Sommario
Il 17 maggio 2025, l’organizzazione austriaca per la tutela della privacy NOYB (None of Your Business) ha formalmente inviato a Meta una lettera di diffida per bloccare l’uso dei dati personali degli utenti europei nell’addestramento dei suoi modelli di intelligenza artificiale, in particolare della famiglia LLaMA. Secondo NOYB, tale trattamento viola apertamente il Regolamento generale sulla protezione dei dati (GDPR), e il prossimo passo potrebbe essere un’azione collettiva europea da miliardi di euro.
La contesa riguarda la base legale scelta da Meta per il trattamento dei dati personali: invece di richiedere un consenso esplicito (opt-in), l’azienda afferma di poter usare i dati degli utenti in base al cosiddetto “legittimo interesse”, un concetto che – sebbene previsto dal GDPR – non è applicabile, secondo NOYB, in contesti ad alto impatto come l’addestramento AI.
Meta e l’abuso del legittimo interesse: una scorciatoia per evitare il consenso
Per elaborare dati personali a fini di addestramento AI, le aziende devono invocare una delle sei basi giuridiche previste dall’articolo 6 del GDPR. La più sicura e trasparente è il consenso esplicito dell’utente, che deve essere libero, specifico, informato e inequivocabile. Tuttavia, Meta ha optato per la via del “legittimo interesse”, sostenendo che non vi sia la necessità di chiedere un consenso attivo e che sia sufficiente dare all’utente la possibilità di opporsi (opt-out).
Secondo NOYB, questa impostazione è del tutto illegittima, poiché l’addestramento di modelli di intelligenza artificiale con dati personali non soddisfa i criteri stringenti del bilanciamento degli interessi. Inoltre, l’azienda limita persino il diritto di opposizione previsto dall’art. 21 GDPR, sostenendo che esso è valido solo se esercitato prima dell’inizio dell’addestramento. Questo contraddice la stessa struttura del GDPR, che garantisce diritti permanenti e non soggetti a scadenza tecnica arbitraria.
Un pericolo sistemico per i diritti digitali: i modelli open source di Meta non sono revocabili
Altro nodo critico riguarda la natura open source dei modelli AI sviluppati da Meta, come LLaMA. Una volta resi pubblici, questi modelli non possono più essere richiamati o modificati, rendendo di fatto impossibile garantire ai cittadini europei i diritti fondamentali previsti dal GDPR, come il diritto all’oblio, alla rettifica o alla trasparenza sui dati trattati.
NOYB evidenzia che Meta non è in grado di garantire la rimozione selettiva dei dati usati per addestrare questi modelli, e che l’inclusione dei dati europei nei dataset misti con dati extra-UE contamina l’intero modello, rendendo giuridicamente necessario eliminarlo in toto, qualora un tribunale riconoscesse la violazione.
Class action da 200 miliardi di euro all’orizzonte: i calcoli di NOYB
Nel suo comunicato, NOYB spiega che, in qualità di entità qualificata ai sensi della Direttiva UE sui ricorsi collettivi, è in grado di avviare sia azioni cautelari immediate sia class action per danni. Se i tribunali europei confermassero che Meta ha violato il GDPR, l’azienda potrebbe essere obbligata a cancellare i modelli AI già addestrati, e a risarcire milioni di utenti per danni morali non patrimoniali.
Secondo le stime preliminari, con un indennizzo simbolico di 500 euro per ciascuno dei circa 400 milioni di utenti attivi mensili in Europa, l’esposizione potenziale per Meta raggiungerebbe i 200 miliardi di euro. Una cifra enorme, ma non irrealistica, alla luce delle sanzioni già inflitte in passato a big tech come Amazon e Facebook.
Le autorità europee restano in silenzio: il vuoto regolatorio apre la strada a contenziosi senza precedenti
NOYB sottolinea che, nonostante la gravità della situazione, molte autorità nazionali per la protezione dei dati (DPA) si stanno limitando a informare gli utenti su come effettuare l’opt-out, invece di intervenire direttamente contro Meta. Questo atteggiamento passivo sposta la responsabilità dal titolare del trattamento ai cittadini, in aperta contraddizione con i principi fondanti del GDPR.
Meta, dal canto suo, dichiara di aver “coinvolto” le autorità nella discussione sulla legalità dell’uso dei dati personali per l’addestramento AI. Tuttavia, NOYB afferma che nessuna DPA ha fornito un parere positivo vincolante, e che l’azienda sta semplicemente proseguendo per la sua strada senza autorizzazione formale, ignorando i rischi legali.
Una strategia aggressiva: sacrificare la legalità per consolidare la posizione nell’intelligenza artificiale
Secondo Max Schrems, fondatore di NOYB, Meta starebbe tentando di imporre de facto uno standard di trattamento dei dati personali, sfruttando la propria posizione dominante e la mancanza di risposte tempestive da parte delle autorità. L’uso del “legittimo interesse” sarebbe solo una copertura per evitare di dover ottenere milioni di consensi, un’operazione complessa ma necessaria e già adottata da altri attori del settore.
Schrems osserva che modelli AI all’avanguardia come quelli di OpenAI o Mistral sono stati addestrati senza alcun accesso ai dati privati di social network, a dimostrazione che non è affatto necessario utilizzare dati personali per costruire sistemi intelligenti di alto livello. La posizione di Meta, secondo l’avvocato austriaco, è “giuridicamente insostenibile e commercialmente rischiosa”, soprattutto in un contesto normativo europeo sempre più sensibile al tema della privacy.
Il fronte legale si allarga: iniziative parallele in Germania e in altri Paesi UE
Oltre a NOYB, diverse organizzazioni di consumatori, tra cui la Verbraucherzentrale NRW in Germania, hanno annunciato l’intenzione di avviare azioni legali indipendenti contro Meta, sfruttando i meccanismi di tutela collettiva previsti dalla nuova normativa europea.
Queste azioni potrebbero essere depositate in qualsiasi giurisdizione europea, non solo presso la sede irlandese di Meta, facilitando così una risposta coordinata e multipla nei vari ordinamenti nazionali. Nel frattempo, centinaia di utenti singoli potrebbero iniziare a presentare reclami individuali per violazione della privacy, aumentando la pressione giudiziaria sull’azienda.
La battaglia legale per l’AI entra nel vivo e ridefinisce i confini del consenso digitale in Europa
La controversia tra Meta e NOYB sul trattamento dei dati personali per addestrare l’intelligenza artificiale non è solo una questione giuridica, ma un punto di svolta per il futuro dell’etica tecnologica in Europa. La richiesta di NOYB è semplice: rispettare il GDPR e chiedere il consenso esplicito agli utenti, invece di costringerli ad azioni difensive.
Se i tribunali europei dovessero dare ragione all’organizzazione, il precedente creato sarebbe enorme: ogni azienda operante nell’AI dovrebbe rivalutare i propri metodi di raccolta dati, e il concetto di “legittimo interesse” verrebbe drasticamente ridimensionato. Una vittoria di NOYB significherebbe anche la prima vera class action europea nel campo dei dati personali, con implicazioni potenzialmente esplosive per tutte le big tech.
