di Cristina Di Silvio
Il Garante Privacy aveva avvertito, anche fornendo maggiori dettagli sui link dove agire per potersi opporre, oggi è l’ultimo giorno, stante lo stesso Garante stia valutando di attivarsi circa l’utilizzo dei dati da parte dell’AI per il suo addestramento.
Sistemi IA e regime dati: la nuova architettura informativa da parte di META
Dal 31 maggio 2025, META Platforms Inc. implementerà un’estensione funzionale del proprio regime di trattamento dati nell’Unione Europea, includendo l’uso dei contenuti generati dagli utenti per il fine esplicito di addestrare modelli di intelligenza artificiale generativa, quali LLaMA e Meta AI. La normativa italiana, sotto la vigilanza dell’Autorità Garante per la Protezione dei Dati Personali, introduce un nuovo quadro operativo e giuridico che impone l’obbligo di informazione trasparente, nonché il rispetto del diritto di opposizione (ex art. 21 GDPR). L’articolo esamina criticamente i profili tecnici, normativi e geopolitici di tale mutamento, evidenziando i rischi sistemici connessi alla concentrazione del potere informativo in architetture private opache.
Quadro Normativo di Riferimento
Il trattamento dei dati personali da parte di META, ai fini dell’addestramento algoritmico dei suoi modelli IA, trova i suoi vincoli regolatori principali nel Regolamento (UE) 2016/679 (GDPR), e, nello specifico, negli articoli: Art. 6(1)(f): legittimo interesse del titolare del trattamento; Art. 13–14: obbligo informativo trasparente; Art. 21: diritto di opposizione. L; Art. 22: profilazione e decisioni automatizzate.
META intende basare il trattamento su un presunto interesse legittimo (e non sul consenso), aprendo un fronte critico con le Autorità Garanti, in particolare in Italia, dove il Garante per la Protezione dei Dati Personali ha richiesto modifiche procedurali sostanziali per rispettare i principi di minimizzazione, necessità e proporzionalità.
Dati coinvolti e finalità algoritmiche
A partire da fine maggio 2025, META raccoglierà e processerà i seguenti insiemi informativi: Contenuti generati dagli utenti (UGC): testi, commenti, immagini, caption pubblicate su Facebook e Instagram da utenti ≥18 anni; Metadati contestuali: timestamp, localizzazione, pattern d’interazione; Input utente su servizi IA: domande poste a Meta AI, conversazioni IA via WhatsApp, Messenger e Instagram DM.
Questi dati verranno utilizzati per alimentare il ciclo di training continuo di modelli LLM (Large Language Models) come LLaMA 3, nonché per il fine tuning di assistenti conversazionali e strumenti generativi multimodali. I dati verranno trattati mediante tecniche di data preprocessing, tokenizzazione, embedding semantico e integrazione in modelli Transformer-based.
L’utilizzo di dati real-world non anonimizzati nei dataset di training comporta rischi elevati di inversione del modello (model inversion attack), memorization leaks e extraction vulnerabilities, con possibile rigenerazione di informazioni personali in output generativi.
Il potere computazionale necessario per addestrare modelli come LLaMA 3 implica che solo attori ad altissima capacità (exascale infrastructure) possano interpretare e sfruttare efficacemente tali dati, creando asimmetrie sistemiche tra entità statali e privati transnazionali.
L’aggregazione e l’analisi dei contenuti digitali da parte di META configurano un rischio di drenaggio informativo dal territorio nazionale verso server e sistemi gestiti ex-USA, senza garanzie operative di data residency o accesso ispettivo per le autorità europee.
Il Garante ha imposto a META l’implementazione di un meccanismo di opposizione semplificata (opt-out), attivabile entro il 31 maggio 2025. Gli utenti possono esercitare il diritto ex art. 21 GDPR compilando appositi moduli online. META è tenuta a garantire il rispetto dell’opposizione per tutti i dati trattati successivamente alla ricezione della richiesta, ma non retroattivamente per dati già integrati nei modelli (salvo ulteriori azioni del Garante).
L’Italia si pone in posizione avanzata rispetto ad altri Paesi membri per la protezione proattiva dei dati nella fase di transizione verso un ecosistema informativo IA-centrico. Tuttavia: L’assenza di interoperabilità tra regolamenti nazionali limita l’efficacia delle misure locali; Il DSA (Digital Services Act) e il DMA (Digital Markets Act) offrono leve integrative, ma non ancora specifiche per i casi di training IA; L’AI Act europeo, in via di attuazione, dovrà prevedere obblighi di auditing, documentazione e data lineage per modelli ad alto impatto.
L’emersione di modelli IA generalisti addestrati su dati non consensuali pone sfide senza precedenti in termini di governance algoritmica, regolazione sovranazionale e diritti digitali. La normativa italiana, pur tempestiva, necessita di strumenti tecnico-giuridici di enforcement più granulari e interoperabili a livello UE. Il caso META rappresenta una soglia critica di trasformazione del paradigma informativo, dalla raccolta di dati per finalità di marketing alla modellazione delle interazioni cognitive e comportamentali. La risposta normativa non può che essere multistrato: tecnica, etica, politica e strategica.