Dal 30 maggio 2025 Meta, la società proprietaria di Facebook, Instagram e WhatsApp, inizierà a utilizzare i dati personali degli utenti per addestrare i propri sistemi di intelligenza artificiale (IA). È quanto annunciava  il Garante per la protezione dei dati personali in un comunicato di marzo 2025 invitando  tutti a informarsi e, se lo desiderano, a esercitare il diritto di opposizione entro la fine del mese.

L’utilizzo dei dati per l’IA non riguarda solo chi ha un account sui social Meta, ma potenzialmente anche chi non è iscritto, se i propri dati sono stati condivisi da altri utenti. Per questo è importante agire subito, compilando gli appositi moduli messi a disposizione online sulle piattaforme social.

Il termine si avvicina: vediamo piu in dettaglio di cosa si tratta.

Cosa farà Meta con i nostri dati

Meta ha annunciato che userà i contenuti pubblici pubblicati dagli utenti maggiorenni – come post, commenti, foto, didascalie – e anche le informazioni inserite nelle chat con i servizi di IA (ad esempio su WhatsApp), per migliorare i suoi sistemi di intelligenza artificiale. In particolare, questi dati alimenteranno strumenti come il chatbot Meta AI o i modelli linguistici come Llama.

Questo trattamento sarà basato sul “legittimo interesse” di Meta. Tuttavia, il Garante ha sottolineato che il Regolamento europeo (GDPR) riconosce agli utenti il diritto di opporsi a questo uso dei propri dati.

Il Garante ricorda anche che il diritto di opposizione non riguarda solo Meta. Anche altri sistemi di intelligenza artificiale – come quelli sviluppati da OpenAI (ChatGPT), DeepSeek o Google – possono essere soggetti alla stessa regola. È sempre possibile chiedere che i propri dati non vengano utilizzati per addestrare algoritmi.

Opposizione per l’uso dei propri dati sui sociale: cosa fare

Chi non vuole che i propri contenuti vengano utilizzati da Meta per l’IA deve compilare un modulo online che le piattaforme sono obbligate a rendere disponibili, ai seguenti link:

• Per gli utenti Facebook: Modulo opposizione Facebook
• Per gli utenti Instagram: Modulo opposizione Instagram
• Per chi non ha un account ma teme che i propri dati siano presenti: Modulo non utenti

ATTENZIONE : chi esercita l’opposizione entro fine maggio potrà impedire che tutti i propri dati personali vengano usati. 

Chi invece si oppone dopo, riuscirà a bloccare solo l’uso dei dati pubblicati dopo la data dell’opposizione. I dati già raccolti fino a quel momento resteranno a disposizione di Meta per l’addestramento dei suoi sistemi.

Va inoltre  tenuto presente che anche i dati dei non utenti e dei minori sono a rischio: anche chi non è registrato a Facebook o Instagram potrebbe vedere i propri dati coinvolti, se ad esempio appaiono in foto o testi pubblicati da altri. In questo caso si può usare il modulo per i non utenti.

Privacy dei dati e intelligenza artificiale: cosa sta facendo il Garante

Nel frattempo, l’Autorità italiana per la privacy sta collaborando con le altre autorità europee per valutare la legittimità del comportamento di Meta. 

Si punta a capire se esistano le basi legali per un uso così esteso dei dati personali, e se il diritto di opposizione sia davvero garantito in modo semplice, effettivo e completo. In particolare, è stato richiesto a Meta di chiarire anche l’uso delle immagini di minorenni postate da adulti.

In sintesi: chi utilizza Facebook, Instagram o anche solo ha la propria immagine o informazioni online, dovrebbe valutare con attenzione se desidera che i propri dati alimentino i sistemi di intelligenza artificiale. Se la risposta è no, è fondamentale agire entro fine maggio 2025.

Ricordiamo che sul tema  già nel 2023  il Garante aveva  avviato una indagine conoscitiva  e l'anno scorso ha deliberato un provvedimento sui rischi e i possibili interventi per la tutela dei dati.

Lo alleghiamo  qui per maggiore informazione: Web scraping ed intelligenza artificiale generativa: nota informativa e possibili azioni di contrasto

La protezione della privacy dei lavoratori e dei cittadini rimane una priorità assoluta, e le violazioni sono da sanzionare duramente.

Lo evidenzia un nuovo  recente intervento del Garante per la protezione dei dati personali che ha comminato una sanzione da 17 mila euro per il rilascio di un certificato medico che riportava dettagli sul reparto sanitario responsabile della prestazione e per altre inadempienze.

