C’è anche il Garante privacy italiano nell’elenco delle Autorità di 11 Paesi europei alle quali l’associazione noyb capitanata dal noto Max Schrems ha presentato reclamo in merito alla faccenda del cambiamento nell’informativa privacy con cui Meta ha annunciato che, a partire dal 26 giugno 2024, utilizzerà i dati personali degli utenti di Facebook e Instagram per alimentare la sua intelligenza artificiale, basandosi sulla base giuridica del “legittimo interesse”.
Noyb, in particolare, ha chiesto alle Autorità nazionali per la protezione dei dati personali di avviare una procedura d’urgenza sì da bloccare immediatamente il cambiamento previsto da Meta.
Da un’analisi dei link presenti nella notifica di Meta, infatti, si comprende che il colosso di Menlo Park intende utilizzare anni e anni di pregressi post personali, immagini e contenuti degli utenti (di Facebook e Instagram), nonché dati di tracciamento online, per l’addestramento del proprio sistema di AI. Senza precisare davvero limiti temporali, finalità esatte o tipologia di dati personali coinvolti.
Affrontiamo di seguito una panoramica del reclamo presentato il 6 giugno da noyb al Garante italiano (di ben 45 pagine) e che dovrebbe essere conforme a quelli presentati anche negli altri Paesi europei (Austria, Belgio, Francia, Germania, Grecia, Irlanda, Paesi Bassi, Norvegia, Polonia e Spagna).
Indice degli argomenti
Il panorama giuridico delle violazioni secondo noyb
Il reclamo di noyb (presentato a nome di una persona fisica omissata, in forza dei poteri di rappresentanza ex art. 80 GDPR) punta il dito verso diverse presunte violazioni del GDPR.
Per esempio: Meta ha dichiarato di aver ritardato il lancio del suo sistema AI, a seguito dell’accordo concluso con la Commissione per la protezione dei dati personali irlandese (DPC) – ove Meta ha la sede europea – e che ha richiesto a Meta di implementare misure di trasparenza, inviare un’apposita notifica del nuovo trattamento agli utenti e fornire un meccanismo dedicato di opposizione (un form online).
Tuttavia, il reclamo sottolinea che, secondo l’art. 57 GDPR, ogni autorità di controllo deve promuovere la consapevolezza dei titolari del trattamento riguardo agli obblighi previsti dal Regolamento e che non è pertanto previsto dalla la possibilità di concludere accordi preventivi con un’autorità di controllo, la quale potrebbe essere chiamata a decidere su eventuali reclami.
Riguardo ai tipi di dati utilizzati da Meta per l’addestramento del sistema di AI, secondo quanto comunicato alla DPC, quanto a quelli dei propri servizi, sembrerebbe voler trattare soltanto i dati contenuti nei post (e non anche nei commenti) condivisi dagli utenti aventi sede nell’UE. Non sarebbero in ogni caso inclusi i dati provenienti dai minori di 18 anni (forse anche in forza del Digital Services Act, viene da aggiungere).
Ma va sottolineato che si aggiungerebbero anche dati raccolti (tramite web scraping?) esternamente ai servizi di Meta, ovvero “informazioni disponibili pubblicamente online”, senza chiarire che si tratti esattamente.
Riguardo all’informativa resa disponibile da Meta, invece, allo stato attuale non è possibile identificare chiaramente e in modo immediato i cambiamenti che ha effettuato rispetto al testo precedente, in quanto non ha fornito un documento di confronto o di sintesi in cui ciò era visibile. Vi è solo una generica nuova sottosezione, denominata “In che modo Meta utilizza le informazioni per le funzioni e i modelli di IA generativa”.
Inoltre, il termine “intelligenza artificiale” apparirebbe solo in quattro sezioni di un’informativa composta da ben 127 pagine, rendendo difficile per l’utente medio, e anche per quelli più consapevoli, leggere e comprendere l’intero documento. La sezione dedicata al trattamento dei dati con l’AI risulta non solo marginale ma anche non meglio definita, limitandosi ad utilizzare il termine più ampio di “tecnologia di intelligenza artificiale”.
Basti pensare alle innumerevoli tecniche che possono rientrare nel concetto di intelligenza artificiale – tra cui modelli linguistici di grandi dimensioni (LLM), AI generativa, ecc. Quanti ai fini, il dichiarato “sviluppo e miglioramento della tecnologia di intelligenza artificiale” non sarebbe sufficientemente specifico ed esplicito.
