Slack utilizza i dati degli utenti per addestrare l’AI. Quali problemi per la privacy delle aziende?

Slack utilizza i dati degli utenti per addestrare l’AI, suscitando preoccupazioni sulla privacy aziendale e violazioni del GDPR.

Avatar di Prof. Avv. Fioriglio

a cura di Prof. Avv. Fioriglio

Studio FCLex

Prof. Avv. Gianluigi Fioriglio – Dott.ssa Francesca Gattarello 

Slack è un'applicazione di messaggistica che viene impiegata da più di 12 milioni di utenti giornalmente al fine di organizzare l’attività lavorativa all’interno della propria impresa. Di recente nella community di Slack sono state avanzate proteste, quando si è scoperta che l’applicazione usa i messaggi e i file scambiati per addestrare i suoi modelli di intelligenza artificiale. 

B2B Labs Cybersecurity e ONG: la sfida tra digitale e sicurezza fisica – Intervista a Carola Frediani”
youtube play
Guarda su youtube logo

Utilizzo non consensuale dei dati degli utenti di Slack

La policy di Slack indica chiaramente che, per sviluppare i modelli AI/ML, l’applicazione impiega i dati contenuti nei messaggi scambiati dai clienti. Tuttavia, il fatto ha destato parecchie preoccupazioni negli utilizzatori in quanto l’applicazione non richiede uno specifico consenso all’interessato per l’utilizzo di tali informazioni oltre ad aver previsto il rilascio del consenso a tale trattamento per impostazione predefinita

Inoltre, prevede sempre la policy di Slack, qualora l’utente non voglia prestare il consenso può avviare la procedura di opt-out; in questo caso saranno i titolari della specifica azienda a doversi mettere in contatto con Slack per richiedere questa opzione. 

Sembrerebbe, poi, che l’utilizzo dei messaggi da parte di Slack per addestrare l’AI sia avvenuto senza preventiva comunicazione agli utenti, ciò al fine di evitare che questi ultimi negassero il consenso per tale funzione, se conosciuta in anticipo.

Tutela e trattamento dei dati secondo il GDPR

Quanto realizzato da Slack desta preoccupazioni per la tutela dei diritti degli interessati, poiché è in contrasto con alcuni dei principi fondamentali del GDPR. In primo luogo, essendo l’applicazione utilizzata in ambito aziendale, su di essa vengono condivise informazioni riservate e di natura anche particolare, si pensi all’indicazione di dettagli riguardanti una strategia di marketing o un’importate operazione commerciale. In secondo luogo, il consenso prestato dall’interessato deve sempre essere: 

libero, specifico, informato e ottenuto in maniera chiara. 

L’interessato, infatti, è tenuto a compiere una scelta effettiva e non condizionata sui propri dati personali per consentire allo stesso di svolgere un controllo sui dati che lo riguardano. Proprio per tale ragione, il Titolare del trattamento non può in alcun modo preimpostare il consenso al posto dell’interessato. 

L’introduzione di nuove funzioni di un applicativo deve poi essere accompagnata da una preventiva comunicazione all’interessato, a cui deve seguire un contestuale aggiornamento dell’informativa (trovate qui un articolo di approfondimento), elemento che non è intervenuto nel caso di specie. 

In questo caso, il principio violato è quello della trasparenza (ne avevamo parlato anche qui) in forza del quale, premesso che sia obbligatorio rendere l’informativa agli interessati, quest’ultima deve essere facilmente accessibile e di facile comprensione. Sempre sulla base di tale principio, l’interessato deve essere posto nella condizione di conoscere quali dei suoi dati sono trattati dal Titolare, con quali modalità e per quali finalità. 

La risposta di Slack e della community

Slack è intervenuta prontamente al fine di rassicurare tutti i suoi utenti, precisando che il contenuto dei messaggi non viene scansionato per addestrare l’intelligenza artificiale. Tale comunicazione non ha però sortito l’effetto sperato, in quanto la Community di Slack si è dimostrata parecchio delusa a causa di tale scoperta.

In ogni caso, la problematica dell’utilizzo da parte delle Big Tech potrà essere risolta grazie all’entrata in vigore dell’AI ACT (di cui abbiamo parlato in questo articolo), che prevede numerosi obblighi per le aziende tra i quali quello di garantire la trasparenza del funzionamento dei sistemi di AI nonché implementare misure di sicurezza adeguate per proteggere i dati personali.

Se sei un’azienda e necessiti di supporto in tema di privacy o intelligenza artificiale rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.

Immagine di copertina: zinetron

Leggi altri articoli