X colpita da nove reclami sulla protezione dei dati dopo aver annunciato che sospenderà parzialmente l'elaborazione dei dati per la formazione dell'intelligenza artificiale
Lunedì (12 agosto) X è stata colpita da nove reclami sulla protezione dei dati in tutta Europa, solo pochi giorni dopo aver annunciato che avrebbe sospeso l'elaborazione dei dati personali di alcuni utenti dell'UE per sviluppare l'intelligenza artificiale (IA).
Il 6 agosto, la Commissione per la protezione dei dati (DPC) irlandese ha richiesto che un tribunale ordinasse alla piattaforma di proprietà di Elon Musk di sospendere o limitare l'elaborazione dei dati personali dai post pubblici degli utenti UE per addestrare Grok. Due giorni dopo, X ha accettato di interrompere l'elaborazione di tali dati raccolti tra il 7 maggio e il 1° agosto, fino a quando il tribunale non avrà deciso sulla richiesta della DPC.
Il DPC irlandese è responsabile della supervisione della conformità di X al Regolamento generale sulla protezione dei dati (GDPR) dell'UE, poiché la sede centrale europea dell'azienda è a Dublino. Grok è sviluppato da xAI, un'azienda fondata da Musk, e utilizzato come assistente di ricerca per gli account premium sulla piattaforma di social media.
Le denunce sono state presentate dall'ONG per i diritti digitali Noyb, fondata dall'influente attivista e avvocato Max Schrems, in Austria, Belgio, Francia, Grecia, Irlanda, Italia, Paesi Bassi, Spagna e Polonia.
Il DPC non è arrivato al nocciolo del problema, ovvero alla legalità del trattamento in sé, ma piuttosto alle misure di mitigazione adottate da X e alla sua cooperazione con le autorità, sulla base delle argomentazioni orali presentate presso l'Alta Corte irlandese, ha sostenuto Noyb in un comunicato stampa di lunedì.
Noyb sta quindi presentando i reclami in modo che le pratiche di X siano completamente esaminate per la conformità al GDPR. Noyb sta richiedendo una procedura d'urgenza, che può includere una decisione del Comitato europeo per la protezione dei dati (EDPB), che supervisiona l'applicazione del regolamento sulla protezione dei dati in tutta l'UE.
Noyb sostiene che X ha violato i principi del GDPR, nonché le norme di trasparenza e operative.
Il gruppo si chiede anche come possa essere attuato il piano di X, poiché non ha chiarito cosa accadrà ai dati UE già inseriti nei sistemi di intelligenza artificiale e come vengono separati i dati UE da quelli non UE.
Domande sul DPC
Negli ultimi anni i sostenitori dei diritti digitali hanno messo in discussione l'efficacia del DPC nell'applicazione del GDPR.
“Abbiamo assistito a innumerevoli casi di applicazione inefficiente e parziale da parte del DPC negli ultimi anni”, ha affermato il presidente e fondatore di Noyb Schrems nel comunicato stampa.
Gli osservatori hanno interpretato il fatto che il DPC abbia portato X in tribunale come un segnale che, sotto una nuova leadership da febbraio, l'autorità sta tracciando una nuova rotta. Questa è stata la prima volta che un'autorità di protezione dei dati di primo piano ha richiesto un ordine del tribunale per sospendere l'elaborazione dei dati di un'azienda, ha affermato il DPC.
Ma Noyb non è convinto. La ONG per i diritti digitali sostiene che coinvolgere più autorità per la protezione dei dati farà pressione sul DPC affinché “segua” il caso e su X affinché rispetti effettivamente il GDPR.
Consenso
Secondo la ONG per i diritti digitali, il DPC sta aggirando la questione centrale, ovvero che X non ha nemmeno chiesto correttamente agli utenti di acconsentire a questo tipo di trattamento dei dati.
X ha modificato la propria politica sulla privacy per includere l'elaborazione dei dati per l'addestramento dell'intelligenza artificiale a settembre 2023.
Secondo quanto riportato dall'Irish Examiner, il giudice incaricato del caso ha affermato che l'elaborazione dei dati degli utenti dell'UE per la formazione di Grok è iniziata il 7 maggio, senza dare agli utenti la possibilità di rinunciare.
Tale misura è stata adottata senza attenuare i rischi precedentemente evidenziati nella valutazione dei rischi effettuata da X, richiesta dalla normativa UE, ha scritto Johnny Ryan, direttore di Enforce presso l'Irish Council for Civil Liberties, in un post su LinkedIn.
Non è chiaro quando il DPC ne sia venuto a conoscenza, ma l'autorità e l'azienda avevano in corso delle trattative a luglio, ha affermato Ryan.
X ha proposto una mitigazione “migliorata” che si applicherebbe il 16 luglio 2024, secondo Ryan. Questa non è stata estesa a tutti gli utenti, secondo Ryan e l'Irish Examiner.
Gli utenti X sono venuti a conoscenza del fatto che i loro dati venivano elaborati attivamente per addestrare l'intelligenza artificiale solo attraverso un post virale il 26 luglio, ha affermato Noyb.
[A cura di Chris Powers]