La decisione di LinkedIn di avviare, dal 3 novembre, l’utilizzo dei dati degli utenti per l’addestramento di modelli di intelligenza artificiale viene presentata come un’evoluzione naturale del servizio, giustificata dalla promessa di migliorare l’esperienza della piattaforma e di connettere in modo più efficace i membri alle opportunità professionali.
Ma non ci convince. No, se abbiamo a cuore i capisaldi della privacy in Europa.
Sì, la dichiarazione ufficiale utilizza un linguaggio rassicurante, che insiste sulla finalità di rendere più agevole la scrittura del profilo, di facilitare l’incontro tra domanda e offerta di lavoro, di perfezionare i suggerimenti.
Tuttavia, dietro questa retorica si cela un passaggio concettuale molto più radicale: l’utente non è più solo destinatario di un servizio, ma diventa esso stesso fonte di materia prima, un deposito informativo da cui estrarre valore attraverso l’addestramento dei modelli generativi.
Indice degli argomenti
Linkedin vuole usare i nostri dati per la sua AI: i tre punti chiave. Quali dati, come li usa, come opporsi
LinkedIn inizierà a usare dal 3 novembre i dati degli utenti in Europa, Svizzera, Regno Unito e Hong Kong per addestrare modelli di intelligenza artificiale generativa.
Quali dati saranno usati
- Dati del profilo: nome, foto, posizione attuale, esperienze precedenti, istruzione, competenze, certificazioni, pubblicazioni, volontariato, ecc.
- Contenuti AI: testi inseriti nelle funzionalità AI generativa (prompt, richieste, testi di ricerca).
- Dati relativi al lavoro: risposte a domande di screening, CV salvati.
- Attività nei gruppi: post e messaggi pubblici.
- Contenuti pubblici dei membri: post, articoli, commenti, sondaggi.
- Feedback: valutazioni e segnalazioni sulle funzioni AI.
Non saranno usati: messaggi privati, credenziali, metodi di pagamento, dati salariali, informazioni sulle candidature attribuibili a un singolo membro.
Base legale e opt-out
- LinkedIn si basa sul “legittimo interesse” ai sensi del GDPR, quindi non chiede il consenso preventivo ma offre la possibilità di opt-out.
- Per disattivare l’uso dei propri dati per l’AI: toggle di LinkedIn.
- Feedback e dati di miglioramento possono comunque essere usati; per opporsi serve un modulo speciale: modulo di richiesta.
Come LinkedIn usa i dati AI nei servizi
- Suggerimenti per la scrittura del profilo: i dati vengono usati per generare testi suggeriti che l’utente può modificare.
- Post suggeriti: i contenuti dei post possono essere riassunti o adattati.
- Job matching: dati di CV e risposte a domande possono aiutare i datori di lavoro a verificare l’idoneità dei candidati.
Linkedin e i nostri dati per l’AI: come cambia il rapporto contrattuale
Il mutamento investe la natura stessa del rapporto contrattuale digitale. Se fino ad ora la relazione si fondava sul presupposto che i dati conferiti dagli utenti servissero alla fruizione di un servizio specifico – la creazione di un network professionale e lo scambio di contenuti finalizzati al lavoro – la nuova impostazione introduce una destinazione ulteriore, più ampia e indeterminata.
I dati personali vengono riconfigurati come input per un processo di machine learning che può estendersi oltre la singola piattaforma, con possibili impieghi trasversali e con una finalità che non coincide più con quella originaria del contratto. In questa prospettiva, l’idea di “migliorare l’esperienza” assume un carattere ambiguo, poiché maschera una ridefinizione dell’oggetto stesso del trattamento, in cui l’utente cede inconsapevolmente una parte della propria identità digitale al ciclo produttivo dell’azienda.
Il nodo giuridico del legittimo interesse
Il nodo giuridico attorno al quale ruota l’intera vicenda è l’invocazione del “legittimo interesse” quale base di liceità del trattamento. L’articolo 6, paragrafo 1, lettera f) del GDPR consente all’impresa di trattare i dati quando ciò risponda a un interesse proprio o di terzi, a condizione che tale interesse risulti proporzionato rispetto ai diritti e alle libertà fondamentali degli individui. In astratto, la clausola costituisce una valvola di equilibrio, concepita per consentire un bilanciamento dinamico tra esigenze economiche e tutela dei dati personali.
