Come conseguenza del dichiarazione congiunta firmato dai regolatori di una dozzina di organismi internazionali di vigilanza sulla privacy, tra cui l'ICO del Regno Unito, l'OPC del Canada e l'OPCCD di Hong Kong, ha esortato le principali piattaforme di social media a proteggere i post pubblici degli utenti dallo scraping, avvertendo che sono responsabili legalmente per questo nella maggior parte dei mercati.
"Nella maggior parte delle giurisdizioni, le informazioni personali che sono 'pubblicamente disponibili', 'accessibili al pubblico' o 'di natura pubblica' su Internet sono soggette alle leggi sulla privacy e sulla protezione dei dati", commentano. “Pertanto, gli individui e le aziende che raccolgono tali informazioni personali sono responsabili di garantire il rispetto di queste e altre leggi applicabili. Tuttavia, anche le società di social media e gli operatori di altri siti Web che ospitano informazioni personali accessibili al pubblico (SMC e altri siti Web) hanno obblighi di protezione dei dati per quanto riguarda l’estrazione dei dati da parte di terzi dai loro servizi online. Questi obblighi si applicheranno generalmente alle informazioni personali, indipendentemente dal fatto che tali informazioni siano accessibili al pubblico o meno. L’estrazione in massa di dati personali può costituire una violazione dei dati segnalabile in molte giurisdizioni”.
La tempistica della dichiarazione, che è stata firmata anche dai regolatori della privacy di Australia, Svizzera, Norvegia, Nuova Zelanda, Colombia, Jersey, Marocco, Argentina e Messico, tutti membri del gruppo di lavoro per la cooperazione internazionale tra forze dell'ordine della Global Privacy Assembly, coincide con l’attuale clamore attorno ai modelli di intelligenza artificiale generativa, che in genere richiedono grandi quantità di dati per la formazione e potrebbero incoraggiare più entità a esplorare Internet nel tentativo di acquisire set di dati, e saltare sul carro dell’intelligenza artificiale generativa.
Esempi di alto profilo di tali sistemi, come il grande modello linguistico ChatGPT di OpenAI, si sono affidati (almeno in parte) ai dati pubblicati online per addestrare i propri sistemi, e a giugno è stata intentata un'azione legale collettiva contro la società statunitense, che di cui ha riferito CNN Business sostiene di aver segretamente estratto “enormi quantità di dati personali da Internet”.
Tra i rischi per la privacy evidenziati dalle autorità di regolamentazione figurano l’uso del data mining per attacchi informatici mirati come l’ingegneria sociale e il phishing; frode d'identità; e per il tracciamento, la profilazione e la sorveglianza delle persone, come l'utilizzo dei dati per popolare i database di riconoscimento facciale e fornire accesso non autorizzato alle autorità, un duro colpo per Clearview AI, che ha dovuto affrontare una serie di controlli da parte delle autorità di regolamentazione internazionali, tra cui diverse in tutta l'UE, per aver utilizzato dati estratti per alimentare uno strumento di identificazione facciale venduto alle autorità e ad altri utenti.
Avvertono inoltre che i dati estratti potrebbero essere utilizzati per scopi politici o di raccolta di intelligence non autorizzati, anche da parte di governi stranieri o agenzie di intelligence. Inoltre, possono essere utilizzati anche per generare marketing diretto o spam indesiderato.
Non citano direttamente i modelli di addestramento dell'intelligenza artificiale come uno di questi rischi "chiave" per la privacy, ma gli strumenti di intelligenza artificiale generativa che sono stati addestrati sui dati delle persone a loro insaputa o senza il loro consenso potrebbero essere riproposti per molti dei casi. anche per impersonare persone per attacchi informatici mirati, frodi d'identità o per monitorare/sorvegliare persone.
Oltre a rendere pubblica la dichiarazione, le autorità di regolamentazione sottolineano che una copia è stata inviata direttamente alla società madre di YouTube, Alphabet; ByteDance, genitore di TikTok; Meta (proprietario di Instagram, Facebook e Threads); Microsoft (LinkedIn); Sina Corp. (Weibo); e X (ovvero la piattaforma precedentemente nota come Twitter), quindi le principali piattaforme di social media globali sono chiaramente in primo piano mentre gli osservatori internazionali considerano i rischi per la privacy posti dal data mining.
Naturalmente, alcune piattaforme hanno già avuto grossi scandali di dati riguardanti il furto di dati, come lo scandalo sull'uso improprio dei dati di Cambridge Analytics del 2018 che ha colpito Facebook dopo che uno sviluppatore sulla sua piattaforma è stato in grado di estrarre dati da milioni di utenti a loro insaputa o senza il loro consenso, poiché un risultato delle autorizzazioni lassiste applicate dalla società; o la multa da 275 milioni di dollari del Regolamento generale sulla protezione dei dati (GDPR) imposta a Facebook lo scorso anno in relazione a un incidente di data mining che ha colpito 530 milioni di utenti a causa della progettazione non sicura del prodotto. Quest'ultimo incidente è anche oggetto di una causa da parte di un gruppo irlandese per i diritti digitali che contesta la conclusione della DPA secondo cui non vi è stata alcuna violazione della sicurezza.
Sebbene la dichiarazione congiunta delle autorità di regolamentazione contenga un chiaro segnale della necessità di essere proattivi nel proteggere le informazioni degli utenti dallo scraping, non vi è alcun avvertimento proporzionatamente chiaro per accompagnare il messaggio di non agire e proteggere i dati. rischio di diluire in qualche modo l’impatto della dichiarazione.
