L’avvento, silenzioso e pervasivo, in Italia di Meta AI tra le applicazioni più diffuse dell’ecosistema Meta (WhatsApp, Instagram e Facebook) ha riacceso ulteriormente i riflettori su un nodo irrisolto del diritto digitale europeo: il rapporto tra innovazione tecnologica e protezione dei dati personali.
Molti si stanno lamentando dell’impossibilità di disattivare l’AI di Meta. Il punto è che l’AI non un’opzione come le altre.
Indice degli argomenti
Meta AI e privacy, quale è il punto e il problema
Qui si pone il problema di stabilire la legittimità giuridica dell’integrazione di un assistente virtuale, basato su modelli di linguaggio (LLM), alimentati dall’intelligenza artificiale generativa, senza l’esplicita preventiva acquisizione del consenso manifestato dall’utente. Si tratta di un “modus operandi” che, sebbene formalmente inquadrabile nell’ambito della specifica strategia di “user experience invisibile”, rischia di confliggere con i principi fondamentali del GDPR e di aprire scenari critici in materia di data protection.
Al riguardo, infatti, di recente, Meta AI è comparso senza preavviso né informativa differenziata, come funzione preinstallata, non disattivabile e integrata nell’interfaccia delle applicazioni Meta.
L’utente, pertanto, non ha potuto scegliere se attivarlo, né configurare le relative modalità di utilizzo. Semplicemente come mero dato di fatto, sulle prime schermate di avvio, quando si accede alle specifiche piattaforme, compare il simbolo di Meta AI con un piccolo arcobaleno sopra l’icona della chat. Cosa ancor più rilevante: tale funzione non si può rimuovere, non si può spegnere, ma si può soltanto evitare di interagire con essa, se non si vuole optare per il drastico rimedio di disinstallare del tutto l’applicazione.
Non c’è consenso libero
In altre parole, poiché la rinuncia al servizio AI impone di abbandonare la piattaforma, sul piano pratico, sembra venire meno il principio del consenso libero e revocabile che costituisce l’architrave del quadro normativo euro-unitario vigente in materia di protezione dei dati personali.
Meta AI, il trattamento dati è problematico
Entrando nel dettaglio delle novità introdotte da Meta AI, tale funzione si manifesta come apparentemente innocua, essendo in grado di generare testi, suggerire risposte, tradurre messaggi, creare storie o aiutare nella scrittura, alla stregua di un sistema di assistenza basato su conversazioni che sembra limitarsi a replicare ciò che già fanno altri strumenti di intelligenza artificiale. Tuttavia, ciò che distingue Meta AI è la sua posizione di vantaggio strutturale: non è un plugin, né un tool da installare, ma è intrinsecamente integrato nel flusso comunicativo dell’utente.
In termini giuridici, un simile meccanismo di funzionamento solleva una rilevante questione dalla portata applicativa oltremodo complessa: quando ha inizio il trattamento dei dati? È sufficiente l’apertura dell’app per far partire la raccolta e l’elaborazione? E soprattutto, l’utente ne è consapevole?
Un’ulteriore problematica criticità discende dal modo in cui Meta AI gestisce i dati acquisiti durante le interazioni. Al riguardo, infatti, formulando la specifica domanda “Cosa fai con i miei dati?”, l’assistente risponde che raccoglie le informazioni inserite dall’utente e le condivide con i “partner selezionati” per migliorare la qualità delle risposte. Invero, non è dato sapere, se non in modo generico, chi siano esattamente i partner menzionati, né in quale misura i dati vengano conservati, anonimizzati, aggregati, profilati o incrociati con quelli provenienti da altre attività dell’utente sulle piattaforme Meta.
Una vaghezza applicativa che potrebbe entrare in rotta di collisione con i principi di trasparenza e accountability previsti dal GDPR, e in particolare con l’art. 13, nella parte in cui impone al titolare del trattamento di fornire informazioni chiare, comprensibili, e soprattutto dettagliate, sul trattamento dei dati.
