La nuova versione dell’Informativa sulla privacy di Meta che entra in vigore il 16 giugno 2025 trasforma in modo rilevante e problematico il rapporto tra piattaforme digitali e persone fisiche.
Indice degli argomenti
Le novità sull’informativa privacy di Meta
Aggiornamento sulla Privacy del 16 giugno: le novità
Meta ha annunciato un nuovo aggiornamento della propria informativa sulla privacy, in vigore dal 16 giugno 2025.
L’aggiornamento mira a chiarire meglio come vengono utilizzati i dati raccolti dagli utenti, soprattutto alla luce dell’integrazione crescente dell’intelligenza artificiale (Meta AI) nei prodotti e servizi del gruppo.
Il tema cardine è quindi la privacy in Meta AI.
Secondo Meta, si tratta di una revisione “di trasparenza” e non implica un cambiamento sostanziale nelle pratiche di raccolta dati, ma l’informativa è più esplicita sui trattamenti effettuati, specialmente quelli legati all’apprendimento automatico. E molti esperti sono perplessi su modalità e portata di questi cambiamenti per i diritti degli utenti.
Cosa cambia dal 27 maggio e come tutelarsi
Una modifica rilevante è entrata in vigore il 27 maggio 2025, anticipando il nuovo sistema con cui Meta potrà utilizzare contenuti pubblici condivisi su Facebook e Instagram — inclusi post, commenti e immagini — per addestrare i suoi modelli di intelligenza artificiale generativa.
Questo include anche i dati di interazioni pubbliche con altri utenti. Gli utenti hanno ricevuto notifiche nei giorni precedenti con la possibilità di opporsi, ma molti segnalano che il processo di rifiuto non è immediato né intuitivo. È importante sapere che è possibile inviare un modulo di opposizione tramite la sezione “Privacy Policy” del proprio account.
Informativa supplementare: cosa sapere
Meta ha anche pubblicato una “Informativa supplementare” rivolta agli utenti europei per adeguarsi al Regolamento Generale sulla Protezione dei Dati (GDPR).
Questo documento specifica come vengono trattati i dati raccolti da fonti pubbliche e da interazioni non private. Include anche chiarimenti sul trasferimento di dati verso gli Stati Uniti e altre giurisdizioni, indicando che sono in atto clausole contrattuali standard per garantire la protezione dei dati anche fuori dall’UE.
Aggiornamenti sulle politiche di privacy di Meta
Nel complesso, le politiche di Meta stanno evolvendo verso una maggiore integrazione tra i diversi servizi offerti (Facebook, Instagram, WhatsApp, Threads, ecc.). Questo significa che i dati raccolti in un’app possono essere utilizzati anche nelle altre, con l’obiettivo dichiarato di migliorare l’esperienza utente e la personalizzazione. Tuttavia, ciò comporta anche rischi maggiori di profilazione estesa, contro i quali gli utenti devono essere consapevoli e attivi.
Come Meta raccoglie e utilizza i dati degli utenti
Cosa sono i prodotti di Meta
I “prodotti di Meta” comprendono le app e i servizi di proprietà dell’azienda: Facebook, Instagram, WhatsApp, Messenger, Threads, Meta Quest, e altri strumenti meno noti come i portali per aziende e le API di sviluppo. Ogni volta che un utente interagisce con uno di questi prodotti, vengono raccolti dati che spaziano da semplici click fino a informazioni molto dettagliate come la posizione, i contenuti visualizzati e i tempi di permanenza.
Il ruolo dei motori di ricerca nelle informazioni fornite a Meta
Meta riceve anche dati indirettamente attraverso i motori di ricerca e i siti web che integrano plugin social, pulsanti “mi piace” o strumenti di tracking (come il Pixel di Meta). Questo significa che anche la navigazione al di fuori di Facebook o Instagram può contribuire alla profilazione dell’utente. Ad esempio, una visita a un sito di e-commerce con il pulsante “Condividi su Facebook” può attivare una raccolta dati, anche se non si effettua il click.
Dettagli sui dati raccolti da terzi
Oltre ai dati forniti direttamente dagli utenti e a quelli raccolti tramite i propri strumenti, Meta può ricevere informazioni da partner commerciali e piattaforme terze. Questi includono dati su acquisti online, preferenze di consumo, o attività svolte su app non appartenenti a Meta. Tali dati vengono incrociati con quelli già in possesso dell’azienda per raffinare i profili utente e offrire pubblicità mirata.