Come si evince dal reclamo proposto, altresì l’ambito del trattamento dati di Meta risulterebbe estremamente ampio. L’unica eccezione che viene specificata sarebbe quella relativa ai “messaggi privati” tra due utenti tra cui – si potrebbe dedurre – non rientrano le chat tra utenti o una pagina Facebook.
Meta, inoltre, renderebbe disponibili tali dati a “terze parti” le quali potrebbero anche “scoprire informazioni”. Mancherebbe una miglior precisazione di chi possano essere tali terzi, nemmeno per categorie di attività, né per quali fini potranno trattare i dati se non con una casistica molto ampia “annegata” nell’informativa generale.
Legittimo interesse “prevalente” di Meta?
Veniamo al maggior punctum dolens: invece di chiedere il consenso degli utenti (meccanismo di opt-in) o altra base giuridica, Meta sostiene di avere un interesse legittimo che prevale sul diritto fondamentale alla protezione dei dati degli utenti europei. Tuttavia, il reclamo presentato evidenzierebbe la mancanza di una valida base giuridica, poiché secondo noyb Meta non disporrebbe del dichiarato interesse legittimo (e nemmeno di un’altra base giuridica per trattare una quantità così vasta di dati per scopi indefiniti).
Ricordiamo che il GDPR la annovera tra le possibili basi giuridiche (art. 6.1 lett. f)) il legittimo interesse, però soggetto a una auto-valutazione in accountability che deve reggere a un triplo test (detto “LIA – Legitimate Interest Assessment”) sulla necessità, sull’impatto verso l’interessato e sulle misure di sua mitigazione. L’esito dovrebbe essere di prevalenza degli interessi del titolare su quelli della persona fisica.
I riferimenti a molteplici esempi e alle modalità di valutazione si trovano nel parere 6/2014 del WP29. La differenza dalla base consensuale è chiara: il consenso richiede la volontà dell’interessato per procedere, il legittimo interesse la richiedere per bloccare il trattamento, che altrimenti fa il suo corso in autonomia.
Una differenza di non poco conto.
Anche ammettendo un interesse legittimo “prevalente” come considerato da Meta in tal senso, secondo noyb resterebbero sottovalutati il principio di minimizzazione del trattamento e di limitazione delle finalità, e che impongono di trattare i dati solo nella misura necessaria per il raggiungimento della finalità specifica.
Di conseguenza, dati pubblicamente disponibili come nome, cognome, indirizzi di residenza o date di nascita risultano chiaramente non necessari per l’addestramento del sistema di AI. Alla luce di ciò, Meta è accusata da noyb di aver violato anche l’art. 25 GDPR sulla protezione dei dati personali sin dalla progettazione (privacy by design & by default) – in particolare, per non aver adottato alcuna misura tecnica organizzativa per limitare il trattamento dei dati personali, per adottare un approccio di minimizzazione dei dati personali. Ovvero senza utilizzare tecniche di anonimizzazione o pseudonimizzazione dei dati da fornire all’AI, limitando il trattamento ai soli dati necessari.
Nonostante il consenso degli utenti possa essere la base secondo noyb più pertinente, Meta invocherebbe ancora una volta il “legittimo interesse”, già respinto dalla Corte di Giustizia UR (causa C-252/21) in relazione ai fini di marketing e condivisione con terzi di dati personali.
Secondo noyb, di fatto, nella ampia genericità delle finalità addotte da Meta ben potrebbe figurare il marketing e, in ogni caso, si andrebbe al di là di quanto necessario per fornire i propri servizi (anche se la base fosse contrattuale) ai propri utenti.
Resta da dire che è vero che anche l’EDPB ha aperto in un recente documento interlocutorio sul caso ChatGPT ha sì ammesso la possibilità d’uso del legittimo interesse per l’uso dei dati di training in AI (raccolti però tramite web scraping) ma con mille dubbi su come affrontare il citato test di bilanciamento, specie per i dati particolari (che non possono dirsi “resi manifestamente pubblici” dagli utenti solo perché divulgati online). E ribadendo l’importanza di affrontare le legittime aspettative degli interessati sul trattamento.
Problemi sui dati: “massa critica”?
