Meta ha deciso di usare i dati degli utenti europei per il training di Meta AI sulla base del legittimo interesse del titolare: ma può davvero farlo? La risposta pare negativa, ma gli elementi di valutazione per devono essere documentati: il trattamento, quindi, potrebbe essere lecito, con o senza correttivi.
Indice degli argomenti
Tutto maggio 2025 per opporsi, mentre il Garante italiano si attiva
Gli utenti delle piattaforme Meta possono esercitare il diritto di opposizione al trattamento dei dati postati per il training dell’intelligenza artificiale per tutto il ese di maggio 2025: da quella data in poi, ogni post sarà utilizzato sulla base de legittimo interesse del titolare. Meta, per prima, afferma di basare il proprio approccio sull’Opinion dell’EDPB del 14 dicembre 2024 in materia di legittimo interesse del titolare nel training dell’intelligenza artificiale.
L’Autorità Garante per il trattamento dei dati personali, tuttavia, ritiene opportuno valutare la conformità del trattamento dei dati personali che Meta ha annunciato di voler effettuare sulla base del legittimo interesse con le altre Autorità.
Nello specifico, “l’attenzione dei Garanti è rivolta in particolare alla liceità di tali pratiche, all’effettività del diritto di opposizione e alla compatibilità tra le finalità originarie del trattamento e questo nuovo utilizzo dei dati. Le Autorità, inoltre, hanno chiesto a Meta informazioni sull’uso di immagini di utenti di età inferiore ai diciotto anni pubblicate da utenti adulti”.
Meta afferma di rispettare i criteri emanati dall’EDPB con il legittimo interesse: ma sarà davvero così?
Dal proprio blog Meta annuncia l’utilizzo dei dati dei cittadini europei per il training dell’AI e che questa attività sarà assolutamente GDPR compliant, perché basata sui criteri espressi nel dicembre 2024 dall’European Data Protection Board.
Il primo requisito richiamato dall’EDPB per il training è l’anonimizzazione dei dati utilizzati e, sul punto, ha concluso che “affinché un modello di intelligenza artificiale possa essere considerato anonimo, con mezzi ragionevoli, siano soddisfatte sia (i) la probabilità di estrazione diretta (anche probabilistica) di dati personali relativi agli individui i cui dati personali sono stati utilizzati per addestrare il modello; nonché (ii) la probabilità di ottenere, intenzionalmente o meno, tali dati personali dalle query, dovrebbe essere insignificante per qualsiasi interessato.
Per impostazione predefinita, le SA dovrebbero considerare che è probabile che i modelli di intelligenza artificiale richiedano una valutazione approfondita della probabilità di identificazione per giungere a una conclusione sulla loro possibile natura anonima. Tale probabilità dovrebbe essere valutata tenendo conto di “tutti i mezzi che ragionevolmente potranno essere utilizzati” dal titolare del trattamento o da un’altra persona e dovrebbe anche considerare il (ri)utilizzo o la divulgazione involontaria del modello”.
Dopodiché si pone il problema del legittimo interesse come base giuridica, per cui è necessario effettuare uno specifico assessment, fermi restando, in premessa, tutti i principi previsti dal GDPR (accountability, minimizzazione etc).
Questo assessment consta di tre fasi ossia “Purpose Test”, “Necessity Test”, “Balancing Test”, a loro volta a loro volta suddivise in sottofasi.
- Il “Purpose test” si incentra sulla identificazione dell’interesse che il titolare del trattamento intende perseguire; l’interesse dovrà essere “lawful”, ossia normativamente ammesso, chiaro, specifico e attuale (cioè non solo potenziale).
- Il “Necessity test”, è invece finalizzata a indagare se il trattamento sia effettivamente e realmente necessario per il perseguimento dell’interesse del titolare del trattamento; “la valutazione della necessità comporta quindi due elementi: (i) se l’attività di trattamento consentirà il perseguimento della finalità; e (ii) se non vi sia un modo meno invasivo per perseguire questo scopo”.
- Il “Balancing Test” che, secondo l’EDP; consiste “nell’identificare e descrivere i diversi diritti e interessi contrapposti in gioco, vale a dire da un lato gli interessi, i diritti fondamentali e le libertà degli interessati, e dall’altro gli interessi del titolare del trattamento o di terzi. Le circostanze specifiche del caso dovrebbero quindi essere considerate per dimostrare che l’interesse legittimo è una base giuridica appropriata per le attività di trattamento in questione”.
In conclusione, tutte le risposte alle domande lecitamente poste dal Garante italiano possono e devono essere trovate in questo assessment, la cui effettività dovrà essere verificata sul campo e dagli organi competenti.
Meta e legittimo interesse per l’AI: i nostri dubbi
Per quanto lo stesso EDPB affermi apertamente che non vi sia una gerarchia tra le basi giuridiche previste dal GDPR, è pacifico che il legittimo interesse del titolare sia quella più sfumata e “debole” in concreto, quantomeno in sede di dimostrazione.
Ora, la questione relativa a Meta è questa: i trilioni di dati degli utenti che processa sono contemporaneamente una miniera ed una necessità per l’addestramento del suo modello di AI.
Non i tratta di una mera commodity, ma di linfa vitale indispensabile: senza quei dati il modello cessa di migliorare e, quindi, di esistere.
La scelta del legittimo interesse come base giuridica, però, colpisce, date le alternative (consenso del titolare e contratto).
Il consenso espresso andava chiesto con una spunta e, forse, “premiato” con dei pacchetti premium: difficile sia da attuare che da gestire in termini di costo.
Per invocare il contratto sarebbe stato necessario modificare unilateralmente le t&c: praticabile, ma da valutare per i nuovi utenti, mentre il “petrolio” sono quelli già esistenti.
Quindi, evviva il legittimo interesse del titolare!
In astratto, quindi, i requisiti possono sussistere, attesa la pubblicità offerta al diritto di opposizione.
In concreto, saranno i Garanti a dover vigilare sull’effettività della sussistenza dei requisiti previsti.
