Meta AI, Chatgpt: come difendere la privacy dall’intelligenza artificiale

E’ il momento di attrezzarci per un’autodifesa privacy verso l’invadenza dei chatbot e modelli AI, come Meta AI ma non solo.

L’invito viene dallo stesso Garante Privacy che ieri in un comunicato ci ricorda che abbiamo tempo fino al 31 maggio per opporci al trattamento dati di Meta AI.

“L’opposizione permette di sottrarre all’addestramento dell’intelligenza artificiale di Meta tutte le informazioni personali, mentre se esercitata successivamente interesserà solo i contenuti pubblicati successivamente e non quelli già online”, dice il Garante, che ricorda questa possibilità – e diritto – anche verso Chatgpt di OpenAI, Deepseek, Google Gemini e altri. 

Il diritto a opporci al trattamento dati da parte dell’AI di Meta e altri

E’ tecnicamente il diritto di opposizione, sancito dall’art. 21 del GDPR, anche nei confronti di trattamenti finalizzati all’addestramento algoritmico.

Secondo quanto dichiarato dalla stessa società, Meta utilizzerà per finalità di addestramento dell’IA i contenuti pubblicati da utenti maggiorenni su Facebook e Instagram (tra cui post, commenti, foto, didascalie), nonché le interazioni avute con strumenti di intelligenza artificiale come Meta AI su WhatsApp e, in tale scenario, l’assenza di opposizione verrà interpretata come assenso implicito a tale trattamento, facendo tuttavia leva su una base giuridica controversa: il legittimo interesse del titolare.

Tra l’altro è un approccio già seguito, da prima, da Google sui nostri dati. Meta almeno ci sta avvisando preventivamente.

Questa impostazione ha già sollevato critiche significative, poiché si discosta dalla tradizionale centralità del consenso quale fondamento del trattamento, specialmente quando i dati sono utilizzati per scopi ulteriori rispetto a quelli originariamente previsti.

Il problema, dunque, non è solo giuridico, ma sistemico: infatti se l’intelligenza artificiale generativa dipende dalla disponibilità di dati su larga scala per migliorare le proprie prestazioni, la tentazione di estendere le basi giuridiche esistenti per legittimare il trattamento può portare a un’inversione della logica protettiva del GDPR, in particolare, l’utilizzo del legittimo interesse come fondamento per raccogliere, profilare e trattare dati anche sensibili, senza previa richiesta di consenso esplicito, rischia di ridefinire il confine tra utilizzo legittimo e appropriazione indebita dell’identità digitale degli individui.

Ed è per tali ragioni che, il Garante, con il suo comunicato, non si limita a una presa di posizione simbolica, ma mette a disposizione moduli specifici per utenti, non utenti e soggetti minorenni i cui dati siano stati pubblicati da terzi.

Come opporsi al trattamento dati da parte dell’AI di Meta

Riguardo la possibilità di esercitare il diritto di opposizione, si segnala che Meta ha predisposto tre moduli distinti, a seconda della condizione dell’interessato:

• Per utenti Facebook;
• Per utenti Instagram;
• Per non utenti Meta (ma i cui dati possono essere comunque presenti).
  

Nel caso di minorenni, i loro dati sono esclusi automaticamente dal trattamento, ma se compaiono in contenuti pubblicati da adulti, i genitori o tutori legali possono usare il modulo per i non utenti per esercitare il diritto di opposizione anche a loro nome.

I limiti dell’opposizione

Attenzione, però: l’opposizione riguarda solo l’utilizzo per fini di addestramento dell’IA. Meta continuerà a trattare i dati personali per tutte le altre finalità già previste nella sua informativa (pubblicità, personalizzazione dei contenuti, sicurezza, ecc.), anche per coloro che hanno esercitato l’opposizione all’uso per addestramento.

Inoltre, i dati già trattati prima dell’esercizio dell’opposizione – se questa è esercitata dopo maggio – potrebbero non essere più eliminabili dal modello. Questo limite evidenzia la necessità di agire tempestivamente.

L’opposizione, inoltre, non è circoscritta solo ai moduli Meta.

Come opporsi al trattamento dati OpenAI Chatgpt

OpenAI infatti consente la richiesta di rimozione dei dati personali dai propri modelli attraverso la pagina: https://openai.com/privacy. Alla sezione “Your Privacy Choices” → “Exercise Your Rights” → “Request for data removal”, oppure direttamente tramite: https://openai.com/enterprise-privacy → “Data Subject Access Request”. Bisogna indicare i dati da rimuovere (nome, immagini, contenuti) e dimostrare di esserne titolari.

Come opporsi al trattamento dati Google Gemini

Mentre, Google, consente di opporsi all’utilizzo dei propri dati pubblici per l’addestramento dei modelli IA tramite:

• Rimozione di contenuti personali da Google Search;
• Richiesta generica per i diritti GDPR.

È consigliabile specificare chiaramente che si sta esercitando il diritto di opposizione all’uso dei propri dati per l’addestramento dell’intelligenza artificiale, ai sensi dell’art. 21 del GDPR.

Consapevolezza attiva sui diritti nell’era AI

Il Garante, con le proprie istruzioni pratiche, segnala così la necessità di una consapevolezza attiva, sebbene la questione vada oltre l’esercizio puntuale del diritto di opposizione poiché investe chiaramente la capacità del diritto europeo di reagire in tempo reale all’evoluzione tecnica delle piattaforme e alla velocità con cui il ciclo di raccolta, addestramento e output algoritmico si realizza.

Pertanto – in assenza di un intervento regolatorio armonizzato a livello europeo – il rischio è che ogni Autorità nazionale sia costretta a rincorrere le iniziative delle Big Tech, più che a governarle.

Il nodo della liceità giuridica per il trattamento dati scelto dalle big tech

Il riferimento del Garante alla liceità della base giuridica e alla compatibilità delle finalità introduce inoltre un tema cruciale: il principio di limitazione della finalità (art. 5, par. 1, lett. b) GDPR), secondo cui i dati devono essere raccolti per scopi specifici, espliciti e legittimi, e non trattati ulteriormente in modo incompatibile con tali scopi.

Utilizzare dati originariamente raccolti per la condivisione sociale per addestrare modelli di IA rappresenta una trasformazione funzionale che richiede una valutazione puntuale di compatibilità, trasparenza e legittimità.

Inoltre, l’assenza di una vera informativa preventiva personalizzata per ciascun utente mina il principio di trasparenza (art. 5, par. 1, lett. a), e art. 13 GDPR. Le comunicazioni unilaterali, i moduli sommersi in sezioni secondarie dei siti e la necessità di iniziativa attiva da parte dell’utente per opporsi delineano un contesto in cui la fruibilità del diritto si scontra con la complessità architetturale delle piattaforme digitali e il consenso, già indebolito dal default opt-in, viene ulteriormente marginalizzato in favore di assetti che favoriscono l’inerzia dell’utente.

Il punto giuridico di fondo riguarda allora la capacità degli utenti di esercitare effettivamente i propri diritti in ecosistemi digitali costruiti per scoraggiarne l’esercizio, aggiungendo, contestualmente, l’opacità della catena algoritmica: i dati, infatti, una volta utilizzati per l’addestramento, non sono più separabili, non sono tracciabili, non possono essere “disappresi” dal sistema. Si tratta, evidentemente, di una forma di irreversibilità tecnica che mette in discussione la stessa efficacia della revoca del consenso o dell’opposizione con la conseguenza che il trattamento, una volta avviato, diventa permanente, anche in assenza di una decisione automatizzata individuale.

L’indicazione poi contenuta nel comunicato del Garante secondo cui l’opposizione tempestiva (entro maggio) impedirà l’utilizzo retroattivo dei dati solleva una domanda chiave: è ammissibile, dal punto di vista giuridico, che il silenzio venga interpretato come consenso implicito a un trattamento irreversibile e potenzialmente illimitato nel tempo? In che modo questo assetto regge il confronto con il principio di autodeterminazione informativa e con il diritto alla limitazione del trattamento (art. 18 GDPR)?

Entrando, invece, nel merito degli scenari regolatori, è opportuno segnalare che il Garante italiano ha confermato che sono in corso valutazioni congiunte con le altre autorità europee per verificare la conformità della strategia adottata al quadro normativo vigente, in particolare alla luce della base giuridica del legittimo interesse invocata per giustificare l’uso dei dati personali a fini di addestramento algoritmico. Tuttavia, tale fondamento – se non accompagnato da un’effettiva valutazione di bilanciamento degli interessi e da garanzie adeguate per gli interessati – rischia di rivelarsi inidoneo in contesti ad alto impatto come quelli dell’intelligenza artificiale generativa: il punto critico riguarda, quindi, la compatibilità tra le finalità originarie del trattamento e quelle, nuove, connesse all’addestramento di modelli IA, un cambio di finalità che, in mancanza di consenso esplicito, rischia di violare i principi fondamentali del GDPR.

Nodo minori

Altro nodo cruciale è la protezione dei dati dei minori: Meta ha infatti dichiarato che escluderà i dati degli utenti sotto i 18 anni, ma non ha chiarito come tratterà contenuti che li riguardano indirettamente – ad esempio se pubblicati da adulti: le autorità hanno chiesto chiarimenti specifici su questo punto, consapevoli che si tratta di una delle categorie più vulnerabili e difficili da tutelare con i soli meccanismi di opt-out.

Queste indagini non hanno un valore meramente tecnico, ma rappresentano l’indice di una possibile frattura tra le promesse di compliance delle big tech e la reale capacità del diritto europeo di garantire un controllo effettivo, infatti se la logica dell’addestramento dei modelli IA dovesse imporsi come nuovo standard operativo, la sostenibilità dell’intero impianto del GDPR rischierebbe di essere compromessa. La sfida diventa dunque – forse per la prima volta in modo così evidente – di portata costituzionale: poiché bisogna riuscire a dimostrare che i diritti fondamentali non sono residuali ma strutturanti anche nei nuovi ecosistemi digitali.

Diritto alla privacy è strumento attivo di autodeterminazione nell’ecosistema informativo

Alla luce di questi scenari, la riflessione ultima, quindi, non può che riguardare il ruolo della cittadinanza digitale in una società sempre più modellata da processi computazionali invisibili.

Il diritto alla privacy non è più soltanto una barriera di protezione, ma uno strumento attivo di autodeterminazione nell’ecosistema informativo, opporsi al trattamento dei propri dati non significa rifiutare il progresso tecnologico, ma riaffermare la necessità che esso si sviluppi secondo criteri di equità, trasparenza e responsabilità. In un’epoca in cui i dati sono divenuti la materia prima del potere, difendere il diritto a dire “no” al loro sfruttamento è forse il gesto più politico e consapevole che possiamo compiere e sarà proprio la capacità di rendere effettivo questo “no” – accessibile, comprensibile, rispettato – a decidere se l’Intelligenza Artificiale potrà davvero essere alleata dei diritti fondamentali, o se finirà per riscriverli nel silenzio del codice: se è vero, quindi, che il diritto di opposizione rappresenta un argine normativo, è altrettanto vero che esso si scontra con un’asimmetria strutturale tra chi genera i dati e chi ne estrae valore predittivo.

La domanda finale, dunque, non può che essere questa: l’Europa riuscirà a preservare il primato della persona nel nuovo ordine algoritmico, o stiamo assistendo a una silenziosa delega del nostro profilo digitale alle logiche del machine learning?