile trattare dati personali rispettando i requisiti di minimizzazione selezionando dati adeguati, pertinenti e limitati.
Due sono le fasi distinte menzionate da Google per dimostrare la compliance dei propri modelli di intelligenza artificiale:
- allenamento e sviluppo;
- applicazioni rivolte all’utente.
Per l’azienda la fase di formazione e sviluppo, è quella in cui i dati personali come nomi o informazioni biografiche costituiscono una piccola ma significativa parte dei dati di addestramento. I modelli utilizzano questi dati per apprendere come il linguaggio incorpori concetti astratti sulle relazioni tra le persone e il mondo; nulla di più, dichiara l’azienda.
Questi modelli non sono “database” e non sono progettati per identificare gli individui, tiene a precisare Google. “L’inclusione di dati personali mira solo a contribuire a ridurre i pregiudizi nei modelli – ad esempio, comprendere i nomi di diverse culture nel mondo – e migliorare l’accuratezza e le prestazioni”. Il rischio maggiore risiede invece a livello applicativo dove il maggiore potenziale di danni alla privacy, come la fuga di dati personali, richiede l’opportunità di implementare tutele più efficaci: funzionalità come i filtri di output e l’eliminazione automatica dei dati giocano un ruolo cruciale.
Come Meta, inoltre, anche Google ritiene che poiché i modelli di IA più grandi utilizzano dati da tutta l’Internet pubblica, sarebbe impraticabile ottenere un valido consenso individuale.
Pare che Meta abbia anche presentato i suoi piani alla Commissione irlandeseper la protezione dei dati, la sua autorità principale in materia di dati nell’UE, e ne abbia ritardato l’attuazione proprio per rispondere alle preoccupazioni sollevate da tale organo di controllo.
“Meta ha ritardato il lancio a seguito di una serie di richieste del DPC che sono state affrontate” ha dichiarato un portavoce. “Meta offre ora agli utenti una ‘notifica gioiello’, ulteriori misure di trasparenza, un meccanismo di opposizione dedicato e quattro settimane dalla notifica agli utenti alla data della formazione iniziale, quindi ora c’è un tempo tra la notifica e la formazione.”
Inoltre, Meta avrebbe specificato all’autorità di regolamentazione che solo i dati personali – in questo caso “post” sulla sua piattaforma, esclusi i commenti – di utenti di età superiore a 18 anni, con sede nell’UE e condivisi pubblicamente su Instagram e Facebook al momento della formazione, verranno utilizzati per addestrare i modelli di intelligenza artificiale.
Non solo, stando a quanto si legge, il DPC potrebbe aver già condiviso queste informazioni con il Comitato Europeo per la Protezione dei Dati (EDPB).
Sul punto però non emergono notizie e comunicati ufficiali.
Ad oggi nulla è emerso neppure circa la portata del documento noto come “legitimate interest assessment” LIA attraverso il quale Meta deve attentamente valutare e dimostrare se l’interesse legittimo (concetto flessibile) possa costituire la base di elaborazione legale più appropriata alle circostanze, in base alla finalità del trattamento.
Interesse legittimo sotto la lente della CGUE: sfide e implicazioni
L’interpretazione della base giuridica dell’interesse legittimo è peraltro una questione aperta, con un caso che è stato deferito alla Corte di Giustizia dell’Unione Europea.
Il caso, sebbene riguardi il marketing sportivo, solleva principi fondamentali sul bilanciamento tra il diritto alla protezione dei dati personali e gli interessi commerciali delle aziende.
Fin dove può spingersi la tensione tra il diritto alla protezione dei dati personali e gli interessi commerciali delle aziende? Come deve essere declinato il corretto bilanciamento tra interessi concorrenti?
Nel caso di specie un’associazione sportiva ha condiviso i dati dei suoi membri con due sponsor per campagne promozionali, senza il loro consenso. L’Autorità per la protezione dei dati olandese ha multato l’associazione per 525.000 euro, sostenendo la violazione del GDPR.
L’associazione ha fatto ricorso, avanzando pretese di legittimo interesse volte a condividere i dati per scopi di marketing.
La Corte distrettuale danese ha pertanto rinviato la questione alla Corte di giustizia dell’Unione europea (CGUE) per una pronuncia pregiudiziale.
Due le possibili interpretazioni del “legittimo interesse” ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR sollevate dal Tribunale di Amsterdam:
- un’interpretazione restrittiva: l’interesse legittimo deve essere basato su un diritto o un principio giuridico;
- un’interpretazione più ampia: un interesse legittimo può essere qualsiasi interesse che non sia contrario alla legge, anche se non è basato su un diritto o un principio giuridico specifico.
La decisione della CGUE è attesa con comprensibile e vivo interesse.
Ad ogni modo la Corte Suprema dell’UE ha già criticato l’uso del “legittimo interesse” per la pubblicità personalizzata e Schrems afferma che, malgrado ciò, Meta sta ancora ignorando tali sentenze, a maggior ragione con la nuova politica sulla AI.
Noyb e Schrems hanno una lunga storia di successi nel persuadere Meta a modificare la propria base giuridica, con implicazioni significative. I reclami presentati dal gruppo nel 2018 hanno non a caso già portato Meta a rivedere la scelta della base giuridica per il trattamento dei dati per la pubblicità mirata e, infine, a offrire le controverse versioni a pagamento di Facebook e Instagram.
Conclusioni
La protezione dei dati è cruciale nel panorama digitale odierno, specialmente con l’avvento dell’intelligenza artificiale di tipo generativo. I chatbot AI, come ChatGPT, richiedono una raccolta massiva di dati per funzionare efficacemente, il che rende necessario il fermo rispetto delle normative sulla protezione dei dati come il GDPR.
Tuttavia, valutare la conformità di questi modelli al GDPR è complesso a causa delle informazioni operative incomplete e fumose.
La politica sulla privacy delle aziende impegnate nello sviluppo di sistemi di intelligenza artificiale generativa, Meta, OpenAI, Google e altri, evolvono costantemente, rendendo complicato stabilire se un’applicazione rispetti i principi espressi nel GDPR.
In generale per Meta come per altri non è chiaro come sia gestita la condivisione dei dati con terze parti per scopi molteplici e se i vari chatbot possano rispettare il “diritto all’oblio” previsto dall’articolo 17 del GDPR.
Implementare meccanismi per raccogliere solo le informazioni minime necessarie e garantire l’anonimizzazione dei dati prima dell’archiviazione o elaborazione risulta ancora un processo indefinito sebbene dovuto.
La trasparenza nel trattamento dei dati personali è essenziale non solo per proteggere la privacy degli utenti, anche per costruire fiducia nelle tecnologie di intelligenza artificiale.