Utilizzo dei Dati per l'Addestramento dell'IA: le problematiche relative alla Privacy Policy di X

Come ricorderete, il 21 giugno scorso abbiamo presentato un reclamo al Garante della Privacy nei confronti di Linkedin per il modo in cui tratta i dati personali degli utenti per l’addestramento dei suoi sistemi di Intelligenza Artificiale. 

In attesa che la procedura faccia il suo corso, abbiamo analizzato la privacy policy di un altro importante social network, X (una volta conosciuto come Twitter) per scoprire che situazione non è poi tanto differente e, per certi versi, è anche peggiore. 

L'ultimo aggiornamento della privacy policy di X, datato 29 settembre 2023, contiene, infatti, un passaggio cruciale alla sezione 2.1, in cui si afferma che le informazioni raccolte dagli utenti potrebbero essere utilizzate per perfezionare i modelli di machine learning e intelligenza artificiale di X. Questo è l'unico riferimento esplicito alla possibilità di utilizzare i dati degli utenti per tali scopi.

L'informativa non spiega in maniera chiara quale sia la base giuridica del trattamento per l’addestramento dei sistemi di intelligenza artificiale. Solo navigando a fondo nella privacy policy, l'utente può trovare una vaga indicazione che suggerisce che la base giuridica sia il legittimo interesse del titolare del trattamento. 

L’Introduzione di GROK

Dal 16 maggio 2024, X ha introdotto un nuovo servizio chiamato GROK, disponibile per gli utenti premium e premium+, a fronte del pagamento di un canone mensile rispettivamente di € 8,54 e € 17.08. Descritto come un assistente di ricerca AI con un tocco di umorismo e ribellione, GROK promette di migliorare l’esperienza di ricerca degli utenti. Tuttavia, l’uso di dati personali per l’addestramento di GROK non è chiaramente comunicato agli utenti, alimentando ulteriormente le critiche sulla trasparenza di X.

Un Reclamo formale, non senza difficoltà

Il 5 luglio ho formalmente esercitato il diritto di opposizione al trattamento dei miei dati personali per l’addestramento dei modelli di intelligenza artificiale di X. La procedura per esercitare questo diritto si è rivelata estremamente complessa e poco intuitiva, senza un form specifico per tale richiesta. Ho dovuto utilizzare un form generico e confermare la richiesta tramite email: in buona sostanza, nonostante avessi già fatto accesso alla mia utenza e avessi correttamente presentato l’istanza, è stato necessario rispondere all’email per confermare la richiesta, altrimenti la stessa non sarebbe stata trattata. Un modo evidente per disincentivare l’esercizio dei diritti degli utenti. In ogni caso, non ho ricevuto alcun riscontro nei tempi previsti dal GDPR.

Potenziali violazioni del GDPR

A nostro avviso, sussistono diverse violazioni del GDPR da parte di X che abbiamo esposto nel reclamo presentato al Garante:

1. Mancanza di trasparenza e chiarezza: La privacy policy di X non informa adeguatamente gli utenti circa l'utilizzo dei loro dati per il training dei sistemi di machine learning. Le Linee guida 4/2019 dell'EDPB sottolineano che il trattamento dei dati deve essere libero da inganni e tutte le opzioni devono essere presentate in modo neutrale e comprensibile.
2. Mancata minimizzazione dei dati: X raccoglie e tratta un'ampia quantità di dati personali senza limitazioni adeguate. Il principio di minimizzazione richiede che solo i dati necessari per uno specifico scopo siano raccolti. Tuttavia, X non applica tecniche di protezione della privacy come anonimizzazione o pseudonimizzazione.
3. Trattamento di dati particolari senza adeguata base giuridica: X utilizza dati particolari, come quelli relativi a opinioni politiche o orientamenti sessuali, senza una base giuridica appropriata.
4. Inadeguatezza del legittimo interesse come base giuridica: l'articolo 6, paragrafo 1, primo comma, lettera f) del GDPR consente il trattamento dei dati solo se necessario per perseguire un legittimo interesse, a condizione che non prevalgano i diritti e le libertà fondamentali dell'interessato. Nel caso di X, il trattamento dei dati per l'addestramento dei modelli di machine learning non sembra necessario per l'erogazione del servizio, e potrebbe essere meglio gestito attraverso il consenso degli utenti. La Legitimate interests analysis di X risulta inadeguata e fuorviante, poiché afferma che gli utenti possono proteggere o eliminare i loro post, ma la letteratura scientifica ha dimostrato che la cancellazione dei dati è inefficace una volta che i modelli sono stati allenati con essi.
5. Gestione inadeguata del diritto di opposizione: il diritto di opposizione dell'utente è stato gestito in modo complesso e inefficace. Non esiste un modulo specifico per esercitare questo diritto, e l'utente deve rispondere a un’e-mail di conferma per aprire un ticket. Questo processo macchinoso viola il GDPR, che richiede che l'esercizio dei diritti degli interessati sia facilitato.

Richiesta di provvedimenti urgenti

Considerata l’entità delle violazioni e il numero di utenti coinvolti, abbiamo chiesto al Garante un intervento urgente per limitare il trattamento dei dati da parte di X e proteggere i diritti degli utenti. La situazione richiede un'azione rapida per prevenire ulteriori danni e garantire il rispetto della normativa europea sulla protezione dei dati personali.

La vicenda di X mette in luce le sfide sempre crescenti nella gestione dei dati personali nell'era dell'intelligenza artificiale, sottolineando l'importanza di una maggiore trasparenza e responsabilità da parte delle aziende tecnologiche.

Questa battaglia è cruciale. L'uso improprio dei dati personali per l'addestramento dell'IA senza adeguate garanzie può compromettere gravemente i diritti e le libertà degli utenti. Considerando che il trattamento dei dati personali degli utenti italiani da parte di X coinvolge potenzialmente il 10% della popolazione nazionale, l'intervento del Garante è urgente e necessario.

La nostra privacy è un diritto fondamentale che dobbiamo difendere con forza e determinazione.