Meta ha anunciado que, a partir del 27 de mayo, utilizará datos personales de la UE de usuarios de Instagram y Facebook para entrenar sus nuevos sistemas de inteligencia artificial. En lugar de pedir el consentimiento expreso de los consumidores, Meta se basa en un supuesto "interés legítimo" para absorber todos los datos de los usuarios. La nueva Directiva de recurso colectivo de la UE permite a las entidades habilitadas como noyb dictar medidas cautelares en toda la UE. Como primer paso noyb ha enviado a Meta una propuesta formal de acuerdo en forma de carta de cese y desistimiento. Otras asociaciones de consumidores también tomarán medidas. Si se presentan y ganan las acciones de cesación, Meta también puede ser responsable de los daños y perjuicios causados a los consumidores, que podrían ser objeto de otra acción colectiva en la UE. Los daños podrían ascender a miles de millones. En resumen, Meta puede enfrentarse a enormes riesgos legales por el mero hecho de basarse en un sistema de "exclusión voluntaria" en lugar de un sistema de "inclusión voluntaria" para el entrenamiento de la IA.
- noybcarta de cese y desistimiento de noyb a Meta Ireland
- Informe de Reuters sobre la carta de cese y desistimiento de noyb
- Comunicado de prensa de la VZ NRW alemana sobre su requerimiento judicial preliminar para Alemania
- Declaración grotesca de Meta sobre el requerimiento judicial preliminar de la VZ NRW alemana
- Quejas anteriores de noyb contra los planes de formación de IA de Meta
Meta AI no cumple con el GDPR. Para utilizar datos personales, las empresas deben cumplir una de las seis bases jurídicas que establece el artículo 6, apartado 1, del GDPR. Una de ellas es el consentimiento expreso, lo que significa que los usuarios pueden optar por proporcionar un consentimiento "libremente dado, específico, informado e inequívoco" "Sí" al tratamiento de sus datos - o decir que no o incluso permanecer en silencio. Sin embargo, las empresas también pueden alegar un interés legítimo para tratar datos personales. Un ladrón, por ejemplo, no dará su consentimiento para que una cámara de vídeovigilancia le filme, pero un banco puede tener un "interés legítimo" en tener cámaras de vídeovigilancia. En lugar de permitir a los usuarios elegir entre decir "Sí" o "No", Meta alega que tiene ese "interés legítimo" para limitarse a tomar sus datos para el entrenamiento de IA. Esto deja a los usuarios sólo con el derecho a oponerse (opt-out) en virtud del artículo 21 GDPR. Pero Meta incluso está limitando este derecho (legal) al decir que sólo se aplica si las personas optan por no participar antes de que haya comenzado el entrenamiento.
Es probable que Meta tampoco pueda cumplir otros derechos del RGPD (como el derecho al olvido, el derecho a la rectificación de datos incorrectos o a dar a los usuarios acceso a sus datos en un sistema de IA). Además, Meta proporciona modelos de IA (como Llama) como software de código abierto para que cualquiera pueda descargarlo y utilizarlo. Esto significa que Meta difícilmente puede volver a llamar o actualizar un modelo una vez publicado.
Max Schrems: "El Tribunal de Justicia de las Comunidades Europeas ya ha dictaminado que Meta no puede alegar un 'interés legítimo' para dirigirse a los usuarios con publicidad. ¿Cómo va a tener un 'interés legítimo' en succionar todos los datos para el entrenamiento de la IA? Aunque la evaluación del "interés legítimo" es siempre una prueba multifactorial, todos los factores parecen apuntar en la dirección equivocada para Meta. Meta simplemente dice que su interés en ganar dinero es más importante que los derechos de sus usuarios."
Solución sencilla: Pedir el consentimiento de los usuarios Mientras Meta intenta pintar el cuadro de que el cumplimiento del GDPR haría imposible el entrenamiento con IA en la UE (véase su absurdo comunicado de prensa para Alemania), la solución legal bajo el GDPR es simple: Meta solo tendría que pedir a los usuarios un consentimiento opt-in (en lugar de una objeción opt-out) para utilizar sus datos personales para el entrenamiento de IA. Dado que Meta tiene un número masivo de usuarios, el hecho de que un 10 % o más acepte este tipo de formación ya sería claramente suficiente para aprender idiomas de la UE y similares. Si Meta dejara claras las condiciones del entrenamiento (por ejemplo, anonimización y similares), sería probable que los usuarios facilitaran sus datos. Sin embargo, es totalmente absurdo argumentar que Meta necesita los datos personales de todo el mundo que ha usado Facebook o Instagram en los últimos 20 años para entrenar la IA. La mayoría de los demás proveedores de IA (como OpenAI o la francesa Mistral) no tienen ningún acceso a los datos de las redes sociales y aún así superan a los sistemas de IA de Meta.
