Il 29 aprile 2025 il Garante per la protezione dei dati personali ha pubblicato un comunicato che, per chi bazzica il mondo della data protection, suona più o meno come l’annuncio dell’arrivo del giorno del giudizio.
Tema del giorno, ma non solo possiamo forse dire tema ricorrente del quinquennio: Meta intende utilizzare i dati personali degli utenti maggiorenni di Facebook e Instagram per addestrare la propria intelligenza artificiale, senza consenso esplicito. Così, come se fosse normale. E magari lo diventerà, se non ci fermiamo un attimo a riflettere.
Sì, perché in un mondo dove “gratis” vuol dire “paghi coi dati”, l’ultima trovata del colosso di Zuckerberg alza l’asticella: non solo ti osservo, ti traccio, ti profilo. Ora ti imparo, e non usato come verbo transitivo. Per approfondire il tema, abbiamo organizzato il corso di formazione Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
Indice
- 1. Cosa ha detto Meta
- 2. L’interesse legittimo secondo Meta: la nuova Arca di Noè dei trattamenti?
- 3. Il Garante non ci sta
- 4. E i minori? Fuori, ma non troppo
- 5. Il consenso non c’è. E nemmeno l’informativa chiara
- 6. Il diritto di opposizione: istruzioni per l’uso
- 7. Una questione europea (e urgente)
- 8. Conclusioni
- Formazione in materia per professionisti
1. Cosa ha detto Meta
Secondo quanto emerso, Meta prevede – a partire dalla fine di maggio – di usare per l’addestramento dei propri modelli IA, inclusi chatbot come Meta AI e modelli linguistici tipo LLaMA, i seguenti dati:
- post pubblici
- commenti
- didascalie
- foto (attenzione!)
- e interazioni con i sistemi IA, come ad esempio l’uso dell’assistente su WhatsApp.
Un banchetto succulento per qualsiasi architettura di apprendimento automatico.
La base giuridica indicata da Meta è l’interesse legittimo e qui l’avvocato che si annida da qualche parte in me, ma soprattutto il DPO, comincia ad agitarsi. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Il Regolamento Europeo sull’Intelligenza Artificiale
Con la diffusione inarrestabile dell’Intelligenza Artificiale nella quotidianità, gli operatori del diritto sono chiamati a interrogarsi sulla capacità dell’attuale tessuto normativo – nazionale, europeo e internazionale – di reggere la forza d’urto dell’IA garantendo al tempo stesso la tutela dei diritti fondamentali a singoli e collettività o, piuttosto, sulla indispensabilità di un nuovo approccio normativo.Il Legislatore europeo è intervenuto dettando la nuova normativa dell’AI ACT, il Regolamento n. 1689/2024, che si muove lungo più direttrici: raggiungere un mercato unico dell’IA, aumentare la fiducia dei consociati, prevenire e mitigarne i rischi e, infine, sostenere anche l’innovazione della medesima IA. In un contesto di così ampio respiro, e in continuo divenire, qual è il ruolo del giurista?Il volume offre al lettore un primo strumento organico approfondito ed esaustivo per mettere a fuoco l’oggetto delle questioni e la soluzione alle stesse come poste dalla normativaeurounionale, dallo stato dell’arte tecnico e giuridico alle problematiche in campo: la proprietà intellettuale, le pratiche di IA proibite, il rapporto con il GDPR e la compliance per l’IA in base al rischio, i nuovi obblighi a carico di imprese, fornitori e utenti. Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics di Roma e Milano, ha insegnato Istituzioni di Diritto Privato presso l’Università Luiss di Roma. Avvocato cassazionista, studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato numerosissimi contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria TripodiGiurista specializzato nella contrattua listica d’impresa, nella disciplina della distribuzione commerciale, nel diritto delle nuove tecnologie e della privacy e la tutela dei consumatori. Già docente presso la LUISS Business School e professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss Guido Carli di Roma. Ha insegnato in numerosi Master post-laurea ed è autore di numerose pubblicazioni con le più importanti case editrici.
Giuseppe Cassano, Enzo Maria Tripodi | Maggioli Editore 2024
89.30 €
2. L’interesse legittimo secondo Meta: la nuova Arca di Noè dei trattamenti?
Non è la prima volta che i colossi tech cercano di usare il “legitimate interest” come grimaldello per giustificare operazioni borderline. Ma qui siamo a un livello superiore: il trattamento ha una finalità nuova e radicalmente diversa da quelle originarie per cui gli utenti avevano fornito i propri dati.
La giurisprudenza europea e le linee guida dell’EDPB (si vedano le WP217 e le Linee guida 06/2020) sono chiarissime: il passaggio a una finalità secondaria, specie se invasiva, non può basarsi semplicemente sull’interesse legittimo, ma richiede una valutazione rigorosa, proporzionata e – soprattutto – comprensibile per l’interessato, in linea con i principi del Regolamento Europeo per la protezione dei dati e in particolare con il principio di limitazione della finalità (art. 5, par. 1, lett. b GDPR).
3. Il Garante non ci sta
Il comunicato del 29 aprile del Garante è un invito all’azione: gli utenti possono opporsi, compilando gli appositi moduli messi a disposizione da Meta. Addirittura, anche i non utenti – le cui immagini, dati o nomi potrebbero essere finiti in contenuti pubblicati da altri – hanno diritto a opporsi. L’addestramento degli algoritmi di Menlo Park, infatti non fa differenza tra i dati degli utenti dei propri social (che per lo meno stanno sui social di loro spontanea volontà) e i dati di colori che invece sui social ci finiscono per caso o obtorto collo, su fotografie e post altrui.
