L’entrata in scena di Meta AI nell’ecosistema europeo non è soltanto un fatto tecnico, né una semplice svolta industriale nella corsa all’intelligenza artificiale generativa, ma è, innanzitutto, un evento giuridico e sistemico.
La conferma nella comunicazione di Meta ai cittadini europei sull’addestramento dell’IA con i nostri dati.
Indice degli argomenti
Meta AI con i nostri dati personali: la notifica
Per la prima volta, un colosso tecnologico introduce nel contesto dell’Unione Europea un assistente virtuale conversazionale, integrato nelle principali app di messaggistica e socialità digitale – WhatsApp, Instagram e Facebook – fondato su modelli linguistici addestrati anche mediante dati personali generati direttamente dagli utenti (con l’eccezione di Whatsapp) e lo fa attraverso un meccanismo di opposizione postuma (opt-out), e non di consenso preventivo (opt-in).
Cioè il fatto che la notifica giunga via e-mail o tramite avvisi in-app – e non attraverso un processo di autorizzazione consapevole e separato – rappresenta già di per sé un cambio di paradigma: da una privacy autodeterminata a una privacy “contestabile a posteriori”.
I rapporti Meta con l’Europa
E non è un caso che il lancio sia avvenuto in un momento cruciale nei rapporti tra Meta e l’Europa, poiché da un lato, Meta rivendica trasparenza e conformità normativa, sottolineando il confronto avvenuto con le autorità garanti europee (EDPB e Data Protection Commission irlandese), dall’altro si affaccia su un contesto giuridico che ha fatto del consenso esplicito, libero, informato e specifico il cuore della legittimità del trattamento dati. In questo scenario, la strategia di Meta solleva interrogativi cruciali sull’effettiva tenuta del Regolamento generale sulla protezione dei dati personali (GDPR) e sul ruolo delle autorità di controllo nel governare le interazioni tra IA generativa e diritti fondamentali.
La stessa scelta dei dati utilizzati da Meta – contenuti pubblici di utenti adulti, post, commenti, interazioni con Meta AI, ma non messaggi privati o dati di minori – mostra un tentativo calibrato di rispettare i vincoli minimi del GDPR, pur rimanendo nella zona grigia dell’informazione generalizzata: infatti il modulo per opporsi è stato, secondo l’azienda, reso “facile da trovare, leggere e compilare”.
L’opposizione all’IA di Meta
Ma cosa significa davvero, in termini giuridici, un’opposizione efficace? Quanto è effettivamente accessibile per categorie vulnerabili o soggetti a bassa alfabetizzazione digitale? E soprattutto: può una notifica o un form assolvere alla funzione costituzionale e sostanziale del consenso?
Il punto critico riguarda l’evoluzione del concetto stesso di consenso informato che dal combinato disposto degli articoli 6 e 7 del GDPR, è inteso come una manifestazione attiva e documentabile della volontà dell’interessato: su queste premesse, pertanto, l’approccio scelto da Meta, fondato su informative unilaterali e sull’assenza di silenzio dissenziente, rischia di vanificare questo principio perché si passa da una logica di consenso ex ante a una logica di default inclusivo che obbliga l’utente a un’azione per limitare ciò che è già avviato. Possiamo quindi considerare questa – davvero – una forma di autodeterminazione? La dottrina giuridica più attenta sta già parlando di espropriazione del consenso nei contesti automatizzati e di consenso simulato nei contesti in cui l’alternativa reale è la disconnessione dal servizio. A ciò si aggiunge una riflessione ulteriore: l’articolo 5, par. 1, lett. a) del GDPR stabilisce che ogni trattamento debba essere effettuato in modo lecito, trasparente e corretto, pertanto, quando il meccanismo di opposizione viene inserito in un ecosistema in cui l’utente è di fatto costretto ad accettare un default operativo, il principio di lealtà del trattamento rischia di rimanere lettera morta.
