Nei giorni scorsi Meta ha informato milioni di europei che la sua politica sulla privacy sta cambiando ancora una volta. Solo ad un esame più attento dei link contenuti nella notifica è risultato chiaro che l'azienda intende utilizzare anni di post personali, immagini private o dati di tracciamento online per una non meglio definita "tecnologia AI" che può ingerire dati personali da qualsiasi fonte e condividere qualsiasi informazione con non meglio definite "terze parti". Invece di chiedere il consenso degli utenti (opt-in), Meta sostiene di avere un interesse legittimo che prevale sul diritto fondamentale alla protezione dei dati e alla privacy degli utenti europei. Una volta che i loro dati sono stati inseriti nel sistema, gli utenti sembrano non avere alcuna possibilità di rimuoverli ("diritto all'oblio"). noyb ha ora presentato denunce in 11 Paesi europei, chiedendo alle autorità di avviare una procedura d'urgenza per fermare immediatamente questo cambiamento, prima che entri in vigore il 26 giugno 2024.
- 11 reclami (presentati in Austria, Belgio, Francia, Germania, Grecia, Italia, Irlanda, Paesi Bassi, Norvegia (con NCC)*, Polonia e Spagna)
- Panoramica dei (falsi) giri di parole di Meta riguardo a Meta AI
Tutti dati non pubblici per una futura e indefinita "tecnologia AI". A differenza della situazione già problematica delle aziende che utilizzano alcuni dati (pubblici) per addestrare uno specifico sistema di intelligenza artificiale (ad esempio un chatbot), la nuova politica sulla privacy di Meta dice sostanzialmente che l'azienda vuole prendere tutti i dati pubblici e non pubblici degli utenti raccolti dal 2007 e utilizzarli per qualsiasi tipo indefinito di "tecnologia di intelligenza artificiale" attuale e futura. Questo include i molti account "dormienti" di Facebook con cui gli utenti non interagiscono quasi più, ma che contengono ancora enormi quantità di dati personali. Inoltre, Meta afferma di poter raccogliere informazioni aggiuntive da qualsiasi "terza parte" o scrape di dati da fonti online. L'unica eccezione sembra essere quella delle chat tra individui, ma anche le chat con le aziende sono un gioco da ragazzi. Agli utenti non viene fornita alcuna informazione sugli scopi della "tecnologia AI", il che è contrario ai requisiti del GDPR. La politica sulla privacy di Meta consentirebbe in teoria qualsiasi scopo. Questo cambiamento è particolarmente preoccupante perché coinvolge i dati personali di circa 4 miliardi di utenti Meta, che saranno utilizzati per la tecnologia sperimentale in modo essenzialmente illimitato. Almeno gli utenti dell'UE/SEE dovrebbero (in teoria) essere protetti da tali abusi dal GDPR.
Max Schrems: "Meta sta sostanzialmente dicendo che può utilizzare 'qualsiasi dato da qualsiasi fonte per qualsiasi scopo e renderlo disponibile a chiunque nel mondo', purché ciò avvenga tramite la 'tecnologia AI'. Questo è chiaramente l'opposto della conformità al GDPR. "Tecnologia AI" è un termine estremamente ampio. Proprio come "utilizzare i vostri dati nei database", non ha un vero e proprio limite legale. Meta non dice per cosa utilizzerà i dati, quindi potrebbe essere un semplice chatbot, una pubblicità personalizzata estremamente aggressiva o addirittura un drone assassino. Meta dice anche che i dati degli utenti possono essere resi disponibili a qualsiasi 'terza parte', cioè a chiunque nel mondo"
Gli interessi di Meta prevalgono sui diritti degli utenti? Normalmente, il trattamento dei dati personali nell'Unione Europea è illegale per impostazione predefinita. Pertanto, Meta deve basarsi su una delle sei basi giuridiche previste dall'articolo 6(1) del GDPR per trattare i dati personali. Anche se la scelta più logica sarebbe quella del consenso, Meta sostiene ancora una volta di avere un "interesse legittimo" che prevale sui diritti fondamentali degli utenti. Meta ha già sostenuto questa tesi nel contesto dell'utilizzo di tutti i dati personali per la pubblicità, ed è stata respinta dalla Corte di giustizia(cfr. C-252/21). Ora Meta utilizza la stessa base giuridica per giustificare un uso ancora più ampio e aggressivo dei dati personali delle persone.
Max Schrems: "La Corte di giustizia europea ha già chiarito che Meta non ha alcun "interesse legittimo" che possa prevalere sul diritto degli utenti alla protezione dei dati quando si tratta di pubblicità. Eppure l'azienda sta cercando di usare gli stessi argomenti per l'addestramento di una non meglio definita "tecnologia AI". Sembra che Meta stia ancora una volta ignorando palesemente le sentenze della CGUE"
L'obiezione è una farsa. Meta cerca persino di responsabilizzare gli utenti sulla tutela della loro privacy, indirizzandoli verso un modulo di opposizione (opt-out) che gli utenti devono compilare se non vogliono che Meta utilizzi tutti i loro dati. Mentre in teoria l'opt-out potrebbe essere implementato in modo tale da richiedere un solo clic (come il pulsante "unsubscribe" nelle newsletter), Meta rende estremamente complicato opporsi, richiedendo anche ragioni personali. Un'analisi tecnica dei link di opt-out ha persino mostrato che Meta richiede un login per visualizzare una pagina altrimenti pubblica. In totale, Meta richiede a circa 400 milioni di utenti europei di "opporsi", invece di chiedere il loro consenso.
