A giugno aveva fatto scalpore l’iniziativa di Meta di voler usare i dati personali degli utenti di Facebook e Instagram per addestrare la sua intelligenza artificiale (IA), frenata poi dall’intervento del Centro europeo per i diritti digitali (noto anche come None of your business, Noyb).
Ora, in seguito alle denunce di otto Paesi europei, tra cui l’Italia, anche X, che voleva agire nello stesso modo per allenare Grok, l’IA di Elon Musk, è stata fermata.
LA DECISIONE DELL’AUTORITÀ IRLANDESE
La Commissione per la protezione dei dati irlandese (Dpc) ha fatto sapere che X ha accettato di sospendere l’uso dei dati personali contenuti nei post pubblici degli utenti – trattati tra il 7 maggio 2024 e il 1° agosto 2024 – al fine di addestrare il suo sistema di intelligenza artificiale Grok.
“L’accordo – spiega in una nota la Dpc – è stato concluso nel contesto di un’istanza urgente dell’Alta Corte presentata dal Dpc ai sensi dell’articolo 134 del Data Protection Act del 2018. È la prima volta che un’autorità di controllo capofila intraprende un’azione di questo tipo e la prima volta che il Dpc cerca di utilizzare i suoi poteri ai sensi dell’articolo 134″.
L’ART. 134 DEL DATA PROTECTION ACT
Tale articolo del Data Protection Act 2018 consente alla Commissione, qualora ritenga che vi sia un’urgente necessità di agire per proteggere i diritti e le libertà degli interessati, di presentare una richiesta all’Alta Corte per ottenere un ordine che imponga al titolare del trattamento di sospendere, limitare o vietare il trattamento dei dati personali.
“Uno dei nostri ruoli principali, in qualità di regolatore indipendente e di organizzazione basata sui diritti, è quello di garantire il miglior risultato per gli interessati e gli sviluppi odierni ci aiuteranno a continuare a proteggere i diritti e le libertà degli utenti di X in tutta l’Ue e il See”, ha detto Des Hogan, commissario e presidente Dpc. “Continueremo a impegnarci con tutti i responsabili del trattamento dei dati per garantire il rispetto dei diritti dei nostri cittadini ai sensi della Carta dei diritti fondamentali dell’Ue e del Gdpr”.
PRIVACY POLICY OPACHE E PROCEDURE MACCHINOSE
Come nel caso di Meta, tra le principali violazioni del Gdpr imputate a X, spiega su Altroconsumo Marco Scialdone, head of litigation di Euroconsumers, c’è la “mancanza di trasparenza e chiarezza”.
“La privacy policy di X – scrive Scialdone – non informa adeguatamente gli utenti circa l’utilizzo dei loro dati per il training dei sistemi di machine learning. Le Linee guida 4/2019 dell’EDPB [Comitato europeo per la Protezione dei Dati, ndr] sottolineano che il trattamento dei dati deve essere libero da inganni e tutte le opzioni devono essere presentate in modo neutrale e comprensibile”.
Anche il diritto di opposizione dell’utente in merito ai suoi dati personali “è stato gestito in modo complesso e inefficace” poiché “non esiste un modulo specifico per esercitare questo diritto, e l’utente deve rispondere a un’e-mail di conferma per aprire un ticket”. “Questo processo macchinoso – afferma Scialdone – viola il Gdpr, che richiede che l’esercizio dei diritti degli interessati sia facilitato”.
A queste criticità si aggiungono il mancato rispetto del principio di minimizzazione e l’inadeguatezza della base giuridica prescelta.
LA SFIDA DELLA PRIVACY NELL’ERA DELL’IA
Come osserva l’esperto di Euroconsumers, questa vicenda “mette in luce le sfide sempre crescenti nella gestione dei dati personali nell’era dell’intelligenza artificiale, sottolineando l’importanza di una maggiore trasparenza e responsabilità da parte delle aziende tecnologiche”.
Si tratta di una battaglia “cruciale” perché “l’uso improprio dei dati personali per l’addestramento dell’IA senza adeguate garanzie può compromettere gravemente i diritti e le libertà degli utenti”. Basti pensare che il solo trattamento dei dati personali degli utenti italiani da parte di X £coinvolge potenzialmente il 10% della popolazione nazionale”.
Anche l’avvocato Laura Turini, esperta in brevetti, marchi, diritto d’autore e diritto delle nuove tecnologie, intervenendo sul caso Meta, aveva evidenziato che nell’era dell’intelligenza artificiale il rispetto della privacy, insieme alla gestione del copyright, sta diventando un punto cruciale. Tuttavia, si tratta di una battaglia legale appena cominciata e la questione è molto complessa, sia dal punto di vista giuridico che dal punto di vista pratico.
“Si può senz’altro discutere della correttezza o meno di un’informativa, ma è assai difficile a livello pratico dimostrare che un sistema di intelligenza artificiale è addestrato sulla base dei dati personali di qualcuno in particolare – scrive Turini nella newsletter Appunti di Stefano Feltri -. Nessuno conosce esattamente i dati di addestramento e quando finiscono nella massa dei dati da cui vengono estratti, più che singole informazioni, modelli matematici, essi vengono talmente macinati e digeriti da disperdersi nel processo”.
“Dal punto di vista pratico – prosegue -, la situazione è ancora più critica, in quanto i dati utilizzati sono talmente numerosi e raccolti in modo indiscriminato, che non è possibile selezionare all’interno di essi dati generici, personali, sensibili o particolari, per cui se si ravvisasse un illecito si rischierebbe di dovere impedire la raccolta di dati tout court”.