Sta destando molto scalpore la notizia del fatto che Meta sta per cambiare la sua politica sulla privacy, dal 26 giugno, per usare i dati degli utenti Facebook e Instagram (post, video, foto…) per allenare la sua intelligenza artificiale. Senza il consenso degli utenti.
La denuncia di Noyb a Meta
Nello specifico, l’organizzazione viennese NOYB (None Of Your Business), capitanata dall’attivista privacy Maximillian Schrems, ha denunciato questa novità.
Il punto è che Meta dichiara di agire sulla base di un legittimo interesse a suo dire prevalente sul diritto fondamentale alla protezione dei dati personali degli utenti europei. E quindi senza bisogno di chiedere il consenso.
Ma secondo Noyb il legittimo interesse non basta per questo uso dei dati, ecco perché ha presentato denunce in undici paesi europei (tra cui l’Italia), chiedendo alle rispettive autorità di controllo di avviare una procedura d’urgenza ex art. 66 GDPR per fermare il prima possibile tale iniziativa, prima che la stessa sia adottata il 26 giugno 2024, così come annunciato da Meta stessa.
Le preoccupazioni per la privacy degli utenti
In particolare, NOYB denuncia che la nuova politica sulla privacy di Meta sia intenzionata a raccogliere tutti i dati pubblici e non pubblici degli utenti, presenti sul web dal 2007, e utilizzarli per non ben precisate finalità di sperimentazione con le tecnologie di IA.
Da non sottovalutare, poi, l’esistenza di moltissimi account non più utilizzati dagli utenti e presenti soprattutto su Facebook, contenenti ancora enormi quantità di dati personali che possono essere sfruttati. Inoltre, data la popolarità dei social media sotto il controllo di Meta, l’iniziativa dell’azienda può avere un impatto sui dati personali di circa 4 miliardi di utenti.
NOYB denuncia poi l’assenza di informazioni nei confronti degli utenti sugli scopi di tale trattamento, andando ciò in contrasto con le disposizioni e i principi fondamentali del GDPR (si pensi in primo luogo al principio di liceità, correttezza e trasparenza ex art. 5 par. 1 lettera a) GDPR).
È infatti durissimo l’attacco di Max Schrems in proposito, il quale afferma che: “Meta sta sostanzialmente dicendo che può utilizzare qualsiasi dato da qualsiasi fonte per qualsiasi scopo e renderlo disponibile a chiunque nel mondo, purché ciò avvenga tramite la tecnologia AI. Questo è chiaramente l’opposto della conformità al GDPR. “Tecnologia AI” è un termine estremamente ampio. Proprio come “utilizzare i vostri dati nei database”, non ha un vero e proprio limite legale. Meta non dice per cosa utilizzerà i dati, quindi potrebbe essere un semplice chatbot, una pubblicità personalizzata estremamente aggressiva o addirittura un drone assassino. Meta dice anche che i dati degli utenti possono essere resi disponibili a qualsiasi terza parte, cioè a chiunque nel mondo“[1].
Dal canto suo, Meta ha proposto ai suoi utenti un modello di opt-out attraverso cui gli stessi possono opporsi al trattamento dei propri dati per l’addestramento degli algoritmi. Tuttavia, tale procedura, lamenta NOYB, risulta essere particolarmente gravosa, poiché richiede la compilazione di un modulo in cui esplicare, tra le altre cose, le ragioni personali che portano gli utenti a opporsi a tale trattamento.
Ancora una volta, Max Schrems si esprime in modo particolarmente critico sul mancato utilizzo dello strumento del consenso da parte di Meta per effettuare simili trattamenti: “Spostare la responsabilità sull’utente è completamente assurdo. La legge impone a Meta di ottenere il consenso, non di fornire un modulo di opt-out nascosto e fuorviante. Se Meta vuole usare i vostri dati, deve chiedere il vostro permesso. Invece, gli utenti devono implorare di essere esclusi.”[2]
Il provvedimento italiano
In proposito, si ricorda il provvedimento del Garante privacy italiano contro Clearview AI Inc, il quale aveva ad oggetto proprio l’assenza di una idonea base giuridica per il trattamento dei dati personali, non avendo il titolare né richiesto il consenso dell’utente né adottato il legittimo interesse (che comunque impone al titolare una valutazione nel bilanciamento degli interessi in gioco).
È curioso osservare come il Garante, in quell’occasione, valutando l’opportunità o meno di utilizzare il legittimo interesse come base giuridica per il trattamento in esame, abbia osservato come: nel caso di specie, il legittimo interesse della società è costituito da un fine di lucro a fronte di un trattamento che presenta una particolare intrusività nella sfera privata degli individui, dal momento che si sostanza in una raccolta di dati fotografici, associati ad ulteriori link che sono idonei a rilevare diversi aspetti della vita privata degli individui. Tali dati vengono, inoltre, sottoposti ad elaborazione biometrica e, infine, per stessa dichiarazione della società, sono relativi ad un numero particolarmente elevato di soggetti […][3]. Per i suddetti motivi, il Garante, in quell’occasione, aveva ritenuto insussistente il legittimo interesse del titolare del trattamento.
In generale, si osserva come il Garante privacy italiano abbia da sempre posto l’attenzione sul tema del corretto uso dell’Intelligenza Artificiale. Si ricorda, dunque, la segnalazione[4] al Parlamento e al Governo italiani della necessità di individuare un’Autorità per l’IA, in un’ottica di maggiore controllo sull’utilizzo di questi strumenti, al fine di assicurare il pieno rispetto dei diritti fondamentali.
Conclusioni
In definitiva, ciò che desta maggiori preoccupazioni è il fatto che la tecnologia di IA elaborata da Meta dovrebbe vedere applicazione il prossimo 26 giugno. Ciò genera, quindi, l’urgenza di agire tempestivamente per assicurare una protezione adeguata dei diritti fondamentali degli individui.
Sul progetto di utilizzo dei dati personali degli utenti da parte di Meta, si è già espressa l’Autorità di controllo norvegese, la quale ha affermato i propri dubbi[5] sull’approccio seguito dalla società, stabilendo la necessità di chiedere il consenso dei soggetti interessati per simili trattamenti.
Quello che NOYB, dunque, auspica è che la procedura d’urgenza porti a un divieto provvisorio e a una decisione finale dell’EDPB nel giro di pochi mesi. Tutto, allo scopo di dare una forte risposta contro l’utilizzo improprio degli strumenti di Intelligenza Artificiale, la cui invasività potrebbe intaccare seriamente i diritti e le libertà dei cittadini europei.
Note
[1] Redazione NOYB, noyb sollecita 11 DPA a fermare immediatamente l’abuso dei dati personali da parte di Meta per l’IA, 6 giugno 2024, disponibile al seguente link: https://noyb.eu/it/noyb-urges-11-dpas-immediately-stop-metas-abuse-personal-data-ai
[2] Ivi
[3] Autorità Garante per la protezione dei dati personali, Ordinanza ingiunzione nei confronti di Clearview AI, 10 febbraio 2022, disponibile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9751362
[4] Autorità Garante per la protezione dei dati personali, Segnalazione al Parlamento e al Governo sull’Autorità per l’IA, 25 marzo 2024, disponibile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9996493
[5] Autorità di controllo norvegese, Comunicato stampa del 4 giugno 2024, disponibile al seguente link: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/meta-vil-bruke-brukernes-bilder-og-innlegg-til-a-utvikle-ki/
