La recente comunicazione di LinkedIn relativa all’utilizzo dei dati dei suoi membri, inclusi quelli europei, per l’addestramento dei propri modelli di Intelligenza Artificiale (AI), ha sollevato un’ondata di preoccupazioni. Il punto cruciale non è tanto la tecnologia in sé, quanto la modalità con cui viene gestito il consenso: l’attivazione predefinita con possibilità di opt-out.
Per aziende e professionisti che operano sotto il regime del GDPR, questo evento è un chiaro promemoria: i dati professionali sono dati personali e la loro gestione nell’era dell’AI richiede una vigilanza costante e misure di sicurezza rafforzate.
Il Nodo della Questione: Consenso e Base Giuridica
La decisione di LinkedIn di utilizzare i profili pubblici, i post e l’attività degli utenti per addestrare i sistemi di AI generativa (e, in alcune aree, condividere dati con Microsoft e affiliati per AI non-generativa) solleva immediatamente due questioni fondamentali in ottica GDPR:
1. La Validità del Consenso (Opt-Out vs. Opt-In)
Il GDPR stabilisce che il consenso deve essere libero, specifico, informato e inequivocabile. La prassi dell’opt-out predefinito (dove l’utente deve disattivare attivamente l’impostazione per non far usare i propri dati) è, nella maggior parte dei casi, incompatibile con lo spirito e spesso con la lettera del Regolamento Europeo per finalità di trattamento non strettamente necessarie.
Il Rischio di Conformità: Se un’azienda utilizza dati personali come base per servizi AI, deve assicurarsi che la base giuridica (sia essa consenso esplicito o legittimo interesse) sia solida. Il modello adottato da piattaforme come LinkedIn pone interrogativi sulla validità di tale base.
Irreversibilità: Una volta che i dati personali sono utilizzati per addestrare un modello di AI, è quasi impossibile (o tecnicamente impraticabile) esercitare il diritto alla cancellazione (diritto all’oblio). I dati sono “cotti” nell’algoritmo, rendendo vano il ritiro del consenso per l’addestramento pregresso.
2. Dati Pubblici = Dati Liberi? Assolutamente No.
Molte aziende credono erroneamente che i dati professionali pubblicati su LinkedIn siano esenti dalle regole sulla privacy. Non è così. Un profilo professionale contiene dati identificativi (nome, cognome, storia lavorativa, titoli) che sono a tutti gli effetti Dati Personali e ricadono sotto la protezione del GDPR.
Le Implicazioni per la Tua Azienda: Cybersecurity e Compliance
L’episodio LinkedIn deve servire da stimolo per le aziende a rivedere le proprie politiche interne, soprattutto nell’ottica della Cybersicurezza e della Data Governance.
1. Rischio di Scraping e Data Loss
La notizia sull’uso dei dati per l’AI ha rinfocolato l’interesse per lo scraping (estrazione massiva di dati). Se l’AI ufficiale della piattaforma usa quei dati, lo stesso possono fare bot e malintenzionati per:
Attacchi di Phishing Mirato (Spear Phishing): I dati professionali dettagliati (ruolo, colleghi, progetti) sono la base perfetta per creare email di phishing estremamente credibili dirette al personale aziendale, aumentando il rischio di data breach.
Raccolta di Proprietà Intellettuale: Sebbene LinkedIn escluda alcuni dati sensibili, l’analisi AI può comunque aggregare informazioni sulla roadmap di un’azienda o sui suoi talenti chiave.
2. La Responsabilità nella Formazione AI (BYOD e Dati Aziendali)
Se la tua azienda utilizza modelli di AI esterni (anche attraverso Microsoft Copilot che attinge a dati LinkedIn), devi chiederti:
I dati della nostra azienda finiscono nell’AI? E i nostri dipendenti sono consapevoli di come i loro dati professionali vengono usati fuori dall’ambiente aziendale?
È indispensabile dotarsi di una Data Governance che copra l’uso dell’AI e i dati esterni, con particolare attenzione alle clausole dei fornitori di servizi cloud e AI.
La Nostra Soluzione: Mantenere il Controllo
In un panorama digitale in continua evoluzione, la compliance e la cybersicurezza non sono costi, ma una necessità vitale.
Noi di Exasys ti assistiamo nel:
Validare la Base Giuridica: Analizziamo e strutturiamo la base legale (consenso, legittimo interesse) per l’uso dei dati nei tuoi progetti AI.
Misure Tecniche Organizzative (MTO): Implementiamo misure di sicurezza avanzate per proteggere i tuoi dati, mitigando il rischio di scraping e attacchi derivanti dalla profilazione esterna.
Formazione al Personale: Addestriamo i tuoi dipendenti sui rischi della privacy nel contesto delle piattaforme social professionali e dell’uso dell’AI.
Non lasciare che il tuo business diventi l’algoritmo involontario di qualcun altro. Contattaci per un check-up completo della tua postura di compliance e cybersecurity.