Tuttavia, applicata al caso dell’addestramento di modelli generativi, questa clausola appare forzata: la qualificazione di un’attività così ampia e potenzialmente invasiva come “necessaria” al miglioramento del servizio non risponde a un criterio di stretta funzionalità, ma piuttosto a una scelta strategica di espansione aziendale.
Ciò pone un problema di coerenza sostanziale con la ratio del GDPR. Il regolamento ha introdotto il principio di limitazione delle finalità per evitare che dati conferiti per uno scopo determinato venissero progressivamente estesi ad altri ambiti. Il legittimo interesse, in questa prospettiva, non dovrebbe operare come strumento di elusione del consenso, bensì come eccezione circoscritta e giustificata. Estendere la sua portata sino a ricomprendere l’addestramento di sistemi di intelligenza artificiale rischia di trasformare un’eccezione in regola, producendo uno slittamento concettuale che mette in crisi l’intera architettura di protezione.
Il problema si manifesta con particolare evidenza se si considera la nozione di “necessità”. Il GDPR utilizza il termine in senso rigoroso, richiedendo che il trattamento costituisca l’unico mezzo idoneo a perseguire la finalità invocata. Nel caso di LinkedIn, invece, l’addestramento AI non appare indispensabile al funzionamento della piattaforma, bensì funzionale a una strategia di consolidamento tecnologico e di differenziazione sul mercato. La distanza tra il criterio normativo e la prassi aziendale apre così un vuoto interpretativo che rischia di essere colmato da una giurisprudenza oscillante, come già accaduto in Germania con la decisione dell’Alta Corte di Colonia.
Che succede se le big tech usano il legittimo interesse per training AI
La questione si colloca dunque a un livello più ampio: se l’interpretazione estensiva del legittimo interesse venisse accettata, l’intero impianto del GDPR subirebbe una torsione significativa. Il consenso, da cardine della protezione dei dati, verrebbe progressivamente sostituito da una logica unilaterale in cui l’azienda definisce in modo autonomo le condizioni del trattamento, affidando all’utente un mero diritto di opposizione. In questo scenario, il rapporto tra titolarità individuale e potere economico subirebbe un riequilibrio a favore di quest’ultimo, con conseguenze di sistema sul significato stesso di autodeterminazione informativa.
L’architettura di tutela predisposta da LinkedIn si fonda sull’opt-out, ossia su un diritto di opposizione esercitabile dall’utente attraverso un percorso di impostazioni nascosto tra le preferenze dell’account. La struttura tecnica del meccanismo rivela la sua fragilità: per escludere i propri dati dall’addestramento dei modelli generativi occorre disattivare un toggle collocato in una sezione poco intuitiva, mentre per sottrarre il feedback occorre ricorrere a un modulo distinto, con un’ulteriore azione burocratica. Si crea così un sistema a ostacoli che frammenta l’esercizio del diritto, inducendo scoraggiamento e riducendo la probabilità di una scelta consapevole e completa.
Dal punto di vista giuridico, tale configurazione si pone in tensione con l’articolo 12 del GDPR, che impone trasparenza, semplicità e accessibilità dei meccanismi attraverso i quali gli interessati esercitano i propri diritti. L’opt-out, per sua natura, rovescia la logica originaria del consenso: l’utente diventa responsabile di difendere uno spazio di autodeterminazione che dovrebbe essere presunto come regola, mentre l’azienda acquisisce un potere iniziale di trattamento che non necessita di un atto positivo dell’interessato. La conseguenza è un indebolimento sostanziale del principio di autodeterminazione informativa, che da prerogativa attiva si trasforma in eccezione passiva.
Sul piano teorico, questa impostazione riduce il diritto alla protezione dei dati a un simulacro formale.
L’opposizione resta astrattamente disponibile, ma la sua effettività viene compromessa da barriere cognitive e procedurali che ne minano l’uso. La situazione evoca la categoria dei dark patterns, in cui l’architettura delle scelte è concepita per orientare gli utenti verso l’inazione, con conseguente automatica acquisizione del consenso implicito. In tal modo, la funzione garantista del GDPR viene svuotata: il consenso non agisce più come strumento di autodeterminazione, bensì come un ostacolo che l’utente deve superare per riacquisire un controllo che gli spetterebbe in origine.
