Pubblicate le motivazioni della sentenza tedesca che riconosce il diritto di Meta all’utilizzo dei dati estratti dai contenuti pubblicamente diffusi dai propri clienti. I diritti individuali possono cedere il passo di fronte al legittimo interesse dell’azienda di Andrea Monti – Inizialmente pubblicato su La Repubblica – Italian Tech
Sono finalmente pubbliche le motivazioni della sentenza emessa dall’alta corte di Colonia, che lo scorso 23 maggio 2025 aveva riconosciuto a Meta il diritto di usare i contenuti pubblici resi disponibili dai propri clienti per addestrare modelli di AI, accogliendo la tesi della Big Tech secondo la quale “non esiste un’alternativa ragionevole che Meta possa perseguire per realizzare i propri interessi in modo altrettanto efficace con altri mezzi meno invasivi.”
L’origine della controversia
La sentenza è stata emanata a valle di un’azione legale promossa da un’associazione di consumatori tedesca che lamentava la violazione del diritto alla protezione dei dati personali dei clienti causata dalla scelta di Meta.
Nello specifico, l’associazione aveva accusato Meta di non avere dimostrato che l’utilizzo dei dati dei propri clienti per addestrare un’AI fosse necessario e appropriato secondo il regolamento sulla protezione dei dati personali (GDPR) e che l’attività era vietata perché consisteva anche nel trattamento di dati personali “particolari” —cioè, per esempio, relativi allo stato di salute— senza che si potesse invocare qualche eccezione prevista sempre dal GDPR.
Meta si era difesa sostenendo di avere un “legittimo interesse” all’utilizzo dei contenuti pubblici che circolano sulle proprie piattaforme che è compatibile con il GDPR e di avere adottato una serie di misure che riducevano a un livello accettabile i rischi per i diritti degli individui. In particolare, si legge nella sentenza, Meta ha dichiarato di avere limitato l’uso dei dati a quelli resi pubblici dai clienti, di avere previsto la possibilità di cambiare lo status da pubblico a privato dei contenuti così escludendoli dall’utilizzo, di avere informato i clienti e di avere dato loro una effettiva possibilità di opporsi al trattamento, di avere deidentificato le informazioni relative ai singoli individui, di averle “tokenizzate” (cioè ridotte a valori matematici necessari a consentire al modello di eseguire le operazioni di calcolo) e dunque di averle disaccoppiate dall’identità personale dei singoli, di avere adottato misure di sicurezza in tutto il ciclo di sviluppo del modello.
Nel dare ragione a Meta, il tribunale tedesco ha messo nero su bianco una serie di principi che ridimensionano fortemente l’interpretazione diffusa —anche in Italia— della normativa sulla protezione dei dati personali affermando una serie di principi che valgono anche al di fuori delle questioni relative all’’IA.
Il GDPR tutela anche gli interessi economici e non solo i diritti dell’individuo
“Oltre agli interessi giuridici e ideologici, anche gli interessi economici sono considerati interessi legittimi” scrive la Corte richiamando una sentenza della Corte di giustizia dell’Unione europea, che aveva riconosciuto la rilevanza dell’interesse commerciale di una federazione sportiva alla comunicazione dei dati dei propri atleti.
Inoltre, continua la sentenza “L’anonimizzazione di tali dataset non è praticabile, poiché spesso è difficile ottenere il consenso delle persone interessate con uno sforzo ragionevole. Questa interpretazione riflettere anche la “dualità” delle finalità di protezione del GDPR, che non serve solo a tutelare i dati personali, ma anche a garantire la libera circolazione di tali dati e quindi la loro utilizzabilità.”
Dunque, anche se in realtà è lo stesso regolamento sulla protezione dei dati personali che lo afferma e non ci sarebbe stato bisogno di dirlo, la sentenza precisa che gli interessi delle aziende hanno la stessa dignità dei diritti delle persone. In ancora diversi termini: non esiste una prevalenza “di principio” che impedisce l’utilizzo di dati personali nell’ambito dell’attività economica. L’importante, ribadisce la Corte, è questo utilizzo sia effettivamente necessario e indispensabile per ottenere un risultato lecito, anche se non espressamente previsto dalla legge.
Per capire la portata di questo principio basta pensare alle questioni relative alla conservazione dei dati di traffico internet e dei metadati delle email, a quelle relative all’uso degli analytics o ancora a quelle derivanti dal modello “pay or okay” —o meglio “paga in moneta o paga in dati”. Alla luce di questa sentenza, non è vero che queste attività siano illecite in quanto tali ma ne deve essere verificato, caso per caso, il rapporto fra il “sacrificio” concretamente imposto al cliente e gli obiettivi del fornitore. Se in concreto i rischi per i diritti e le libertà fondamentali della persona sono sufficientemente contenuti, non si può impedire a un’azienda di trattare i relativi dati personali.
I rischi da considerare sono solo quelli direttamente connessi al funzionamento del modello
Un altro principio fondamentale per lo sviluppo dell’IA nell’Unione Europea è quello secondo il quale, nel valutare le conseguenze del trattamento dei dati personali, si devono considerare solo quelle relative all’addestramento dell’IA stessa.
