Recentemente, Twitter International (ora ridenominata "X") ha iniziato a utilizzare illegalmente i dati personali di oltre 60 milioni di utenti nell'UE/SEE per addestrare le sue tecnologie di intelligenza artificiale (come "Grok") senza il loro consenso. A differenza di Meta (che recentemente ha dovuto interrompere l'addestramento dell'IA nell'UE), Twitter non ha nemmeno informato i suoi utenti in anticipo. La Commissione irlandese per la protezione dei dati (DPC) si è spinta troppo oltre: La scorsa settimana ha avviato un procedimento giudiziario contro Twitter per bloccare il trattamento illegale, ma il DPC irlandese sembra essersi fermato al di sotto della piena applicazione del GDPR. noyb ora segue con nove reclami.
- Denunce presentate in Austria, Belgio, Francia, Grecia, Irlanda, Italia, Paesi Bassi, Spagna e Polonia
- Verbale della causa DPC contro Twitter in Irlanda
- Notizie sull'azione legale del DPC irlandese
I dati personali di 60 milioni di persone per addestrare l'intelligenza artificiale? Come se Il tentativo fallito di Meta di Meta di utilizzare illegalmente i dati personali delle persone per progetti di IA non fosse un messaggio abbastanza chiaro, Twitter è la prossima azienda statunitense a succhiare i dati degli utenti dell'UE per addestrare l'IA. Twitter ha iniziato ad alimentare in modo irreversibile i dati degli utenti europei con la sua tecnologia di intelligenza artificiale "Grok" nel maggio 2024, senza mai informarli o chiedere il loro consenso.
Il DPC irlandese prende provvedimenti a metà. La palese ignoranza della legge da parte di Twitter ha suscitato una sorprendente risposta da parte del DPC irlandese (notoriamente favorevole alle aziende): l'autorità ha avviato un'azione legale contro Twitter un'azione legale contro Twitter per bloccare il trattamento illegale e imporre un ordine per rendere i suoi sistemi conformi al GDPR. Tuttavia, un'udienza di giovedì scorso ha rivelato che il DPC sembra essersi preoccupato principalmente della cosiddetta "mitigazione"misure di mitigazione" e il fatto che Twitter abbia iniziato il trattamento mentre era ancora in corso un processo di consultazione obbligatoria con il DPC ai sensi dell'articolo 36 del GDPR. Il DPC non sembra occuparsi delle violazioni fondamentali.
Max Schrems, presidente di noyb: "I documenti del tribunale non sono pubblici, ma dall'udienza abbiamo capito che il DPC non ha messo in discussione la legalità del trattamento in sé. Sembra che il DPC fosse interessato alle cosiddette "misure di mitigazione" e alla mancanza di cooperazione da parte di Twitter. Il DPC sembra agire ai margini, ma evita di affrontare il problema centrale"."
noyb chiede un'indagine completa. Già durante la prima udienza, il DPC irlandese si è accordato con Twitter (tramite un cosiddetto "impegno") per sospendere l'ulteriore formazione dell'algoritmo con i dati dell'UE fino a settembre. Non è stata presa alcuna decisione sulla legalità e molte domande rimangono senza risposta. Ad esempio: Cosa è successo con i dati dell'UE che erano già stati inseriti nei sistemi e come può Twitter separare (correttamente) i dati dell'UE da quelli non UE? Per questo motivo, noyb ha presentato un reclamo GDPR alle autorità di protezione dei dati di nove Paesi, per garantire che i problemi legali fondamentali relativi all'addestramento dell'intelligenza artificiale di Twitter siano affrontati in modo completo. Più altre autorità di protezione dei dati dell'UE saranno coinvolte nel procedimento, più alta sarà la pressione sul DPC irlandese affinché segua il suo caso e Twitter si conformi effettivamente alla legge dell'UE.
Max Schrems, presidente di noyb: "Negli ultimi anni abbiamo assistito a innumerevoli casi di applicazione inefficiente e parziale da parte del DPC. Vogliamo assicurarci che Twitter rispetti pienamente la legge dell'Unione europea, che - come minimo - impone di chiedere il consenso agli utenti in questo caso"."
Soluzione semplice: Chiedere agli utenti! Il GDPR dell'UE offre una soluzione semplice per gli utenti che vogliono "donare" i loro dati personali per lo sviluppo dell'IA: basta chiedere agli utenti il loro chiaro consenso a tale trattamento. Se solo un piccolo numero dei 60 milioni di utenti di Twitter acconsentisse all'addestramento dei suoi sistemi di IA, Twitter avrebbe dati di addestramento più che sufficienti per qualsiasi nuovo modello di IA. Ma chiedere il permesso alle persone non è l'approccio attuale di Twitter, che invece si limita a prelevare i dati degli utenti senza informarli o chiedere loro il permesso.