Vediamo ulteriori dettagli nei prossimi paragrafi

Garante privacy no ai dati sulla salute nei certificati medici

Il caso riguardava una paziente  che aveva segnalato una violazione da parte di un’Azienda Sanitaria Territoriale, colpevole di aver rilasciato un certificato medico che indicava dettagli specifici sul reparto ospedaliero dove era stata erogata la prestazione sanitaria. 

Questi dettagli, come il timbro con la specializzazione del medico o il nome della struttura, costituiscono informazioni potenzialmente riconducibili allo stato di salute della persona, in violazione dei principi fondamentali di protezione dei dati personali. 

Il Garante ha sottolineato che i certificati medici destinati a giustificare un’assenza dal lavoro o l’impossibilità di partecipare a un concorso devono contenere esclusivamente le informazioni strettamente necessarie, senza alcun riferimento che possa rivelare la natura delle condizioni di salute. 

Questa violazione ha portato l’Azienda Sanitaria a ricevere una sanzione amministrativa di 17mila euro.

Certificati medici e Privacy by design: un obbligo, non un’opzione

Oltre alla violazione del principio di minimizzazione dei dati, il Garante ha accertato un mancato rispetto del principio di privacy by design.

Questo principio richiede che, fin dalla progettazione di processi e moduli, vengano adottate misure tecniche e organizzative per garantire la protezione dei dati personali. 

Nel caso specifico, l’Azienda non aveva predisposto adeguati accorgimenti per evitare la diffusione di informazioni sensibili nei certificati medici. 

Nonostante l’intervento del Garante abbia portato l’Azienda a modificare i moduli e a formare il personale sul trattamento dei dati, il ritardo nell’adozione di queste misure ha avuto conseguenze gravi: un numero potenzialmente elevato di pazienti è stato coinvolto per un lungo periodo.

 Inoltre, l’Azienda ha aggravato la situazione non rispondendo tempestivamente alle richieste di informazioni da parte dell’Autorità, incorrendo in ulteriori violazioni del Codice della Privacy. 

Questo caso rappresenta un monito per tutte le organizzazioni sanitarie e non , chiamate a garantire non solo la qualità dei servizi  ma anche il pieno rispetto dei diritti alla riservatezza dei cittadini, pena sanzioni rilevanti e danni alla propria reputazione.

Sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti ( su tempi, modalità di lavorazione e  pause)  , senza adeguata informativa,  e uno strumento per l'accesso  al luogo di lavoro tramite riconoscimento facciale. 

Si tratta del provvedimento del Garante Privacy  338 2024 del 6 giugno 2024.

Vediamo il caso in maggiore dettaglio.

Utilizzo software di controllo e riconoscimento facciale: il caso

A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica)  per un presunto illecito trattamento dei dati personali dei dipendenti,  l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.

Il dipendente in particolare evidenziava che erano stati utilizzati  senza un adeguata informativa ai dipendenti :

1. il software "Infinity DMS" per la gestione delle prestazioni lavorative di ciascun lavoratore  e 
2. l'hardware  "X-Face 380" ,  un sistema di riconoscimento facciale,  per il controllo degli accessi sul luogo di lavoro. 

Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.

L'installazione del software considerata  integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale.

Sono state quindi accertate  violazioni  in tema di trattamento dei dati personali   sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679. 

Software di controllo e dati biometrici vietati: la decisione del Garante Privacy

Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo  restrittivo già seguito in casi simili:  tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati  biometrici  che appartengono alle categorie di dati  sensibili . 

L'utilizzo è generalmente vietato, salvo quando sia necessario per adempiere obblighi e esercitare diritti specifici in materia di diritto del lavoro e protezione sociale; questa ipotesi  non si verifica nel caso in questione, mentre è giustificata ad esempio per la  compilazione delle buste paga .

 Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.

Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre  individuale, la registrazione delle  diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale). 

L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.

Ancora piu grave il fatto che  tali informazioni non fossero state comunicate nemmeno ai dipendenti,  considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza

Controllo dipendenti: le sanzioni previste dal Garante Privacy

Alla luce degli elementi sopra indicati e delle valutazioni effettuate,  è stata irrogata la sanzione amministrativa pari ad euro 120.000,00 (centoventimila).

Inoltre in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019,  è stata richiesta la pubblicazione in chiaro  del  provvedimento sul sito Internet del Garante.

Infine il Garante ha richiesto alla Società di comunicare le iniziative intraprese  per

• conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
• cessare  il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.

e di fornire comunque riscontro adeguatamente documentato  entro il termine di 90 giorni dalla data di notifica del provvedimento;

L’eventuale mancato riscontro può comportare l’applicazione della ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.