I dati che Linkedin vuole usare
Importantissimo a questo punto è l’estensione dei dati che LinkedIn dichiara di voler utilizzare per l’addestramento dei modelli di intelligenza artificiale presenta un profilo eminentemente qualitativo. L’insieme include elementi anagrafici, esperienze professionali, contenuti pubblicati, interazioni nei gruppi, risposte a candidature, preferenze linguistiche e dati di feedback. Una simile varietà costruisce una base informativa idonea a generare deduzioni complesse e ad attribuire significati ulteriori rispetto all’informazione originaria.
L’utente fornisce un curriculum, un post o un contenuto di gruppo; l’algoritmo rielabora tali informazioni per costruire un profilo che comprende dimensioni intime e delicate della personalità. La distinzione normativa tra dato comune e dato sensibile perde consistenza di fronte alla capacità del modello di attribuire significati ulteriori a ciò che l’interessato conferisce in forma neutra. L’impianto di protezione delineato dal regolamento europeo entra così in una zona grigia che riduce la prevedibilità del trattamento.
Dal punto di vista della finalità, l’impiego di un insieme così ampio di dati introduce una destinazione che amplia il contratto originario. La piattaforma, concepita per il networking professionale e per l’incontro tra domanda e offerta di lavoro, utilizza i dati come input per sistemi generativi dotati di una logica autonoma. L’individuo, che partecipa al network per ottenere visibilità e opportunità, diventa al tempo stesso fornitore di risorse informative destinate a processi non strettamente collegati alla funzione iniziale.
Il problema
La criticità si concentra sulla capacità dei modelli di trasformare l’informazione originaria in un patrimonio semantico nuovo. Un curriculum, una risposta a un questionario o un contenuto pubblicato non restano confinati alla sfera di utilizzo iniziale, ma entrano in circuiti che producono correlazioni e interpretazioni ulteriori. La protezione dei dati, in questa prospettiva, deve confrontarsi con una dinamica in cui il significato delle informazioni non dipende più dalla volontà dell’interessato, ma dall’architettura computazionale che le rielabora.
Il precedente Meta e il training AI
L’esperienza di Meta fornisce un precedente rilevante per comprendere la portata della scelta di LinkedIn. Le iniziative avviate da associazioni come Noyb hanno messo in discussione la legittimità dell’addestramento dei modelli basato sull’invocazione del legittimo interesse. Le contestazioni hanno evidenziato come i meccanismi predisposti da Meta abbiano favorito opacità e abbiano introdotto dinamiche assimilabili a pratiche manipolative. L’intervento delle autorità europee ha prodotto conseguenze differenziate: in Germania l’Alta Corte di Colonia ha riconosciuto che l’utilizzo dei contenuti pubblici può rientrare negli interessi legittimi, mentre in Irlanda il garante ha imposto la sospensione del programma con richieste di chiarimento.
Questa eterogeneità alimenta un quadro instabile. L’applicazione non uniforme del GDPR da parte delle diverse autorità nazionali favorisce strategie di adattamento da parte delle piattaforme, che possono sfruttare i margini interpretativi offerti dai diversi ordinamenti. Il rischio consiste in un effetto di forum shopping regolatorio, con conseguente indebolimento del principio di certezza giuridica. Le imprese digitali acquisiscono così un vantaggio strutturale, potendo modulare le proprie condotte in funzione delle interpretazioni più favorevoli, mentre gli interessati restano privi di garanzie omogenee.
La vicenda di Meta evidenzia inoltre un tema di fondo: l’assenza di un coordinamento forte a livello europeo. Il Comitato europeo per la protezione dei dati possiede strumenti di indirizzo e linee guida, ma non sempre riesce a imporre un’interpretazione univoca. La frammentazione crea asimmetrie che minano l’efficacia dell’intero sistema e che incentivano condotte sperimentali da parte delle grandi piattaforme. LinkedIn, in questo contesto, può percepire uno spazio di manovra favorevole, fondato sulla possibilità di interpretazioni differenziate e sulla lentezza con cui le autorità riescono a produrre risposte convergenti.
L’estrazione informativa operata da LinkedIn produce un effetto che va oltre la dimensione contrattuale, poiché coinvolge la struttura stessa della libertà individuale. L’utente, che aderisce a un network professionale per rafforzare la propria identità lavorativa, diventa allo stesso tempo fonte di dati destinati a processi generativi dotati di finalità autonome. Tale processo introduce una tensione tra la funzione sociale della piattaforma e l’autonomia dell’individuo, che rischia di venire assorbita in una logica di valorizzazione economica senza limiti predeterminati.