Il riferimento normativo è l’art. 21 GDPR, il diritto di opposizione, spesso ignorato o sottovalutato ma che in questo caso diventa uno scudo fondamentale.
Il Garante ha colto nel segno: il trattamento non è solo problematico sul piano della base giuridica, ma anche e soprattutto su quello dell’effettività del controllo da parte degli interessati. La domanda è: quanti utenti sanno cosa sta succedendo? Quanti riusciranno a compilare quei moduli in tempo? E chi protegge i minori se compaiono in contenuti pubblici di altri?
Potrebbero interessarti anche:
4. E i minori? Fuori, ma non troppo
Meta ha infatti dichiarato che i dati pubblicati dai minori saranno esclusi dal trattamento, il che sembra senza dubbio un bene, ma il comunicato del Garante pone una giusta (e inquietante) osservazione: i minori potrebbero comunque essere presenti nei contenuti pubblicati da utenti maggiorenni, che saranno invece inclusi nell’addestramento e questo è altrettanto fuori di dubbio un meno bene (non vogliamo dire male perché nemmeno demonizzare le innovazioni tecnologiche è corretto).
Il paradosso: un genitore pubblica una foto con il figlio, Meta usa quella foto per “allenare” l’IA. Ma il figlio non ha dato alcun consenso, oltre a essere un minore e quindi in teoria escluso dall’addestramento. Il problema è giuridico, ma anche culturale: continuiamo a postare pensando che “tanto è pubblico”, senza riflettere sulle conseguenze a lungo termine di quel clic.
5. Il consenso non c’è. E nemmeno l’informativa chiara
Il principio di trasparenza (art. 5, par. 1, lett. a e art. 12 GDPR) è ancora una volta vittima del marketing linguistico. Perché se vai a cercare nella policy di Meta una frase che dica chiaramente “utilizzeremo i tuoi post pubblici per addestrare la nostra IA”, potresti metterci un po’.
Le informative sembrano scritte da un algoritmo allenato per confondere. O da un legale interno molto creativo, che cerca il punto di equilibrio tra il “dire tutto” e il “non far capire niente”.
Questo solleva un altro nodo: l’idoneità dell’informativa a rendere consapevole l’interessato, prerequisito fondamentale per qualsiasi trattamento fondato sull’interesse legittimo (secondo l’EDPB e la Corte di Giustizia).
6. Il diritto di opposizione: istruzioni per l’uso
Il Garante ha fatto un’opera meritoria: ha messo a disposizione i link diretti ai moduli di opposizione, distinguendo tra utenti di Facebook, Instagram e non utenti.
Ma attenzione: se si compila il modulo entro la fine di maggio, si blocca l’uso dei dati anche retroattivo. Dopo quella data, il blocco riguarda solo i contenuti futuri.
Una differenza enorme, che crea un senso di urgenza – giustamente – ma che ci dice anche quanto sia fragile il controllo sui nostri dati in un contesto opaco.
7. Una questione europea (e urgente)
Il Garante italiano non è solo: il trattamento annunciato da Meta è all’esame delle altre Autorità europee, nel quadro del meccanismo di cooperazione previsto dal GDPR (artt. 60 ss.).
Il tema centrale è la compatibilità tra le finalità originarie del trattamento e questo nuovo impiego dei dati, cioè l’addestramento di modelli IA generativa. Un salto logico e funzionale che cambia completamente lo scenario, e che probabilmente richiederebbe un consenso esplicito, non certo un “non dire niente e procedere”.
Se non si interviene ora, la prassi potrebbe consolidarsi, e diventare nuova normalità. Un precedente pericoloso per l’intero ecosistema digitale.
8. Conclusioni
L’IA è affamata di dati. Ma il fatto che “servano” non vuol dire che siano lecitamente ottenibili. Questo è il cuore del problema.
Meta, come altri big del digitale, sembra voler giocare sul crinale dell’opacità sistemica, spingendo finché qualcuno non dice “basta”.
A noi, professionisti del diritto, spetta il compito di trasformare questi segnali in consapevolezza diffusa, aiutando cittadini, aziende e pubbliche amministrazioni a comprendere che la protezione dei dati non è un fastidio burocratico, ma una condizione minima di dignità digitale.
In un mondo dove tutto può essere “input”, serve una regola chiara per dire: questo no. Fino a qui, ma non oltre. E il confine sembra sempre allontanarsi di un passo, man mano che ci si avvicina.
Formazione in materia per professionisti
Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
La Direttiva NIS 2 (Direttiva UE 2022/2555) ha l’obiettivo di rafforzare il quadro normativo della cybersecurity, estendendo le misure di sicurezza informatica ad un maggior numero di settori strategici e imponendo obblighi stringenti e sanzioni più severe ai soggetti interessati.
Durante il corso verranno esaminati approfonditamente tutti gli obblighi e i relativi step di adeguamento: quali sono i soggetti obbligati? Come creare un piano di risposta agli incidenti? Cosa fare in caso di attacco informatico? Quali sono i ruoli e le responsabilità nella compliance alla NIS 2?
I partecipanti acquisiranno competenze utili per implementare la conformità alla NIS 2 attraverso una check-list pratica e case studies.
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento