Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Dopo i reclami di noyb, Meta sospende l’addestramento dell’AI nell’Unione Europea. Quali sono gli scenari futuri?

Stefano Gazzella : 18 Giugno 2024 07:48

Secondo la nuova privacy policy di Meta, a partire dal 26 giugno 2024, i dati personali dei post (e non dei commenti) pubblici degli utenti registrati come maggiorenni saranno impiegati per l’addestramento del modello di AI di Meta. Nell’informativa privacy viene riportato che la base giuridica impiegata per tale attività di trattamento è quella del legittimo interesse.

Per sviluppare e migliorare l’IA di Meta, nell’area geografica europea e nel Regno Unito ci basiamo sul principio degli interessi legittimi per raccogliere ed elaborare le informazioni personali incluse nelle fonti pubblicamente disponibili e concesse in licenza, nonché le informazioni che le persone condividono nei Prodotti e servizi di Meta.

Secondo tale impostazione si prescinde dall’acquisire il consenso degli utenti dovendo solo informare a riguardo gli stessi garantendo però il diritto di opporsi a tale attività di trattamento.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

art. 21 par. 1 GDPR

Si predilige così una logica di opt-in ad una logica di opt-out, molto probabilmente con la scommessa imprenditoriale circa lo scenario futuro di un numero di utenti che non si opporranno alla nuova attività di trattamento sui propri dati personali maggiore rispetto al numero di utenti che avrebbero eventualmente acconsentito alla nuova attività di trattamento proposta.

Le funzioni del Centro sulla Privacy, rispettivamente di Facebook e di Instagram, consentono di esercitare un diritto di opposizione alla raccolta dei propri dati. Sebbene il modulo richieda di indicarne la motivazione, questa non viene sindacata: è infatti sufficiente dire che non si gradisce questo tipo di attività, o che si è infastiditi a riguardo, per avere conferma circa l’accoglimento della propria obiezione.

Molto probabilmente l’indicazione della motivazione della contestazione più che lo svolgimento di una (costosa) operazione di bilanciamento motivo legittimo cogente del singolo secondo una criterio di non prevalenza rispetto al training della AI di Meta, sarà ben più utile per acquisire un feedback da parte dell’utenza che si oppone a questa nuova attività di trattamento. Consentendo così di pianificare future strategie di ingaggio.

La novità è stata accolta in modo piuttosto critico e diffidente, soprattutto da utenti e associazioni più attenti all’aspetto della privacy contestando non solo un’inadeguata trasparenza informativa resa da parte della piattaforma, ma anche alcuni dubbi circa la raccolta di dati rientranti nelle categorie particolari. Questo secondo punto potrebbe essere controverso, dal momento che la condizione di cui all’art. 9 par. 2 lett. e) GDPR contempla i dati personali resi manifestamente pubblici dall’interessato, e il training dell’AI limita la raccolta dei dati solo a questo ambito. Piuttosto, si sarebbe potuto richiedere di pubblicare un estratto della valutazione di legittimo interesse (Legitimate Interest Assessment, o LIA) e della DPIA (Data Protection Impact Assessment), entrambi adempimenti che ben potrebbero rendere un’adeguata informazione all’utenza circa l’impiego dei propri dati personali, i relativi rischi e diritti.

I reclami di noyb e l’intervento della DPA irlandese.

Gli attivisti di noyb hanno inoltrato ben 11 reclami presso altrettante autorità di controllo europee richiedendo provvedimenti d’urgenza per presunte gravi violazioni del GDPR “almeno degli articoli 5(1) e (2), 6(1), 9(1), 12(1) e (2), 13(1) e (2), 17(1)(c), 18(1)(d), 19, 21(1) e 25“. Non è la prima volta che si intraprendano strade di strategic litigation nei confronti di Meta, e un primo obiettivo sembra essere stato raggiungo nel momento in cui l’autorità di controllo irlandese ha reso noto l’intenzione di Meta di sospendere l’addestramento del proprio LLM attraverso i propri servizi all’interno dello SEE.

Max Schrems, uno dei fondatori di noyb, contesta un’apparente resistenza di Meta di richiedere il consenso all’utente adottando un modello di opt-in per le attività di trattamento svolte sui dati personali.

L’impiego del legittimo interesse come base giuridica per l’addestramento di modelli di AI è infatti un tema al vaglio delle autorità di controllo e dell’EDPB, tanto per la sua possibilità di impiego quanto per le eventuali condizioni da dover garantire a salvaguardia dei diritti degli interessati.

Guardando ai possibili scenari futuri, inoltre, non è possibile prescindere anche dal tema dell’impiegabilità di un modello consent-or-pay da parte delle piattaforme per acquisire il consenso degli utenti per l’accesso ai propri servizi e il training della AI. A condizione che venga offerta quella scelta reale ed informata, con la previsione di un corrispettivo equo e un’alternativa equivalente alla fruizione del servizio. Tutti criteri dai contorni così indefiniti dal far sembrare il transito dall’opt-out all’opt-in una vittoria pirrica della privacy.

L’unica certezza è quella resa parafrasando un vecchio adagio d’oltreoceano: there’s no business like personal data business.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.
Visita il sito web dell'autore