L’utilizzo dei dati personali per Meta AI
Una delle novità più discusse riguarda l’uso dei dati personali da parte di Meta AI, la piattaforma di intelligenza artificiale generativa del gruppo. A partire dal 2025, Meta ha cominciato a utilizzare contenuti pubblici condivisi dagli utenti per addestrare i suoi modelli linguistici e visivi. L’obiettivo dichiarato è migliorare le prestazioni dell’assistente Meta AI e delle funzioni di generazione di immagini, testo e video. Tuttavia, l’uso di dati personali in questo contesto ha sollevato perplessità tra giuristi e garanti della privacy in diversi paesi europei.
Le indagini delle autorità europee sulla nuova informativa di Meta
Le nuove condizioni introdotte da Meta per utilizzare i contenuti pubblici degli utenti a fini di addestramento dell’intelligenza artificiale hanno attirato l’attenzione delle autorità europee per la protezione dei dati. In particolare, la Data Protection Commission (DPC) irlandese, autorità capofila per Meta in Europa, è stata sollecitata da diverse controparti europee, tra cui quelle di Germania, Norvegia, Paesi Bassi e Italia, a verificare la conformità delle modifiche al Regolamento generale sulla protezione dei dati (GDPR).
Il punto critico riguarda la base giuridica utilizzata da Meta per trattare i dati a fini di IA. Secondo Meta, il legittimo interesse giustifica questo trattamento, ma molti garanti europei contestano questa interpretazione, ritenendo che l’azienda avrebbe dovuto chiedere il consenso esplicito degli utenti.
Le autorità stanno anche valutando se le notifiche inviate da Meta agli utenti siano sufficientemente chiare e accessibili, e se il processo di opposizione sia davvero efficace. Alcuni garanti hanno già chiesto la sospensione immediata del trattamento, almeno fino al termine delle verifiche.
È possibile che, come già avvenuto in passato, si arrivi a una decisione coordinata a livello europeo tramite il Comitato europeo per la protezione dei dati (EDPB), che potrebbe imporre a Meta delle modifiche obbligatorie alla propria informativa.
Diritti degli utenti rispetto al trattamento dei dati
Gli utenti europei hanno una serie di diritti garantiti dal GDPR, tra cui:
- Diritto di accesso: sapere quali dati vengono raccolti e conservati.
- Diritto di rettifica: correggere dati errati o incompleti.
- Diritto alla cancellazione: richiedere l’eliminazione dei dati.
- Diritto alla portabilità: ottenere i propri dati in un formato leggibile.
- Diritto di opposizione: rifiutare determinati trattamenti, in particolare quelli a fini di marketing o profilazione.
Meta ha predisposto strumenti online per esercitare questi diritti, ma è spesso necessario un intervento manuale e, in alcuni casi, è utile rivolgersi direttamente al Garante per la protezione dei dati personali.
Vedi l’approfondimento qui sotto.
Come opporsi al trattamento dei dati da parte di Meta
Per opporsi all’utilizzo dei propri dati, specialmente in relazione al training di Meta AI, è possibile:
- Accedere alle impostazioni dell’account Facebook o Instagram.
- Cercare la sezione “Privacy Policy” o “Dati personali e AI”.
- Compilare e inviare il modulo di opposizione.
In alternativa, gli utenti possono scrivere direttamente al Data Protection Officer (DPO) di Meta Ireland, citando la normativa GDPR e chiedendo l’interruzione del trattamento dei propri dati a fini di AI o profilazione. È consigliabile conservare una copia di tutte le comunicazioni.
Nuova informativa privacy di Meta: i rischi
Ora chiediamoci quanto tutto questo sia corretto e quali implicazioni abbia per i nostri diritti.
La seconda sezione dell’informativa Meta, aggiornata nel giugno 2025, si inserisce in una traiettoria normativa che modifica profondamente la grammatica del trattamento digitale. La base giuridica del legittimo interesse, impiegata da Meta per giustificare operazioni finalizzate al miglioramento di prodotti e servizi, si afferma come perno interpretativo dell’intero impianto.
Il riferimento all’art. 6, par. 1, lett. f, del GDPR orienta la logica della raccolta verso una struttura che vincola l’azione del titolare a un’autovalutazione interna, destinata a incidere sull’equilibrio tra efficienza operativa e diritti della persona. La personalizzazione, posta al centro della nuova architettura informativa, assume una funzione strutturale in quanto consente di costruire percorsi – utente individualizzati attraverso un’elaborazione predittiva fondata su inferenze costanti, non più limitata all’interazione consapevole.
L’ampliamento semantico della nozione di dato trattato contribuisce a definire una informativa basata sulla presenza, sull’interazione implicita, sul comportamento osservabile.
L’intera dimensione digitale viene interpretata come spazio idoneo alla raccolta, ove ogni segnale prodotto – vocale, visivo, posizionale, contestuale – assume la forma di elemento rilevante. I metadati, i movimenti oculari, le fluttuazioni di rete, la posizione dedotta dagli indirizzi IP, i contenuti visibili su schermi condivisi o sincronizzati, costituiscono segmenti di un profilo ricostruibile. L’interesse del titolare estende così la base giuridica alla dimensione ambientale e relazionale della presenza online, senza necessità di manifestazioni volontarie formalizzate.