Gdpr: le norme privacy sull’AI di Meta
Non meno rilevante è il fatto che Meta utilizzerà anche le interazioni conversazionali con l’assistente virtuale per migliorare i propri modelli linguistici: siamo senza dubbio davanti a un passaggio cruciale: dalla profilazione reattiva (basata su dati comportamentali passivi) alla profilazione proattiva, fondata sul linguaggio, sulle richieste, sulle intenzioni e persino sulle emozioni manifestate nelle interazioni. Questo tipo di elaborazione pone problemi delicatissimi sotto il profilo dell’art. 22 del GDPR, che tutela contro le decisioni automatizzate basate su profilazione che producano effetti giuridici o simili. Anche se Meta non prende decisioni “vincolanti” sulla base di questi dati, è indubbio che l’interazione con un modello linguistico sofisticato influenzi le scelte e l’esperienza utente, modulando risposte, priorità, contenuti. In termini più generali, si pone un interrogativo sistemico sulla finalità del trattamento (art. 5, par. 1, lett. b) GDPR): l’utilizzo dei dati per “migliorare l’esperienza utente” appare troppo generico per soddisfare i requisiti di specificità e limitazione della finalità, lasciando aperto il rischio di una deriva verso forme di trattamento secondario non dichiarate, difficili da monitorare, e potenzialmente sproporzionate.
In altre parole, l’assistente virtuale non è uno specchio, ma un architetto discorsivo.
Inoltre, le rassicurazioni sul fatto che non vengano utilizzati dati privati né informazioni di minori, sebbene importanti, non eliminano il problema strutturale dell’asimmetria informativa: è opportuno chiarire chel’utente non conosce le logiche di inferenza del modello, né sa esattamente come le sue parole vengono elaborate, memorizzate, aggregate, né può verificare, nella sostanza, se l’opposizione al trattamento venga effettivamente rispettata, dato che l’addestramento dei modelli avviene in ambienti proprietari, privi di trasparenza esterna, è in gioco il principio stesso di controllabilità del trattamento che è uno dei pilastri della tutela europea dei dati personali.
Il richiamo di Meta alla concorrenza – “anche Google e OpenAI già utilizzano dati europei” – è un tentativo di posizionamento legittimo ma fuorviante. È forse superfluo dire che la conformità al GDPR non si fonda sul principio del “così fan tutti”, ma su requisiti oggettivi e verificabili? Per tali ragioni ecco che le associazioni come noyb, fondata da Max Schrems, hanno già contestato la legittimità dell’approccio opt-out, sostenendo che esso viola lo spirito del regolamento europeo e aggiungono, inoltre, che informative via notifica o email non bastano per generare un consenso realmente consapevole e reversibile, soprattutto in contesti dove l’utente è esposto a interfacce persuasive, design opachi e dinamiche di lock-in tecnologico.
Il quadro si complica ulteriormente alla luce del nuovo Regolamento europeo sull’Intelligenza Artificiale (Regolamento UE 2024/1689) che classifica i sistemi di IA in base al livello di rischio e introduce obblighi specifici per trasparenza, sicurezza e governance dei dati. Meta AI non rientra nelle categorie di rischio massimo, ma rappresenta un caso emblematico di IA ad “alto impatto cognitivo”, proprio perché incide sulle modalità comunicative e decisionali dell’utente.
La normativa europea non potrà più limitarsi a una regolazione tecnica dei sistemi: dovrà affrontare anche i profili sostanziali della relazione tra IA e diritti fondamentali, non solo sul piano formale del trattamento, ma su quello sostanziale dell’autonomia e della dignità digitale.
La partita privacy sull’AI è aperta
In questo scenario, la partita sulla privacy non è affatto chiusa: è aperta, fluida, carica di tensioni normative, tecnologiche, geopolitiche. Il modello di governance proposto dall’Europa – fondato su diritti soggettivi, garanzie preventive e trasparenza – è messo alla prova dalla logica funzionale e adattiva delle Big Tech, Meta cerca un compromesso, una “via europea” alla sua AI. Ma il vero compromesso si gioca sul significato stesso della parola consenso, sulla possibilità concreta per ogni cittadino di sapere, scegliere, comprendere e reagire.
Siamo allora sicuri che basti un modulo per garantire la libertà digitale? Siamo certi che un “no” cliccato in fretta equivalga a un “sì” pienamente informato? In una società algoritmica sempre più complessa, possiamo ancora permetterci una concezione individualista e debole del consenso? O dobbiamo, al contrario, iniziare a pensare a forme collettive di controllo sui dati, a una nuova architettura giuridica che superi l’illusione della piena sovranità individuale e affronti finalmente, a livello sistemico, il potere trasformativo dell’IA?
