Quando i media svedesi Svenska Dagbladet e Göteborgs-Posten hanno pubblicato la loro inchiesta sugli occhiali smart Ray-Ban di Meta, la Commissione irlandese per la protezione dei dati (DPC) ha dovuto fare una cosa che avrebbe dovuto fare prima: chiedere conto all’azienda di quello che stava accadendo con i dati degli utenti europei. Meta ha risposto dichiarando di non trasferire quei dati in Kenya. La DPC ha confermato la comunicazione ad Euractiv via email, e il caso è diventato pubblico.
Cosa raccontava l’inchiesta svedese
Secondo i due quotidiani scandinavi, i Ray-Ban smart glasses raccoglievano video degli utenti — spesso a loro insaputa — che venivano poi inviati a revisori umani di Sama, società di annotazione dati con sede operativa a Nairobi.
Il lavoro di Sama consisteva nel classificare quei contenuti per migliorare i sistemi di intelligenza artificiale di Meta. Il materiale visionato dagli annotatori includeva scene domestiche ad alto contenuto sensibile: persone che si spogliavano, riprese in bagno, estratti di conversazioni private e dati bancari visibili a schermo. Stando alle testimonianze raccolte dai giornalisti, i sistemi di anonimizzazione implementati da Meta sui video non garantivano una copertura sistematica: volti riconoscibili e dettagli identificabili emergevano nei materiali assegnati ai lavoratori, che percepivano compensi compresi tra 1,32 e 2 dollari all’ora. Sama non è una realtà sconosciuta al settore: nel 2021 aveva lavorato per OpenAI etichettando migliaia di testi con contenuti violenti e di abuso sessuale, e nel 2023 aveva abbandonato le attività di moderazione per Meta concentrandosi sull’annotazione di dati visivi, esattamente il tipo di incarico ora al centro della vicenda.
Un portavoce di Meta aveva già dichiarato ad Euractiv, prima che scoppiasse il caso, che la società ricorre “talvolta” ad appaltatori per analizzare i dati condivisi dagli utenti con la sua IA, al fine di migliorare l’esperienza d’uso. Una dichiarazione che, letta dopo la pubblicazione dell’inchiesta, ha assunto un peso diverso rispetto alle intenzioni iniziali.
Il nodo del Kenya e il GDPR
Il Kenya non ha ottenuto dalla Commissione europea una decisione di adeguatezza: nella mappa dei paesi considerati sicuri per il trasferimento di dati personali dall’Unione Europea, il paese africano non figura. Questo significa che qualsiasi flusso di dati personali verso quel territorio richiederebbe garanzie contrattuali aggiuntive, come le clausole contrattuali standard previste dal GDPR, strumenti che impongono al titolare del trattamento di mantenere un livello di protezione sostanzialmente equivalente a quello europeo anche al di fuori dei confini dell’Unione. La DPC, che supervisiona Meta nell’UE in quanto autorità capofila ai sensi del meccanismo dello sportello unico del GDPR, è in contatto con l’azienda sugli smart glasses dal 2021. Tuttavia, ha sollevato la questione specifica dei trasferimenti verso il Kenya soltanto dopo la pubblicazione delle notizie svedesi, elemento che ha alimentato le critiche di chi ritiene insufficiente il modello di vigilanza preventiva attualmente in vigore.
La vicenda ha prodotto reazioni su fronti diversi. Nel Regno Unito l’Information Commissioner’s Office ha avviato un’indagine. Negli Stati Uniti è stata depositata una class action in California. Al Parlamento Europeo, gli eurodeputati italiani Sandro Ruotolo e Nicola Zingaretti hanno scritto direttamente alla DPC chiedendo chiarimenti, mentre altri parlamentari hanno rivolto interrogazioni alla Commissione europea per verificare la compatibilità delle pratiche di Meta con il quadro normativo europeo.