La novità testuale più rilevante si rinviene nella descrizione dettagliata delle interazioni con sistemi vocali e intelligenze artificiali. La raccolta di comandi vocali, suoni ambientali e metadati audiovisivi destinati a essere elaborati con finalità predittive o adattive, si radica su una struttura tecnologica intrinsecamente non neutrale, fondata su logiche algoritmiche opache, orientate alla produzione automatica di inferenze comportamentali. Nessun cenno testuale consente di desumere la tracciabilità delle decisioni, né la separazione tra dati conferiti consapevolmente e informazioni desunte attraverso correlazioni interne. In questa direzione, la presenza di sistemi basati su apprendimento automatico, operanti su insiemi dati provenienti anche da soggetti terzi, apre una questione sistemica sulla compatibilità tra trattamento e principio di finalità, la cui violazione compromette la tenuta dogmatica dell’intero impianto garantistico.
La cooperazione tra Meta e soggetti terzi introduce un’ulteriore dimensione dell’informativa. L’interoperabilità con partner esterni produce un flusso informativo non derivato dall’interazione diretta, ma costruito attraverso fonti incrociate, app esterne, dispositivi collegati, ambienti condivisi. L’informazione personale non corrisponde più a un’identità dichiarata, ma si forma a partire da una rete di riferimenti contestuali. Il dato acquisisce natura relazionale, nasce in una connessione e si sviluppa in una correlazione. La soggettività giuridica assume una posizione derivata, non fondata sull’iniziativa, ma sul tracciamento.
L’informativa estende infine il trattamento ai soggetti privi di account, mediante strumenti come cookie, pixel, estensioni di browser e sincronizzazioni applicative. La visibilità tecnica del comportamento, anche fuori dai perimetri formali della piattaforma, riceve legittimazione attraverso criteri interni, basati sulla funzionalità e sulla pertinenza. L’art. 5, par. 1, lett. c, del GDPR viene interpretato in chiave dinamica, secondo una logica in cui la minimizzazione non riduce il volume dei dati trattati, ma orienta il trattamento alla realizzazione di finalità predefinite.
L’insieme di queste modifiche costruisce un ambiente informativo fondato su inferenza, adattamento, previsione. L’informativa non limita il trattamento al dato fornito, ma lo amplia attraverso categorie deduttive, inferenziali, biometriche, contestuali. L’identità digitale, nella sua attuale configurazione, non si definisce mediante l’autodeterminazione, ma si articola nella relazione sistemica con una struttura che apprende, classifica e retroagisce. La protezione dei dati non si esaurisce nella garanzia formale, ma richiede un’interpretazione costituzionale capace di integrare tecnologia, architettura relazionale e tutela dell’autonomia personale.
Gdpr a rischio, quale interesse legittimo
L’affidamento all’interesse legittimo quale fondamento giuridico prevalente del trattamento introduce un punto di tensione tra flessibilità operativa e garanzia sostanziale. Il riferimento all’art. 6, par. 1, lett. f, GDPR presuppone un esercizio concreto di ponderazione, ancorato a un confronto effettivo tra la finalità perseguita e i diritti coinvolti. L’assenza di parametri esplicitamente formulati da parte del titolare non esclude la necessità di una dimostrazione argomentata, tanto più in presenza di trattamenti caratterizzati da profondità analitica, automatizzazione decisionale e accesso a informazioni di natura sensibile o comportamentale. Il diritto fondamentale alla protezione dei dati non si esaurisce nella comunicazione dell’esistenza del trattamento, ma implica la possibilità per l’interessato di comprendere la logica che ne governa la legittimità. In tale prospettiva, l’interesse legittimo acquisisce validità solo nella misura in cui consente una tracciabilità della decisione, anche rispetto a quelle scelte di design normativo che privilegiano forme di generalizzazione e astrazione procedurale.
Il concetto di “interazione”, nella nuova informativa, assume un’estensione che investe ogni forma di contatto, accesso o presenza all’interno dell’ambiente digitale gestito da Meta. L’inclusione di soggetti non autenticati e l’inferenza di relazioni comportamentali attraverso segnali minimi — click, movimenti, permanenze — delineano una concezione relazionale dell’identità digitale, fondata su indizi piuttosto che su consapevolezze. Tale impostazione produce un mutamento nella definizione di “interessato”, che il GDPR, all’art. 4, n. 1, associa alla riferibilità individuale. L’identificabilità, tuttavia, non dipende più dalla presenza di dati anagrafici, bensì dalla capacità del sistema di elaborare connessioni, somiglianze, modelli. In questo senso, la decisione della Corte di giustizia nel caso Schrems II risulta rilevante, non solo per la sua incidenza sui trasferimenti, ma per il suo impianto logico: ogni soggetto tracciabile rientra nel perimetro della protezione, indipendentemente dal riconoscimento formale da parte del sistema.