I nodi giuridici sul consenso a Meta AI
Entrando nel merito delle prescrizioni legislative in materia di protezione dei dati personali, è opportuno specificare che, uno degli aspetti centrali a tenore della disciplina vigente, riguarda la natura del consenso, strettamente connesso al concetto di necessità del trattamento.
Infatti, secondo l’art. 6 del Regolamento 2016/679 (GDPR), ogni trattamento di dati personali deve poggiare su una base giuridica chiara, tra cui – in primis – il consenso esplicito, libero, specifico e informato. L’integrazione nativa e non disinstallabile di Meta AI, che impedisce all’utente di disattivare o rimuovere tale funzione, solleva perplessità profonde su come il consenso venga effettivamente acquisito. Non siamo di fronte a una scelta, ma a un’adesione tacita, predefinita e sistemica? Si può forse parlare di consenso implicito per inerzia? E se sì, fino a che punto tale modalità può ritenersi compatibile con il principio cardine della autodeterminazione informativa?
Non è tutto. L’elemento forse ancora più critico è costituito dal principio di minimizzazione, sancito dall’art. 5, lett. c) GDPR, a tenore del quale i dati raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità”. L’architettura di Meta AI non pare aderire al menzionato principio, nella misura in cui tale funzione prevede una raccolta generalizzata e continua di dati, finalizzata a un obiettivo generico – il miglioramento del modello – che rischia di diventare un fine indeterminato. Ci si avvicina pericolosamente a quella che la dottrina giuridica descrive come data fishing, per identificare una raccolta preventiva e generalizzata di dati che, in un secondo momento, potrebbero trovare una finalità utile, come sembra desumersi, pur senza ricorrere formalmente a tale espressione, dalle interpretazioni elaborate dalla stessa Corte di Giustizia, che ha ripetutamente censurato pratiche simili, ritenendole incompatibili con i principi di proporzionalità e minimizzazione previsti dal GDPR (emblematica, al riguardo, la sentenza Schrems II, C-311/18).
Ancora più complessa è la questione relativa al trattamento di categorie particolari di dati ai sensi dell’art. 9 GDPR, tra cui rientrano le informazioni idonee a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’orientamento sessuale. In un’interazione con un LLM, l’utente potrebbe – anche inconsapevolmente – fornire dati sensibili. Se non vi è un meccanismo che impedisca la registrazione o l’elaborazione di tali informazioni, il rischio è quello di un trattamento illecito, in assenza delle garanzie rafforzate previste dal legislatore europeo. La semplice affermazione secondo cui “Meta AI non legge le altre conversazioni perché crittografate” non basta a elidere il rischio che dati sensibili vengano comunque raccolti attraverso la chat dedicata all’assistente.
Pertanto, alla luce dello scenario delineato, è chiaro che la concreta evoluzione dell’intelligenza artificiale sembra proiettarsi verso un sistema tecnologico che non si limiti soltanto a “servire” l’utente, ma tenda progressivamente a modellarne il comportamento e le scelte personali. Un LLM come Llama 3.2 – impiegato da Meta AI – è in grado di generare testi complessi, suggerire decisioni, fornire alternative linguistiche e concettuali. In altre parole, poiché la linea di confine tra strumento passivo e interfaccia cognitiva attiva diventa sempre più sottile, si determinano inevitabili ricadute anche sul concetto stesso di profilazione (art. 22 GDPR), intesa non solo come analisi di abitudini e preferenze, ma come costruzione attiva di un’identità digitale personalizzata, generata attraverso i dati stessi dell’utente.
