Lo strumento di tracciamento dei clic del mouse dei dipendenti di Meta sta raccogliendo dati dell'UE che ha dichiarato di non raccogliere.

      I documenti interni mostrano che l'Iniziativa per la Capacità del Modello cattura le email e le chat che i dipendenti statunitensi scambiano con i colleghi europei, mettendo il programma di formazione degli agenti AI su una rotta di collisione con il GDPR.

      L'Iniziativa per la Capacità del Modello di Meta, il programma di sorveglianza che ha implementato sui posti di lavoro dei dipendenti statunitensi ad aprile per catturare le sequenze di tasti, i clic del mouse e i contenuti dello schermo per la formazione degli agenti AI, sta raccogliendo sostanzialmente più dati dei dipendenti europei di quanto Meta abbia pubblicamente riconosciuto, secondo un'esclusiva di Reuters di giovedì che cita documenti interni di Meta.

      Gli avvocati per la privacy di NOYB, con sede a Vienna, sostengono che l'architettura così documentata mette Meta su una rotta di collisione con il GDPR.

      Il problema strutturale è uno di ambito. Meta ha costantemente detto al personale, ai regolatori e al pubblico che l'MCI funziona solo su macchine di lavoro basate negli Stati Uniti e non sorveglia i dipendenti europei.

      Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      La Commissione irlandese per la protezione dei dati, il principale supervisore della privacy dell'UE di Meta ai sensi del GDPR, è stata informata della stessa cosa. Tuttavia, i documenti interni esaminati da Reuters mostrano che l'MCI cattura il contenuto di qualsiasi email o messaggio inviato o ricevuto da un dipendente Meta con sede negli Stati Uniti, indipendentemente da dove si trovi l'altra parte.

      Ogni chat che un lavoratore Meta in California ha con un collega Meta a Dublino, Parigi o Monaco viene quindi assimilata nel pipeline di formazione. Ogni email che un account manager con sede negli Stati Uniti invia a un cliente europeo viene, sulla stessa architettura, catturata.

      Il quadro legale è la parte che conta. Il principio di limitazione dello scopo del GDPR stabilisce che i dati personali raccolti per uno scopo, in questo caso la comunicazione sul posto di lavoro nell'ambito di un contratto di lavoro, non possono successivamente essere riutilizzati per un fine non correlato, in questo caso la formazione di un modello AI all'avanguardia.

      La formulazione di NOYB del caso, riassunta in una dichiarazione a Reuters, è che "prendere la chat di un dipendente e assimilarla in un modello AI è incompatibile con lo scopo iniziale" per il quale il messaggio è stato inviato.

      L'argomento del riutilizzo non richiede che Meta stia attivamente monitorando i dipendenti europei; il semplice fatto che i dati personali europei vengano incorporati nel set di addestramento è, secondo l'interpretazione di NOYB, la violazione del GDPR.

      Il caso si inserisce in una relazione già tesa tra Meta e l'UE. La Commissione Europea ha estratto impegni di consenso degli utenti sulla pubblicità mirata da Meta l'anno scorso.

      La Corte di Giustizia dell'UE ha emesso una sentenza contro Meta in un caso di pagamento di editori italiani nel 2024, e l'azienda sta attualmente contestando Ofcom nella High Court del Regno Unito riguardo alle tasse della Legge sulla Sicurezza Online.

      NOYB ha richiesto separatamente che 11 autorità europee per la protezione dei dati fermino Meta dall'utilizzare dati personali per la formazione AI. Pertanto, il caso MCI non è la prima battaglia per la privacy di Meta riguardante la formazione AI in Europa, ma è la prima in cui la battaglia per la privacy coinvolge i dipendenti stessi dell'azienda piuttosto che gli utenti dei suoi prodotti di consumo.

      La logica commerciale sottostante merita anche una pausa. L'MCI si inserisce all'interno del programma più ampio di Meta chiamato Agent Transformation Accelerator, gestito dai Meta SuperIntelligence Labs e mirato a formare la famiglia di modelli Muse Spark per eseguire autonomamente compiti lavorativi a più fasi.

      I dati sulle sequenze di tasti e sui clic del mouse sono ciò che insegna ai modelli come i lavoratori umani navigano effettivamente in Google Docs, LinkedIn, Wikipedia e nelle circa 200 altre app coperte dall'MCI. Il corpus di addestramento, in altre parole, dipende strutturalmente dall'osservazione di lavoratori reali che svolgono compiti lavorativi reali.

      La decisione di Meta di utilizzare i propri dipendenti statunitensi piuttosto che lavoratori esterni pagati è ciò che conferisce all'azienda il suo vantaggio in termini di dati; è anche ciò che crea l'esposizione al GDPR.

      I documenti interni sollevano anche la questione se l'assimilazione dei dati europei da parte dell'MCI sia incidentale o sistematica. Meta ha posizionato la cattura europea come un sovraccarico accidentale, il risultato inevitabile dell'esecuzione dello strumento su macchine statunitensi che comunicano con colleghi europei.

      La formulazione è importante perché il GDPR prevede eccezioni per il trattamento incidentale in alcuni contesti. La risposta di NOYB è che il volume e la routine della cattura, ogni email, ogni chat, tutto il tempo, superano qualsiasi cosa ragionevolmente descrivibile come incidentale. La DPC irlandese dovrà decidere quale formulazione si applica.

      Il CTO di Meta, Andrew Bosworth, ha precedentemente confermato che non esiste un'opzione di esclusione per i dipendenti statunitensi. I dipendenti europei sono formalmente esenti perché il GDPR non consentirà un monitoraggio equivalente; i documenti ora suggeriscono che tale esenzione opera più come uno slogan che come un confine applicato.

      L'IDPC non ha ancora aperto un'indagine formale. Meta non ha commentato separatamente le scoperte di Reuters. Il caso sarà uno dei primi test materiali di come il principio di limitazione dello scopo del GDPR si applica ai flussi di dati per la formazione AI che attraversano l'Atlantico.