Max Schrems: "Spostare la responsabilità sull'utente è completamente assurdo. La legge impone a Meta di ottenere il consenso, non di fornire un modulo di opt-out nascosto e fuorviante. Se Meta vuole usare i vostri dati, deve chiedere il vostro permesso. Invece, gli utenti devono implorare di essere esclusi. Siamo rimasti particolarmente sorpresi dal fatto che Meta si sia addirittura presa la briga di inserire tonnellate di piccole distrazioni per garantire che solo un numero esiguo di utenti si prenda effettivamente la briga di opporsi"
Il DPC irlandese è complice (ancora una volta). Secondo quanto riportato, questa palese violazione del GDPR si basa (ancora una volta) su un "accordo" con la Commissione irlandese per la protezione dei dati (la DPC è l'autorità di regolamentazione di Meta nell'UE). La DPC ha già avuto un accordo con Meta che ha permesso all'azienda di aggirare il GDPR, conclusosi con una multa di 395 milioni di euro contro Meta dopo che l'European Data Protection Board (EDPB) ha annullato la DPC irlandese.
Max Schrems: "Sembra che la nuova gestione del DPC stia continuando a fare "accordi" illegali con le grandi aziende tecnologiche statunitensi. È sconcertante che il DPC continui a lasciare che l'uso improprio dei dati personali non pubblici di circa 400 milioni di utenti europei non venga controllato"
Scadenza 26 giugno: Richiesta procedura d'urgenza. Dato che l'elaborazione di Meta per una "tecnologia di intelligenza artificiale" non rivelata è già destinata a entrare in vigore il 26 giugno 2024, e Meta sostiene che non vi è alcuna opzione di opt-out in un momento successivo per la rimozione dei dati (come previsto dall'articolo 17 del GDPR e dal "diritto all'oblio"), noyb ha richiesto una "procedura d'urgenza" ai sensi dell'articolo 66 del GDPR. Le autorità di protezione dei dati (DPA) di 11 paesi europei (Austria, Belgio, Francia, Germania, Grecia, Italia, Irlanda, Paesi Bassi, Norvegia, Polonia e Spagna) hanno ricevuto tale richiesta per conto degli interessati locali. L'articolo 66 consente alle autorità di protezione dei dati di emettere fermi preliminari in situazioni come quella descritta sopra e permette di prendere una decisione a livello europeo tramite l'EDPB. Il DPC irlandese e Meta Ireland sono già stati oggetto di due "decisioni vincolanti d'urgenza" da parte dell'EDPB (si veda la decisione vincolante d'urgenza 01/2023 e la decisione vincolante d'urgenza 01/2021) in situazioni simili.
Max Schrems: "Ci auguriamo che le autorità irlandesi agiscano rapidamente e fermino almeno questo progetto per un'indagine completa. L'EDPB ha già emesso due decisioni d'urgenza di questo tipo contro Meta e il Commissario irlandese per la protezione dei dati. È triste vedere che questa misura sembra essere necessaria ancora e ancora"
Ulteriori problemi. Oltre all'assenza di una base legale per l'acquisizione di oltre un decennio di dati degli utenti, Meta ha dichiarato in precedenza di non essere tecnicamente in grado di distinguere tra i dati degli utenti dell'UE/SEE e quelli di altri Paesi in cui non si gode della protezione del GDPR. Meta ha anche affermato di non essere in grado di distinguere tra i dati sensibili ai sensi dell'articolo 9 del GDPR, come l'etnia, le opinioni politiche e le credenze religiose (per i quali l'argomento del "legittimo interesse" non è disponibile ai sensi della legge), e altri dati per i quali si potrebbe teoricamente rivendicare un "legittimo interesse". Con l'introduzione della sua tecnologia AI, Meta sembra aver violato una serie di altre disposizioni del GDPR, tra cui i principi del GDPR, le regole di trasparenza e le regole operative. Complessivamente, le denunce di noyb elencano violazioni almeno degli articoli 5(1) e (2), 6(1), 9(1), 12(1) e (2), 13(1) e (2), 17(1)(c), 18(1)(d), 19, 21(1) e 25 GDPR.
Max Schrems: "Con l'approccio di utilizzare semplicemente qualsiasi dato per qualsiasi scopo per qualsiasi 'tecnologia AI', Meta ha chiaramente abbandonato quasi l'intero quadro del GDPR. Abbiamo contato violazioni di almeno dieci articoli della legge"
I prossimi passi. Le DPA competenti dovranno ora decidere rapidamente se avviare una procedura d'urgenza o trattare i reclami con una procedura normale. Due giorni fa, la DPA norvegese ha già pubblicato un post sul blog sostenendo che è "dubbio" ("tvilsomt") che l'approccio di Meta sia legale. Una procedura d'urgenza potrebbe portare a un rapido divieto provvisorio e a una decisione finale dell'EDPB nel giro di pochi mesi. Sebbene le denunce di oggi siano un primo passo, sembra plausibile che altre organizzazioni seguiranno con ingiunzioni, cause civili o addirittura azioni collettive, se Meta andrà avanti con i suoi piani. Le azioni della noyb contro Meta hanno finora portato a multe amministrative per oltre 1,5 miliardi di euro.
*La denuncia in Norvegia è stata presentata insieme al Consiglio norvegese dei consumatori ("NCC"). Per ulteriori informazioni, consultare il sito www.forbrukerradet.no.