In assenza di una regolazione adeguata, chiara e vincolante, potremmo trovarci impreparati a fronteggiare un simile cambio di paradigma: dalla profilazione reattiva (basata sull’osservazione) alla profilazione proattiva (basata sull’interazione). L’IA generativa, specie se incorporata dentro piattaforme chiuse e pervasive, non si limita più a raccogliere dati, ma li produce, li trasforma, li amplifica. E questo implica un ribaltamento del modello attuale di data protection, pensato per contesti in cui i dati sono statici, non dinamici, e i trattamenti sono deterministici, non auto-apprendenti.
Di fronte a questo scenario, a maggior ragione, l’inerzia normativa potrebbe rappresentare un pericolo sistemico. Il Regolamento (UE) 2024/1689, noto come AI Act – recentemente approvato – non entra nel merito dei singoli trattamenti dati, ma si limita a classificare i sistemi di intelligenza artificiale secondo livelli di rischio. Tuttavia, ciò non basta: il diritto alla protezione dei dati personali non può essere subordinato alla categoria tecnica in cui un sistema ricade. È necessario un approccio olistico, che saldi il GDPR con l’AI Act e con la Carta dei diritti fondamentali dell’Unione europea, nella consapevolezza che l’IA generativa non rappresenta un semplice software, ma un ambiente cognitivo che modifica le relazioni sociali, le espressioni della volontà e, in ultima analisi, le basi stesse dell’autonomia digitale della persona.
La tecnologia che calpesta i diritti
Alla luce dei profili di incertezza rilevati, nell’ambito del complessivo dibattito sulle problematiche segnalate si innesta, inoltre, un’altra ulteriore frizione strutturale: la tensione tra innovazione e legittimità.
Meta AI rappresenta, infatti, l’esempio paradigmatico di un modello di sviluppo tecnologico che punta sulla massima espansione funzionale a scapito del controllo informato da parte dell’utente. Sotto la maschera dell’assistenza intelligente, sembra celarsi un sistema sofisticato di raccolta dati che, sebbene formalmente giustificato dal fine del miglioramento del servizio, potrebbe concretamente dare luogo a una profilazione su larga scala, con finalità ulteriori non esplicitate, tra le quali, a mero titolo esemplificativo, marketing comportamentale, addestramento di altri modelli, arricchimento dei dataset proprietari. Ed è proprio così, in considerazione delle osservazioni paventate, che si insinua il dubbio più inquietante: ci troviamo di fronte a una nuova forma di “espropriazione digitale”?
Mentre l’utente si illude di avere il controllo dei propri dati, la piattaforma sembra così strutturare un ambiente digitale in cui la rinuncia alla privacy diventa “de facto” condizione implicita per la partecipazione sociale in un ecosistema comunicativo dove oltre due miliardi di persone utilizzano quotidianamente le applicazioni Meta, con la conseguenza che il consenso perde ogni carattere di effettiva libertà, e si trasforma in una forma di assenso coatto o comunque indotto, in quanto legittimato dalla necessità di restare connessi.
Tutto ciò pone interrogativi urgenti non solo per il giurista, ma per la generale opinione pubblica a fronte delle potenziali ricadute generate sull’intero assetto delle società digitali.
Le domande da farsi
Si aprono interrogativi di fondo.
È ancora sostenibile il modello del consenso esplicito e informato in un ecosistema dove le tecnologie sono invisibili e pervasive?
Come può l’utente esercitare un controllo reale, e non solo simbolico, su ciò che viene registrato, processato, condiviso?
Le autorità garanti europee – a partire dal Comitato europeo per la protezione dei dati – sono pronte a intervenire in modo efficace, o si limiteranno a elaborare interpretazioni formali del GDPR?
E infine: può il diritto ancora bastare da solo a regolare un’intelligenza che sfugge alla logica del codice normativo, perché costruita per apprendere dall’imprevedibile?
Non si tratta di semplici domande tecniche rivolte agli addetti ai lavori, ma di interrogativi esistenziali anche per valutare se il diritto sia ancora in tempo di diventare un “architettura di senso” nell’epoca degli algoritmi, piuttosto che limitarsi, come spesso accaduto, a rincorrere la tecnologia.