Privacy differenziale, anonimizzazione
Le tecniche di pseudonimizzazione e anonimizzazione impiegate da Meta assumono rilievo particolare nell’ottica della privacy differenziale. La compatibilità con le linee guida EDPB non si esaurisce nella rimozione di identificatori, ma richiede l’impossibilità sostanziale di ricostruire, anche attraverso inferenze algoritmiche, una corrispondenza tra dato e soggetto. L’intelligenza artificiale, nella sua attitudine predittiva, introduce una capacità di riaggregazione che vanifica, in certi casi, l’effetto separativo delle tecniche dichiarate. La separazione tra dato e identità assume consistenza giuridica solo in presenza di barriere epistemiche che resistono all’analisi computazionale. L’anonimato giuridicamente rilevante richiede dunque un’impossibilità non solo tecnica, ma anche logica di riassociazione individuale.
Il ricorso a trattamenti successivi, destinati a finalità distinte — marketing, sicurezza, personalizzazione — all’interno di una medesima infrastruttura decisionale, interroga la tenuta del principio di limitazione delle finalità. L’art. 5, par. 1, lett. b, GDPR esige una segmentazione precisa degli scopi e una distinzione rigorosa tra base giuridica, tempi di conservazione, criteri di elaborazione. L’assenza di delimitazione produce un effetto di espansione funzionale, in cui il medesimo dato alimenta processi molteplici, non riconducibili a una stessa cornice legittimante. L’assenza di una cesura netta tra i percorsi d’uso attribuisce al trattamento una dimensione polisemica, priva di un vincolo normativo interno. In questa direzione, l’art. 21 della Costituzione e l’art. 10 della CEDU non introducono esclusivamente una riserva di espressione, ma fondano una tutela attiva della sfera informativa, indispensabile per preservare la libertà dal condizionamento anticipato. La profilazione predittiva, in quanto costruzione algoritmica di possibilità future, incide sulla soggettività nella sua fase formativa, intervenendo prima dell’azione, nella predisposizione dei margini di scelta.
Meta AI: i rischi per i nostri diritti
L’identità, sotto questo profilo, rischia di diventare una funzione computata, e il pluralismo un’espressione calcolata.
La retorica della trasparenza, reiterata nel corpo dell’Informativa, si accompagna all’evanescenza di un nodo sostanziale: l’inversione del baricentro tra volontà individuale e prerogative tecnocorporative, segnando, sul piano normativo, una mutazione strutturale del quadro giuridico: il passaggio da un modello centrato sul consenso esplicito a uno in cui la base giuridica del trattamento risiede nel legittimo interesse del titolare.
Tale spostamento, apparentemente neutro, altera l’equilibrio tra garanzie e poteri, introducendo una dilatazione dell’ambito decisionale della piattaforma, che si autoattribuisce la legittimità di processare, aggregare, inferire, incrociare dati sulla base di finalità autocertificate di ottimizzazione, personalizzazione o miglioramento dell’esperienza. L’adozione sistematica di questa base giuridica, pur contemplata dall’art. 6, par. 1, lett. f del GDPR, genera effetti deformanti nel momento in cui viene invocata per legittimare trattamenti su larga scala, ad alta intensità algoritmica e con impatto strutturale sulla libertà informativa delle persone.
Sul piano eurounitario, la giurisprudenza della Corte di Giustizia ha introdotto limiti significativi all’invocabilità dell’interesse legittimo quale fondamento generalizzato del trattamento. Nella sentenza Bundesverband der Verbraucherzentralen (C-252/21), la Corte ha chiarito che tale base giuridica richiede un effettivo bilanciamento tra l’interesse del titolare e i diritti fondamentali dell’interessato, da condurre mediante una valutazione concreta e documentata, capace di dimostrare la prevalenza dell’interesse perseguito rispetto alla lesione potenziale dei diritti coinvolti. Il criterio non assume quindi natura meramente dichiarativa, ma implica un onere argomentativo e probatorio preciso, la cui omissione compromette la legittimità dell’intero trattamento.
Tuttavia, il testo aggiornato da Meta sembra sottacere una valutazione bilanciata. Il riferimento all’interesse legittimo resta privo di contesto, privo di un’esposizione delle ragioni sostanziali, privo di quella struttura argomentativa che consente, in un sistema costituzionale, il controllo diffuso della liceità e della proporzionalità.
