Meta ha annunciato che dal 27 maggio utilizzerà i dati personali degli utenti di Instagram e Facebook per addestrare i suoi nuovi sistemi di intelligenza artificiale. Invece di chiedere il consenso ai consumatori, Meta si basa su un presunto "interesse legittimo" per risucchiare tutti i dati degli utenti. La nuova direttiva UE sui ricorsi collettivi consente a enti qualificati come noyb di emettere ingiunzioni in tutta l'UE. Come primo passo, noyb ha inviato a Meta una proposta formale di transazione sotto forma di una cosiddetta lettera Cease and Desist. Anche altri gruppi di consumatori si attivano. Se le ingiunzioni vengono presentate e vinte, Meta potrebbe anche essere responsabile dei danni ai consumatori, che potrebbero essere portati avanti in un'azione collettiva separata nell'UE. I danni potrebbero raggiungere i miliardi. In sintesi, Meta potrebbe incorrere in enormi rischi legali solo perché si affida a un sistema di "opt-out" invece che di "opt-in" per l'addestramento dell'intelligenza artificiale.
- noyblettera di cessazione e desistenza a Meta Ireland
- Rapporto Reuters sulla lettera di cessazione e desistenza di noyb
- Comunicato stampa della VZ NRW tedesca sull'ingiunzione preliminare per la Germania
- Dichiarazione grottesca di Meta sull'ingiunzione preliminare della VZ NRW tedesca
- Precedenti reclami noyb contro i piani di formazione AI di Meta
Meta AI non è conforme al GDPR. Per utilizzare i dati personali, le aziende devono soddisfare una delle sei basi giuridiche previste dall'articolo 6(1) del GDPR. Una di queste è il consenso opt-in, il che significa che gli utenti possono scegliere di fornire un "liberamente dato, specifico, informato e inequivocabile" "Sì" al trattamento dei propri dati, oppure di dire no o addirittura di rimanere in silenzio. Tuttavia, le aziende possono anche rivendicare il cosiddetto "interesse legittimo per trattare i dati personali. Un ladro, ad esempio, non acconsentirà a che una telecamera a circuito chiuso lo riprenda, ma una banca può comunque avere un "interesse legittimo" ad avere telecamere a circuito chiuso. Invece di permettere agli utenti di scegliere se dire "Sì" o "No", Meta sostiene di avere un "legittimo interesse" a prendere i loro dati per l'addestramento dell'intelligenza artificiale. Questo lascia agli utenti solo il diritto di opporsi (opt-out) ai sensi dell'articolo 21 del GDPR. Ma Meta limita addirittura questo diritto (legale) affermando che si applica solo se le persone si oppongono prima che la formazione sia iniziata.
Meta probabilmente non sarà in grado di rispettare altri diritti previsti dal GDPR (come il diritto all'oblio, il diritto alla rettifica dei dati errati o l'accesso degli utenti ai propri dati in un sistema di IA). Inoltre, Meta fornisce modelli di IA (come Llama) come software open-source che chiunque può scaricare e utilizzare. Ciò significa che Meta difficilmente può richiamare o aggiornare un modello una volta pubblicato.
Max Schrems: "La Corte di giustizia europea ha già stabilito che Meta non può rivendicare un 'interesse legittimo' nel rivolgersi agli utenti con la pubblicità. Come potrebbe avere un 'interesse legittimo' a risucchiare tutti i dati per l'addestramento dell'intelligenza artificiale? Sebbene la valutazione del "legittimo interesse" sia sempre un test a più fattori, tutti i fattori sembrano puntare nella direzione sbagliata per Meta. Meta dice semplicemente che il suo interesse a fare soldi è più importante dei diritti dei suoi utenti."
Soluzione semplice: Chiedere il consenso agli utenti! Mentre Meta cerca di far credere che la conformità al GDPR renderebbe impossibile la formazione sull'intelligenza artificiale nell'UE (vedi il loro assurdo comunicato stampa per la Germania), la soluzione legale prevista dal GDPR è semplice: Meta dovrebbe semplicemente chiedere agli utenti un consenso (anziché un'obiezione) per utilizzare i loro dati personali per l'addestramento dell'intelligenza artificiale. Dato che Meta ha un numero enorme di utenti, un 10% o più di consenso a tale formazione sarebbe già chiaramente sufficiente per imparare le lingue dell'UE e simili. Se Meta fosse chiara sulle condizioni per l'addestramento (ad esempio, anonimizzazione e simili), è probabile che gli utenti fornirebbero i loro dati. È tuttavia del tutto assurdo sostenere che Meta abbia bisogno dei dati personali di tutti che hanno usato Facebook o Instagram negli ultimi 20 anni per addestrare l'IA. La maggior parte degli altri fornitori di IA (come OpenAI o la francese Mistral) non ha accesso ai dati dei social media e continua a competere con i sistemi di IA di Meta.