Scrivono sul punto i giudici: “Altre possibili violazioni della legge che potrebbero derivare dal successivo funzionamento dell’IA (come disinformazione, manipolazioni, altre pratiche dannose) non sono attualmente sufficientemente prevedibili e possono essere perseguite separatamente. In ogni caso, è remota la possibilità che tali rischi si concretizzino in misura tale da rendere impossibile l’uso legittimo dell’IA e, in ultima analisi, da mettere in discussione l’adeguatezza del trattamento dei dati.”
Con estrema lucidità i giudici affermano il principio secondo cui per valutare se i dati personali si possono o meno usare per addestrare un’IA, si devono considerare solo le conseguenze dirette derivanti dall’utilizzo dei dati in questione e non il fatto che qualcuno potrebbe utilizzare in futuro il modello per compiere atti illeciti. In questo caso, rileva infatti la corte, si applicano altre norme già vigenti perché, si deduce, il modello di IA è lo strumento con il quale vengono violate le leggi e non l’autore della violazione.
Non serve l’anonimizzazione totale
Altro terreno di scontro fra le parti è stata la deidentificazione tramite eliminazione di dati relativi alle persone, ma sulla permanenza delle foto.
Meta ha ritenuto sufficiente l’avere eliminato dati come nomi completi, indirizzi e-mail, numeri di telefono, numeri di identificazione nazionale, identificativi utente, numeri di carte di credito/debito, numeri di conto bancario/codici bancari, targhe automobilistiche, indirizzi IP e indirizzi postali e a trasformarli i in forma non strutturata e “tokenizzata”. Sul punto, si legge, “Sebbene ciò non escluda che, nonostante la deidentificazione, in singoli casi possa comunque verificarsi un’identificazione, la corte ritiene che queste misure ridurranno complessivamente il rischio”.
L’addestramento di un’AI non è un trattamento mirato a uno specifico individuo
Anche in questo caso è opportuno citare testualmente la sentenza: “lo sviluppo di Large Language Model basati su dataset molto grandi non riguarda solitamente il trattamento mirato di dati personali o l’identificazione di una persona specifica” e ancora “i prerequisiti che consentono il non targeted processing sono sufficientemente soddisfatti dall’obiettivo dell’addestramento dell’IA, che è destinato a creare modelli generali per il calcolo delle probabilità e non alla profilazione di singole persone”, nonché dalle numerose misure di protezione adottate dai convenuti.”
Questo è un passaggio centrale della sentenza perché ribadisce un altro aspetto praticamente mai considerato nell’applicazione (italiana) del GDPR: il regolamento si applica a quei trattamenti che identificano o rendono identificabile una specifica persona e non categorie o gruppi. Quindi, visto che la tokenizzazione dei contenuti dei post diffusi sui social network di Meta è stata realizzata tramite una sufficiente deidentificazione degli individui, i trattamenti dei dati così ottenuti non violano la legge.
Anche in questo caso, le conseguenze pratiche del principio di diritto vanno oltre l’ambito dell’AI perché, per esempio, smentiscono la tesi secondo la quale sarebbero sistematicamente in violazione di legge tutte quelle attività di profilazione eseguite, per esempio, usando tracker, numeri IP o altri strumenti che identificano device o software e non, invece, chi li sta usando.
Un messaggio per la Commissione Europea e le autorità nazionali di protezione dei dati
Come ripetuto più volte, questo processo assume un valore più generale che trascende la questione Meta perché riguarda il rapporto fra i presupposti ideologici della normazione e ricadute industriali dello sviluppo tecnologico.
È abbastanza evidente che nel corso di quasi dieci anni il GDPR sia stato unilateralmente interpretato a discapito dei legittimi interessi di chi fa innovazione, in nome di una feticizzazione della “privacy” (termine peraltro assente nel regolamento europeo).
Dunque, le autorità nazionali di protezione hanno adottato provvedimenti e misure di soft-law che non hanno preso nella dovuta considerazione quanto, invece, il regolamento già prevedeva fin dalla sua emanazione: fino a quando ci si muove nel perimetro della legge non esistono divieti assoluti al trattamento dei dati personali ma bilanciamento di interessi, e il bilanciamento di interessi va verificato caso per caso.
Il GDPR non è certamente perfetto e richiederebbe di essere profondamente ricostruito fin dalle fondamenta, ma questa sentenza dimostra che è possibile interpretarlo in modo ragionevole, prendendo in considerazione anche le norme che tutelano la ricerca e l’impresa.
Non si tratta, per essere chiari, di invocare la “mano libera” per Big Tech o, in generale, per le imprese e dunque di sacrificare la persona sull’altare del profitto, ma non si può fare nemmeno il contrario, in nome di un’ambiguità mai chiarita sul ruolo che le tecnologie dell’informazione possono e devono avere nella trasformare la nostra società.
Questo è il punto che la Commissione Europea dovrebbe considerare nell’adozione degli atti operativi del regolamento sull’AI e nell’individuazione delle modifiche al GDPR delle quali, finalmente, si inizia a parlare.
Possibly Related Posts:
- La nuova legge sull’IA del Giappone ha qualcosa da insegnare a Usa e Ue
- Svolta del Tribunale di Milano: pubblicare le foto dei figli minorenni può essere reato
- Chi risponde degli errori di ChatGPT? Una sentenza USA fa chiarezza (per ora)
- La Corte costituzionale apre la strada al transumanesimo?
- C’è ancora una possibilità per opporsi al trattamento dei dati per addestrare l’IA di Meta