Altro punto decisivo: durante la diversa causa C-446/21 dinanzi alla CGUE, Meta ha affermato di non essere in grado di distinguere nei propri dataset (e relativi trattamenti) i dati comuni dai dati particolari ex art. 9 GDPR per il singolo interessato, così ritenendo noyb improbabile che tale differenziazione possa ora effettuarsi per l’addestramento di un sistema di AI. Un problema tecnico-organizzativo irrisolvibile.
Ergo: se Meta invoca il legittimo interesse in via generale per tutti i trattamenti, non è sostenibile per i dati particolari (per es. di salute, di orientamento politico o religioso ecc.). Difatti l’art. 9 GDPR prevede un divieto generale di trattare categorie particolari di dati personali, salvo nei casi specifici elencati, tra cui non rientra il legittimo interesse.
Di conseguenza, invocando il legittimo interesse, Meta violerebbe anche l’art. 9 GDPR per questa categoria di dati.
Opposizione: in che modo?
Anziché chiedere il consenso dell’utente, introducendo un meccanismo di opt-in, Meta avrebbe introdotto il citato modulo di opposizione (meccanismo di opt-out) per evitare l’utilizzo dei dati degli utenti, trasferendo la responsabilità sulla tutela dei propri dati agli utenti stessi, in forza del dichiarato legittimo interesse. E adottando un meccanismo farraginoso e dissuasivo, sostanzialmente un dark pattern.
Si veda anche questa immagine tratta dal reclamo ove si descrive una sorta di “funnel” attuato per scoraggiare gli utenti.
Rimandiamo ad altra sede informazioni sulla modalità di opposizione al trattamento in questione, ricordando che – nonostante vi sia un modulo dedicato – ai sensi del GDPR dovrebbe essere sempre possibile esercitare tale diritto e, in varie modalità, ai contatti aziendali, non solo con il modulo specifico.
Ciò avrà effetto solo dal momento dell’opposizione in poi, non reversibilmente, per cui i dati già “ingeriti” dal processo di AI non potranno esserne espunti (si afferma). Il che vanificherebbe per es. il diritto all’oblio e alla cancellazione, previsti dal GDPR – va però precisato che ciò è problematico per qualsiasi modello di AI machine learning, essendo basato su una dataset di training che solo con un completo re-training potrebbe essere “depurato” da determinati elementi (e sebbene si stiano facendo ricerche per intervenire a posteriori, tecnicamente, nel settore AI).
Inoltre, un altro problema tecnico di Meta, secondo noyb, sorgerebbe dall’incapacità di Meta di distinguere tra i dati di chi si sia opposto o meno, sulla base della stessa informativa di Meta (“Anche se non utilizzi i nostri Prodotti e servizi o non disponi di un account, potremmo comunque elaborare le informazioni su di te per sviluppare e migliorare l’intelligenza artificiale su Meta”).
Le richieste di noyb alle autorità
Infine, dato che il cambiamento entrerà in vigore il 26 giugno 2024, e che Meta sostiene che non vi è alcuna opzione di opt-out successiva a tale data per la rimozione dei dati, noyb ha richiesto:
- una “procedura d’urgenza” ai sensi dell’art. 66 del GDPR; in particolare, ciò è necessario per il termine prestabilito da Meta per esercitare il diritto all’opposizione (26 giugno 2024) il che sembrerebbe tradursi in una impossibilità di rimuovere i dati inseriti all’interno dell’intelligenza artificiale;
- di approfondire maggiormente la questione ai sensi dell’art. 58 GDPR in quanto (secondo quanto affermato dalla stessa CGUE nelle cause C-311/18 Schrems II, C-26/22 e C-64/22 SCHUFA, C-768/21 Land Hessen), le autorità di controllo hanno il dovere di agire quando vengono a conoscenza di una violazione del GDPR;
- di vietare a Meta, senza il consenso dell’utente, l’uso dei dati personali per una “tecnologia di intelligenza artificiale”, non meglio definita.
Vedremo che seguito verrà dato all’azione di noyb nei vari Paesi – le cui autorità dovranno necessariamente coordinarsi, magari tramite l’EDPB – e in che tempistiche. Resta comunque un ulteriore pensiero di fondo: il caso di Meta è ora “virale” e noto a tutti, ma quanti altri player hanno più o meno già attuato trattamenti dei dati dei propri utenti nei processi di AI? E quanti lo hanno dichiarato nei propri documenti informativi o lo hanno debitamente notificato agli utenti?