Max Schrems: " Questa battaglia riguarda essenzialmente la possibilità di chiedere il consenso alle persone o di prendere i loro dati senza averlo. Meta inizia una battaglia enorme solo per avere un sistema di opt-out invece di un sistema di opt-in. Invece, si basano su un presunto "interesse legittimo" per prendere i dati e fare tutto da soli. Questo non è né legale né necessario. Le assurde affermazioni di Meta, secondo cui rubare i dati personali di tutti è necessario per l'addestramento dell'IA, fanno ridere. Altri fornitori di IA non utilizzano i dati dei social network e generano modelli ancora migliori di Meta."
Provvedimenti ingiuntivi e potenziali azioni collettive. Come entità qualificata ai sensi della nuova direttiva UE sui ricorsi collettivi, noyb può presentare un'ingiunzione per fermare una pratica illegale da parte di un'azienda come Meta. Tali cause possono essere intentate in diverse giurisdizioni, non solo presso la sede centrale di Meta in Irlanda. Se il tribunale competente concede un'ingiunzione, Meta non solo deve interrompere il trattamento, ma deve anche cancellare qualsiasi sistema di intelligenza artificiale addestrato illegalmente. Se i dati dell'UE sono "mescolati" con dati non UE, l'intero modello di intelligenza artificiale dovrà essere cancellato. Qualsiasi ingiunzione bloccherebbe anche il periodo di tempo in cui le persone possono presentare richieste di risarcimento danni ("prescrizione")prescrizione"). Ciò significa che ogni giorno in cui Meta continuerà a utilizzare dati europei per l'addestramento dell'IA, aumenteranno le potenziali richieste di risarcimento danni da parte degli utenti. Il GDPR consente danni non materiali che di solito si aggirano sulle centinaia o migliaia di euro per utente.
Oltre a una semplice ingiunzione, qualsiasi entità qualificata può anche intentare un'azione di risarcimento (simile a una class action statunitense) per recuperare tali danni per grandi gruppi di utenti. noyb o qualsiasi altra Entità Qualificata (vedi elenco attuale dell'UE) avrebbero anni di tempo per intentare tale azione se Meta non cambia rotta. Se il danno morale fosse di soli 500 euro per utente, ammonterebbe a circa 200 miliardi di euro per i circa 400 milioni di utenti Meta attivi mensilmente in Europa.
Max Schrems: "Stiamo valutando le nostre opzioni per presentare ingiunzioni, ma c'è anche l'opzione di una successiva azione collettiva per danni morali. Se si pensa agli oltre 400 milioni di utenti europei di Meta che potrebbero chiedere un risarcimento di soli 500 euro o giù di lì, si possono fare i conti. Siamo molto sorpresi che Meta corra questo rischio solo per evitare di chiedere il consenso agli utenti"
Ingiunzioni in altre giurisdizioni dell'UE. Mentre la reazione alla flagrante violazione del GDPR da parte di Meta si sta sviluppando rapidamente, noyb sa che diversi gruppi nell'UE stanno esaminando le opzioni di contenzioso. Le organizzazioni dei consumatori tedesche (guidate dalla Verbraucherzentrale in North-Rhine-Westphalia, "VZ NRW") hanno già reso pubblica la loro intenzione di agire. È inoltre prevedibile che molti individui possano intentare un'azione legale contro Meta per l'utilizzo dei loro dati per l'addestramento dell'intelligenza artificiale.
Max Schrems: "Ci aspettiamo che l'uso dei dati dei social media per l'addestramento dell'intelligenza artificiale scateni molte controversie in tutta l'UE. Anche solo gestire questo contenzioso sarà un compito enorme per Meta"
Le autorità di protezione dei dati non sembrano approvare. Le autorità nazionali per la protezione dei dati (DPA) dovrebbero - in teoria - intraprendere azioni esecutive contro chi non rispetta il GDPR. Tuttavia, in un clima in cui l'UE spinge per una minore regolamentazione e una maggiore "innovazione" a tutti i costi, osserviamo che le DPA in alcuni Paesi dell'UE fungono in gran parte da messaggeri per Meta: Molte DPA hanno solo "informato" che dovrebbero rinunciare urgentemente all'addestramento dell'intelligenza artificiale di Meta. In questo modo la responsabilità ricade sugli utenti e non su Meta. Meta sostiene inoltre pubblicamente di aver "impegnato" con le autorità di regolamentazione dell'UE sull'uso dei dati dei social media per l'addestramento dell'intelligenza artificiale. Tuttavia, per quanto riguarda noyb è informato, le autorità di protezione dei dati sono rimaste in gran parte in silenzio sulla legalità dell'addestramento dell'IA senza consenso. Sembra quindi che Meta sia andata avanti comunque, correndo un altro enorme rischio legale nell'UE e calpestando i diritti degli utenti.
Max Schrems: "Per quanto abbiamo sentito, Meta si è 'impegnata' con le autorità, ma questo non ha portato ad alcun 'via libera'. Sembra che Meta stia semplicemente andando avanti, ignorando le autorità di protezione dei dati dell'UE. Le autorità a loro volta sembrano rimanere in silenzio, dicendo agli utenti di proteggersi da soli. Stiamo assistendo al fatto che le autorità per la protezione dei dati perdono sempre più importanza e le ONG sono costrette a ricorrere ai tribunali"
