skip to Main Content

L’utilizzo dei dati utenti per l’addestramento dell’IA: il reclamo di Altroconsumo contro LinkedIn. L’intervista all’Avv. Marco Scialdone

Marco Scialdone, Professore a contratto di Diritto e gestione dei contenuti e dei servizi digitali presso l’Università Europea di Roma, dove è stato vicecoordinatore del master di I livello in «Intelligenza Artificiale: diritto ed etica delle tecnologie emergenti». Dottore di ricerca in categorie giuridiche e tecnologie, nel 2018 è stato nominato dal governo italiano nel gruppo di esperti di alto livello sull’Intelligenza Artificiale e dal 2019 al 2024 ha fatto parte del comitato consultivo permanente italiano per i diritti d’autore.

È membro dell’advisory board del NOVA Ipsi knowledge center presso la Nova School of Law di Lisbona e dell’editorial board del Metaverse and Digital Trasformation Journal. Già avvocato cassazionista, attualmente è Head of Litigation & Academic Outreach presso Euroconsumers, principale gruppo internazionale di organizzazioni di consumatori che unisce Test-Aankoop/Test-Achats (Belgio), Altroconsumo (Italia), DECOProteste (Portogallo), OCU (Spagna), Proteste (Brasile). È autore di numerose pubblicazioni sul rapporto tra diritto ed informatica.

 

l’Avv. Marco Scialdone

 

Nelle ultime settimane si sono moltiplicate le attenzioni delle autorità di protezione dei dati personali in Europa sull’uso dei dati degli utenti per l’addestramento dei sistemi di intelligenza artificiale generativa, come nel caso LinkedIn utilizza i dati degli utenti per addestrare la sua IA. Il reclamo di Altroconsumo. Perché Altroconsumo, affiliata italiana del gruppo Euroconsumers, ha deciso di presentare un reclamo nei confronti di Linkedin?

Recentemente c’è stata grande enfasi mediatica attorno all’iniziativa, annunciata e poi sospesa, da parte di Meta di utilizzare i dati degli utenti di Facebook ed Instagram (con la sola esclusione dei messaggi privati) per addestrare i propri sistemi di intelligenza artificiale.

Sono state sollevate obiezioni sul grado di consapevolezza degli utenti in merito ad una simile scelta, sulla possibilità di comprenderne fino in fondo le conseguenze, sulla difficoltà di esercitare il diritto di opposizione con riferimento a tale, ulteriore, trattamento dei propri dati personali.

Abbiamo così deciso di analizzare la privacy policy degli altri social network per capire come stessero le cose. In particolare, analizzando quella di Linkedin abbiamo notato qualcosa che era sfuggita ai più.

A partire dal 6 marzo 2024 ogni foto, informazione personale, post, invito, commento e finanche i messaggi privati tra utenti vengono utilizzati per addestrare gli strumenti di intelligenza artificiale generativa di LinkedIn, senza alcuna limitazione sulla tipologia di dati, né alcun filtro relativo ai dati sensibili (“Categorie particolari di dati”, per utilizzare il linguaggio del GDPR).

 

Linkedin aveva informato gli utenti di questo cambiamento?

Non in modo trasparente. La privacy policy non contiene nel primo livello informativo alcun riferimento all’addestramento di sistemi di intelligenza artificiale generativa. Soltanto laddove l’utente scelga di visualizzare uno dei link (“per saperne di più”) contenuti al punto 5.3 (“Fondamenti legali per il trattamento dei dati”) può visualizzare la pagina “Trattamento dei dati da parte di LinkedIn sulla base di interessi legittimi” e da lì, con un paio di ulteriori passaggi, si viene a conoscenza  dell’amplissima quantità di dati personali che viene utilizzata per addestrate i sistemi di intelligenza artificiale generativa. Peraltro, LinkedIn ha recentemente presentato nuove funzionalità di intelligenza artificiale progettate per eseguire attività che vanno oltre quelle di un normale chatbot e che saranno rese disponibili agli abbonati Premium della piattaforma. Dunque, Linkedin utilizza, senza alcuna trasparenza, i dati dei suoi utenti per addestrare i sistemi di AI che poi rivende come servizi premium.

 

Un quadro decisamente complesso. Cosa avete evidenziato nel vostro reclamo e cosa vi aspettate?

Nel nostro reclamo abbiamo contestato quelle che a nostro avviso rappresentano palesi violazioni del GDPR: in primo luogo, come sopra accennato, la violazione del principio di trasparenza che richiede che l’interessato sia pienamente consapevole del trattamento di qualsiasi dato personale che lo riguarda.

In secondo luogo, la violazione del principio di minimizzazione considerata la sterminata quantità di dati che vengono usati per l’addestramento e l’assenza totale di cautele per evitare che i c.d. dati sensibili finiscano all’interno del predetto processo.

In terzo luogo, l’inadeguatezza del legittimo interesse come base giuridica: noi riteniamo, infatti, che non sia soddisfatta la condizione attinente alla necessità del trattamento la quale deve essere esaminata unitamente al principio di minimizzazione.

Nel caso di cui trattasi, giacché i dati riguardano unicamente utenti iscritti al social network e il trattamento non è necessario per l’erogazione del servizio, la medesima finalità può essere perseguita in modo più ragionevole ed efficace avvalendosi di altra base giuridica, ovverosia il consenso dell’interessato.

Invero, è d’uopo sospettare che la scelta operata da Linkedin, lungi dall’essere quella più in linea con il GDPR, sia stata dettata unicamente dalla volontà di “rastrellare” quanti più dati possibili, senza correre il rischio di affrontare il diniego da parte degli interessati.

A questo punto ci aspettiamo che il Garante Privacy, da sempre attento alle questioni inerenti al rapporto tra intelligenza artificiale e protezione dei dati, voglia aprire un’istruttoria ed interessare la leading authority irlandese affinché possa essere ripristinata la legalità e gli utenti ricevano le tutele loro accordate dal GDPR.

 

 

Back To Top