Meta, Linkedin e intelligenza artificiale: che privacy per gli utenti?
Di recente Meta ha informato gli utenti delle sue piattaforme (Instagram e Facebook) di aver modificato la policy sulla privacy prevedendo di utilizzare, a partire dal 26 giugno 2024, le informazioni condivise dagli utenti stessi (post, foto e video, esclusi i messaggi scambiati privatamente), insieme a quelle pubbliche reperite online o concesse in licenza da terzi, per addestrare i sistemi di intelligenza artificiale.
Meta non ha richiesto il consenso degli utenti (opt-in) perché ritiene di avere un legittimo interesse: ammaestrare l’AI generativa. Il diritto fondamentale alla protezione della riservatezza non prevarrebbe su tale interesse. Meta ha comunque riconosciuto agli utenti europei il diritto di opporsi (opt-out) prima del 26 giugno. Per farlo, occorreva compilare un modulo in cui sarebbe stato necessario motivare la richiesta, lasciando poi alla società l’ultima parola.
L’iniziativa ha destato preoccupazione, tanto che l’organizzazione no-profit Noyb ha denunciato la pratica a undici garanti della privacy europei, chiedendo di bloccarla con una procedura d’urgenza in base al regolamento privacy (gdpr). L’Autorità irlandese per la protezione dei dati, competente in quando Meta ha sede a Dublino, e il garante della privacy britannico hanno chiesto a Meta di sospendere l’attività in attesa di chiarire alcune criticità. Il 14 giugno Meta ha annunciato di aver, per ora, dato corso alla sospensione.
Le principali censure s’appuntano sulla presunta violazione dei principi sanciti dall’art. 5 gdpr, in particolare quelli di liceità, correttezza e trasparenza del trattamento dei dati e di limitazione della finalità del trattamento, nonché degli obblighi di informativa ex art. 13 gdpr. Il trattamento dei dati è lecito nel caso in cui sussista una delle sei basi giuridiche dell’art. 6 del regolamento, tra cui il consenso dell’interessato al trattamento dei propri dati per una o più specifiche finalità (lett. a) e il cosiddetto legittimo interesse (lett. f) invocato da Meta. In quest’ultimo caso, il trattamento è lecito se è «necessario per il perseguimento del legittimo interesse del titolare, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali». Ora, secondo l’accusa, l’addestramento dei sistemi di IA, in quanto avente a oggetto lo sfruttamento commerciale di dati personali degli utenti (dati in parte sensibili), non sarebbe qualificabile come interesse legittimo idoneo a prevalere sui diritti degli utenti. Inoltre, Meta non avrebbe specificamente indicato quali sarebbero le finalità, violando così il principio di limitazione delle finalità e l’obbligo d’informativa dell’interessato. Il fatto che Meta possa sindacare la richiesta d’opposizione dell’utente e fissi un limite temporale entro cui presentarla, implicherebbe poi l’impossibilità di esercitare i diritti di cancellazione e opposizione al trattamento ex artt. 17 e 21 gdpr.A oggi non è chiaro quali siano gli accorgimenti che adotterà Meta: ma, sul punto, è interessante notare che il garante della Privacy italiano a fine maggio ha emesso una nota informativa in materia di estrazione e raccolta di dati online per finalità d’addestramento di IA generativa, suggerendo possibili iniziative adottabili dai titolari del trattamento (tra cui siti internet e piattaforme), quali ad esempio l’inserimento di captcha per bloccare i bot di terze parti e l’inserimento di clausole ad hoc nei termini di servizio.
Come sempre, quando si parla di privacy e big tech, non si tratta di casi isolati. È notizia di fine giugno che un analogo reclamo è stato proposto nei confronti di Linkedin. La vicenda è senz’altro interessante anche per il tema che tocca: ossia come si applicano, in concreto, norme e linee guida esistenti a un’ipotesi particolare di tutela del fondamentale diritto alla riservatezza.