Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Dopo i reclami di noyb, Meta sospende l’addestramento dell’AI nell’Unione Europea. Quali sono gli scenari futuri?

Stefano Gazzella : 18 Giugno 2024 07:48

Secondo la nuova privacy policy di Meta, a partire dal 26 giugno 2024, i dati personali dei post (e non dei commenti) pubblici degli utenti registrati come maggiorenni saranno impiegati per l’addestramento del modello di AI di Meta. Nell’informativa privacy viene riportato che la base giuridica impiegata per tale attività di trattamento è quella del legittimo interesse.

Per sviluppare e migliorare l’IA di Meta, nell’area geografica europea e nel Regno Unito ci basiamo sul principio degli interessi legittimi per raccogliere ed elaborare le informazioni personali incluse nelle fonti pubblicamente disponibili e concesse in licenza, nonché le informazioni che le persone condividono nei Prodotti e servizi di Meta.

Secondo tale impostazione si prescinde dall’acquisire il consenso degli utenti dovendo solo informare a riguardo gli stessi garantendo però il diritto di opporsi a tale attività di trattamento.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

art. 21 par. 1 GDPR

Si predilige così una logica di opt-in ad una logica di opt-out, molto probabilmente con la scommessa imprenditoriale circa lo scenario futuro di un numero di utenti che non si opporranno alla nuova attività di trattamento sui propri dati personali maggiore rispetto al numero di utenti che avrebbero eventualmente acconsentito alla nuova attività di trattamento proposta.

Le funzioni del Centro sulla Privacy, rispettivamente di Facebook e di Instagram, consentono di esercitare un diritto di opposizione alla raccolta dei propri dati. Sebbene il modulo richieda di indicarne la motivazione, questa non viene sindacata: è infatti sufficiente dire che non si gradisce questo tipo di attività, o che si è infastiditi a riguardo, per avere conferma circa l’accoglimento della propria obiezione.

Molto probabilmente l’indicazione della motivazione della contestazione più che lo svolgimento di una (costosa) operazione di bilanciamento motivo legittimo cogente del singolo secondo una criterio di non prevalenza rispetto al training della AI di Meta, sarà ben più utile per acquisire un feedback da parte dell’utenza che si oppone a questa nuova attività di trattamento. Consentendo così di pianificare future strategie di ingaggio.

La novità è stata accolta in modo piuttosto critico e diffidente, soprattutto da utenti e associazioni più attenti all’aspetto della privacy contestando non solo un’inadeguata trasparenza informativa resa da parte della piattaforma, ma anche alcuni dubbi circa la raccolta di dati rientranti nelle categorie particolari. Questo secondo punto potrebbe essere controverso, dal momento che la condizione di cui all’art. 9 par. 2 lett. e) GDPR contempla i dati personali resi manifestamente pubblici dall’interessato, e il training dell’AI limita la raccolta dei dati solo a questo ambito. Piuttosto, si sarebbe potuto richiedere di pubblicare un estratto della valutazione di legittimo interesse (Legitimate Interest Assessment, o LIA) e della DPIA (Data Protection Impact Assessment), entrambi adempimenti che ben potrebbero rendere un’adeguata informazione all’utenza circa l’impiego dei propri dati personali, i relativi rischi e diritti.

I reclami di noyb e l’intervento della DPA irlandese.

Gli attivisti di noyb hanno inoltrato ben 11 reclami presso altrettante autorità di controllo europee richiedendo provvedimenti d’urgenza per presunte gravi violazioni del GDPR “almeno degli articoli 5(1) e (2), 6(1), 9(1), 12(1) e (2), 13(1) e (2), 17(1)(c), 18(1)(d), 19, 21(1) e 25“. Non è la prima volta che si intraprendano strade di strategic litigation nei confronti di Meta, e un primo obiettivo sembra essere stato raggiungo nel momento in cui l’autorità di controllo irlandese ha reso noto l’intenzione di Meta di sospendere l’addestramento del proprio LLM attraverso i propri servizi all’interno dello SEE.

Max Schrems, uno dei fondatori di noyb, contesta un’apparente resistenza di Meta di richiedere il consenso all’utente adottando un modello di opt-in per le attività di trattamento svolte sui dati personali.

L’impiego del legittimo interesse come base giuridica per l’addestramento di modelli di AI è infatti un tema al vaglio delle autorità di controllo e dell’EDPB, tanto per la sua possibilità di impiego quanto per le eventuali condizioni da dover garantire a salvaguardia dei diritti degli interessati.

Guardando ai possibili scenari futuri, inoltre, non è possibile prescindere anche dal tema dell’impiegabilità di un modello consent-or-pay da parte delle piattaforme per acquisire il consenso degli utenti per l’accesso ai propri servizi e il training della AI. A condizione che venga offerta quella scelta reale ed informata, con la previsione di un corrispettivo equo e un’alternativa equivalente alla fruizione del servizio. Tutti criteri dai contorni così indefiniti dal far sembrare il transito dall’opt-out all’opt-in una vittoria pirrica della privacy.

L’unica certezza è quella resa parafrasando un vecchio adagio d’oltreoceano: there’s no business like personal data business.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...