Invece, i guardiani sollecitano le piattaforme a “considerare attentamente la legalità dei diversi tipi di data mining nelle giurisdizioni che si applicano a loro e ad attuare misure per proteggere dal data mining illegale”.
“Le tecniche per estrarre valore dai dati accessibili al pubblico emergono e si evolvono costantemente. La sicurezza dei dati è una responsabilità dinamica e la vigilanza è fondamentale”, commentano ulteriormente. “Poiché nessuna salvaguardia proteggerà adeguatamente da tutti i potenziali danni alla privacy associati al data mining, le SMC e altri siti Web dovrebbero implementare controlli tecnici e procedurali a più livelli per mitigare i rischi”.
Le misure raccomandate per limitare i rischi di data mining degli utenti menzionati nella lettera includono la designazione di team/ruoli interni focalizzati sui rischi di data mining; "limite tariffario" per il numero di visite all'ora o al giorno da un account ad altri profili di account e limitazione dell'accesso se viene rilevata attività insolita; e monitorare la rapidità e l'aggressività con cui un nuovo account inizia a cercare altri utenti e ad agire per rispondere ad attività anomale.
Suggeriscono inoltre che le piattaforme adottino misure per rilevare gli scraper identificando modelli nell’attività dei bot, ad esempio disponendo di sistemi per rilevare attività sospette sugli indirizzi IP.
Un'altra raccomandazione è l'adozione di misure per rilevare i bot, come l'implementazione del CAPTCHA e il blocco dell'indirizzo IP in cui viene identificata l'attività di data mining. i bot possono risolvere i CAPTCHA, quindi questo consiglio sembra già obsoleto.
Altre misure raccomandate prevedono che le piattaforme intraprendano azioni legali adeguate contro gli scraper, come l'invio di lettere di "cessazione e desistenza"; richiedere la cancellazione delle informazioni cancellate; ottenere conferma della cancellazione; e intraprendere altre azioni legali per far rispettare termini e condizioni che vietano il data mining.
Le piattaforme potrebbero anche essere tenute a informare le persone interessate e le autorità di regolamentazione della privacy ai sensi delle leggi esistenti sulla violazione dei dati, avvertono questi cani da guardia.
I giganti dei social media a cui è stata inviata una copia della lettera sono incoraggiati a rispondere con commenti entro un mese dimostrando come soddisferanno le aspettative delle autorità di regolamentazione.
Alle persone viene chiesto di “pensare a lungo termine”
La lettera include anche alcuni consigli affinché le persone adottino misure per proteggersi dai rischi dello scraping, incluso il suggerimento che gli utenti del web prestino attenzione alle politiche sulla privacy delle piattaforme; riflettere attentamente su ciò che scelgono di condividere online; e utilizzare qualsiasi impostazione che consenta loro di controllare la visibilità dei loro post.
"In definitiva, incoraggiamo le persone a pensare a lungo termine", aggiungono. “Come si sentirebbe una persona anni dopo riguardo alle informazioni che condivide oggi? Sebbene le SMC e altri siti Web possano offrire strumenti per rimuovere o nascondere informazioni, quelle stesse informazioni possono vivere per sempre sul Web se sono state indicizzate o rimosse e quindi condivise”.
La lettera invita inoltre le persone che temono che i loro dati siano stati estratti “illegalmente o in modo improprio” a contattare la piattaforma o il sito in questione e, se non ricevono una risposta soddisfacente, suggerisce di presentare un reclamo all'autorità di protezione dei dati corrispondente. Le autorità di regolamentazione stanno quindi incoraggiando gli utenti a essere più vigili nei confronti dello scraping, che alla fine potrebbe portare a un aumento indagini e controlli in merito la zona.
La dozzina di regolatori internazionali che firmano la dichiarazione congiunta provengono tutti da mercati al di fuori dell’Unione Europea. Ma, come notato sopra, i regolatori della protezione dei dati dell’UE sono già attivi sui rischi del data mining attraverso misure adottate nell’ambito del GDPR del blocco.
Stanno inoltre monitorando da vicino l’evoluzione dei servizi di sicurezza. intelligenza artificiale generativo, quindi le preoccupazioni sollevate nella lettera sembrano ampiamente allineate con le questioni già sul radar delle autorità di protezione dei dati del blocco.
In particolare, all’inizio di quest’anno l’autorità italiana di vigilanza sulla privacy ha imposto a ChatGPT un ordine locale di interruzione dell’elaborazione, causando una breve interruzione del servizio mentre OpenAI si affaccendava con divulgazioni e controlli. Il chatbot Bard AI di Google ha impiegato più tempo per essere lanciato nell'UE rispetto ad altre regioni dopo che il principale regolatore della privacy dell'UE in Irlanda ha sollevato preoccupazioni simili. Ma le autorità di protezione dei dati dell’UE stanno contemporaneamente coordinando il modo migliore per applicare le norme locali sulla protezione dei dati a questi nuovi chatbot basati sull’intelligenza artificiale, anche per quanto riguarda la questione cruciale della legalità del trattamento dei dati utilizzato per addestrare i modelli. Pertanto, le decisioni sulla legalità fondamentale di strumenti come ChatGPT rimangono in sospeso nell’UE.
All'inizio di quest'anno, anche la CNIL, la DPA francese, aveva avvertito che la protezione contro il furto di dati sarà un elemento chiave del piano d'azione sull'intelligenza artificiale annunciato a maggio.