Max Schrems: " Esta lucha es esencialmente sobre si pedir consentimiento a la gente o simplemente tomar sus datos sin él. Meta inicia una enorme lucha sólo por tener un sistema de exclusión voluntaria en lugar de un sistema de inclusión voluntaria. En lugar de ello, se basan en un supuesto 'interés legítimo' para simplemente tomar los datos y correr con ellos. Esto no es ni legal ni necesario. Las absurdas afirmaciones de Meta de que robar los datos personales de todo el mundo es necesario para el entrenamiento de la IA son irrisorias. Otros proveedores de IA no utilizan datos de redes sociales y generan modelos incluso mejores que los de Meta."
Medidas cautelares y posibles demandas colectivas. Como entidad habilitada en virtud de la nueva Directiva sobre recurso colectivo de la UE, noyb puede interponer una acción de cesación para detener una práctica ilegal de una empresa como Meta. Estos casos pueden presentarse en varias jurisdicciones, no sólo en la sede de Meta en Irlanda. Si el tribunal competente concede la orden judicial, Meta no solo tendría que detener el tratamiento, sino también eliminar cualquier sistema de IA entrenado ilegalmente. Si los datos de la UE están "mezclados" con datos de fuera de la UE, habría que borrar todo el modelo de IA. Cualquier medida cautelar también detendría el plazo de prescripción de las reclamaciones por daños y perjuicios ("prescripción"). Esto significa que cada día que Meta siga utilizando datos europeos para el entrenamiento de IA, aumentarán las posibles reclamaciones por daños y perjuicios de los usuarios. El GDPR permite daños no materiales que suelen ser de cientos o miles por usuario.
Además de un simple requerimiento judicial, cualquier entidad habilitada también puede interponer una acción de resarcimiento (similar a una demanda colectiva estadounidense) para recuperar dichos daños para grandes grupos de usuarios. noyb o cualquier otra entidad habilitada (véase lista actual de la UE) dispondrían de años para interponer dicha acción si Meta no cambia de rumbo. Si el daño moral fuera sólo de 500 euros por usuario, ascendería a unos 200.000 millones de euros para los aproximadamente 400 millones de usuarios activos mensuales de Meta en Europa.
Max Schrems: "Actualmente estamos evaluando nuestras opciones para presentar requerimientos judiciales, pero también existe la opción de una demanda colectiva posterior por daños inmateriales. Si se piensa en los más de 400 millones de usuarios europeos de Meta, que podrían reclamar daños y perjuicios por un importe aproximado de 500 euros, se pueden hacer las cuentas. Nos sorprende mucho que Meta corra este riesgo sólo para evitar pedir el consentimiento de los usuarios"
Medidas cautelares en otras jurisdicciones de la UE. Mientras la reacción a la flagrante violación del GDPR por parte de Meta se desarrolla rápidamente, noyb entiende que varios grupos de la UE están revisando las opciones de litigio. Las organizaciones de consumidores alemanas (encabezadas por la Verbraucherzentrale de Renania del Norte-Westfalia, "VZ NRW") ya han hecho pública su intención de emprender acciones. También es de esperar que muchos particulares emprendan acciones contra Meta por el uso de sus datos para el entrenamiento de IA.
Max Schrems: "Cabe esperar que el uso de los datos de las redes sociales para el entrenamiento de la IA desencadene muchos litigios en toda la UE. Incluso la mera gestión de estos litigios será una tarea ingente para Meta"
Las APD no parecen estar de acuerdo. Las autoridades nacionales de protección de datos (APD) deberían -teóricamente- tomar medidas coercitivas contra el incumplimiento del RGPD. Sin embargo, en un clima en el que la UE está presionando para que haya menos regulación y más "innovación" a cualquier precio, ahora observamos que las APD de algunos países de la UE solo funcionan en gran medida como mensajeras de Meta: Muchas APD se han limitado a "informado" a la gente de que deben excluirse urgentemente de la formación en IA de Meta. De este modo, la responsabilidad recae en los usuarios y no en Meta. Meta también afirma públicamente haber "comprometido" con los reguladores de la UE sobre el uso de datos de redes sociales para el entrenamiento de IA. Sin embargo, según noyb las autoridades de protección de datos guardaron silencio sobre la legalidad del entrenamiento de IA sin consentimiento. Por tanto, parece que Meta siguió adelante de todos modos, asumiendo otro enorme riesgo legal en la UE y pisoteando los derechos de los usuarios.
Max Schrems: "Por lo que hemos oído, Meta se ha 'comprometido' con las autoridades, pero esto no ha llevado a ninguna 'luz verde'. Parece que Meta simplemente sigue adelante e ignora a las Autoridades de Protección de Datos de la UE. Las Autoridades, a su vez, parecen simplemente permanecer en silencio, diciendo a los usuarios que se protejan. Estamos siendo testigos de cómo las autoridades de protección de datos pierden cada vez más relevancia y las ONG tienen que emprender acciones ante los tribunales."