Max Schrems, presidente di noyb: "Le aziende che interagiscono direttamente con gli utenti devono semplicemente mostrare loro un sì/no prima di utilizzare i loro dati. Lo fanno regolarmente per molte altre cose, quindi sarebbe sicuramente possibile anche per l'addestramento dell'intelligenza artificiale."
Gli interessi commerciali prevalgono sui diritti fondamentali degli utenti? Di norma, nell'Unione Europea il trattamento dei dati personali è illegale per impostazione predefinita. Pertanto, per trattare i dati personali, Twitter deve basarsi su una delle sei basi giuridiche previste dall'articolo 6(1) del GDPR. Anche se la scelta più logica sarebbe quella del consenso, Twitter - proprio come Meta - sostiene di avere un "legittimo interesse"legittimo interesse"che prevale sui diritti fondamentali degli utenti. Questo approccio è già stato respinto dalla Corte di giustizia in un caso riguardante l'utilizzo di dati personali da parte di Meta per la pubblicità mirata. Tuttavia, sembra che negli ultimi mesi il DPC irlandese abbia "negoziato" sul "legittimo interesseinteresse legittimolegittimo" in una "consultazioneconsultazione" ai sensi dell'articolo 36 del GDPR.
Max Schrems: "I fatti che ora conosciamo dai procedimenti giudiziari irlandesi indicano che il DPC non ha realmente messo in discussione la questione centrale, ovvero l'acquisizione di tutti quei dati personali senza il consenso degli utenti"."
Informazioni fornite tramite un post "virale" di X. Come già detto, Twitter non ha mai informato in modo proattivo i suoi utenti che i loro dati personali vengono utilizzati per addestrare l'intelligenza artificiale, anche se li inonda di notifiche ogni volta che qualcuno mette "mi piace" o ritwitta i loro post. Al contrario, sembra che la maggior parte delle persone abbia scoperto la nuova impostazione predefinita attraverso un post virale di un utente chiamato '@EasyBakedOven' il 26 luglio 2024, oltre due mesi dopo l'inizio dell'addestramento dell'intelligenza artificiale.
E gli altri diritti del GDPR? Al momento i fornitori di sistemi di intelligenza artificiale sostengono di non essere in grado di rispettare altri requisiti del GDPR, come il diritto all'oblio (articolo 17 del GDPR), una volta che i dati sono stati inseriti nei loro sistemi di intelligenza artificiale. Allo stesso modo, le aziende tendono a sostenere di non poter rispondere alle richieste di ottenere una copia dei dati personali contenuti nei dati di formazione o delle fonti di tali dati (come richiesto dall'articolo 15 del GDPR), né di poter correggere i dati personali inesatti (come richiesto dall'articolo 16 del GDPR). Ciò solleva ulteriori questioni quando si tratta di ingerire senza limiti i dati personali nei sistemi di intelligenza artificiale.
Le violazioni del GDPR su larga scala richiedono una procedura di emergenza. Considerando che Twitter ha già iniziato a trattare i dati delle persone per la sua tecnologia AI e che non c'è sostanzialmente alcuna opzione per rimuovere i dati ingeriti, noyb ha ha richiesto una "procedura d'urgenza" ai sensi dell'articolo 66 del GDPR. Le autorità di protezione dei dati (DPA) di nove Paesi europei (Austria, Belgio, Francia, Grecia, Irlanda, Italia, Paesi Bassi, Polonia e Spagna) hanno ricevuto tale richiesta per conto degli interessati locali. L'articolo 66 autorizza le autorità di protezione dei dati a emettere fermi preliminari in situazioni come quella descritta e consente di prendere una decisione a livello europeo tramite l'EDPB. Il DPC irlandese e Meta Ireland sono già stati oggetto di due "decisioni vincolanti urgenti" da parte dell'EDPB in situazioni simili (si veda la decisione vincolante urgente 01/2023 e la decisione vincolante urgente 01/2021).
Violazione di diverse disposizioni del GDPR. Oltre alla mancanza di una base giuridica valida, è altamente improbabile che Twitter distingua correttamente tra i dati degli utenti dell'UE/SEE e quelli di altri Paesi in cui le persone non godono della protezione del GDPR. Lo stesso vale per i dati sensibili ai sensi dell'articolo 9 del GDPR (per i quali il "interesse legittimo" non è disponibile ai sensi della legge), come i dati che rivelano l'etnia, le opinioni politiche e le credenze religiose, nonché altri dati per i quali un "interesse legittimo" non è disponibileinteresse legittimo" potrebbe teoricamente essere invocato. Con l'introduzione della sua tecnologia AI, Twitter sembra aver violato una serie di altre disposizioni del GDPR, tra cui i principi del GDPR, le regole di trasparenza e le regole operative. In generale, noybelenca violazioni di almeno gli articoli 5, paragrafi 1 e 2, 6, paragrafo 1, 9, paragrafo 1, 12, paragrafi 1 e 2, 13, paragrafi 1 e 2, 17, paragrafo 1, lettera c), 18, paragrafo 1, lettera d), 19, 21, paragrafo 1, e 25 del GDPR.