X, het socialemediaplatform van Elon Musk, is het doelwit geweest van een reeks privacyklachten nadat het gebruikersgegevens in de Europese Unie gebruikte om AI-modellen te trainen zonder de toestemming van mensen te vragen.
Eind vorige maand ontdekte een oplettende gebruiker van sociale media een opstelling die aangaf dat X stilletjes was begonnen met het verwerken van postgegevens van regionale gebruikers om zijn Grok AI-chatbot te trainen. De onthulling leidde tot uitingen van “verrassing” bij de Ierse Data Protection Commission (DPC), de waakhond die toezicht houdt op de naleving door Xa van de Algemene Verordening Gegevensbescherming (AVG) van het blok.
De AVG, die bevestigde overtredingen kan bestraffen met boetes tot 4% van de wereldwijde jaaromzet, vereist dat elk gebruik van persoonlijke gegevens een geldige wettelijke basis heeft. Negen klachten tegen X, ingediend bij gegevensbeschermingsautoriteiten in Oostenrijk, België, Frankrijk, Griekenland, Ierland, Italië, Nederland, Polen en Spanje, beschuldigen het bedrijf ervan deze stap niet te hebben gezet door de posten van Europeanen te verwerken voor AI-training zonder hun toestemming te verkrijgen .
In een verklaring zei Max Schrems, voorzitter van de non-profit privacyrechtenorganisatie noyb, die klachten ondersteunt: “We hebben door de jaren heen talloze gevallen gezien van ineffectieve en gedeeltelijke handhaving door de DPC. We willen ervoor zorgen dat Twitter volledig voldoet aan de EU-wetgeving, die – op zijn minst – vereist dat gebruikers in dit geval om toestemming vragen.”
De DPC heeft al enige actie ondernomen tegen de verwerking van X om AI-modellen te trainen, en heeft juridische stappen ondernomen bij het Ierse Hooggerechtshof om een bevel te verkrijgen om het bedrijf te dwingen te stoppen met het gebruik van de gegevens. Maar noyb stelt dat de acties van DPC tot nu toe onvoldoende zijn, en wijst erop dat X-gebruikers op geen enkele manier het bedrijf kunnen dwingen “reeds ingevoerde gegevens” te verwijderen. Als reactie hierop heeft noyb AVG-klachten ingediend in Ierland en zeven andere landen.
De klachten beweren dat X geen geldige basis heeft om de gegevens van ongeveer 60 miljoen mensen in de EU te gebruiken om AI te trainen zonder hun toestemming. Het platform lijkt te vertrouwen op een wettelijke basis die bekend staat als ‘legitiem belang’ voor AI-gerelateerde verwerking. Privacy-experts zeggen echter dat het noodzakelijk is om de toestemming van mensen te verkrijgen.
“Bedrijven die rechtstreeks met gebruikers communiceren, hoeven hen alleen maar een ja/nee te laten zien voordat ze hun gegevens gebruiken. Ze doen het regelmatig voor veel andere dingen, dus het zou zeker mogelijk zijn voor AI-training”, opperde Schrems.
In juni stopte Meta een soortgelijk plan om gebruikersgegevens te verwerken om AI te trainen nadat Noyb enkele GDPR-klachten steunde en toezichthouders erbij betrokken raakten.
Maar de aanpak van X om gebruikersgegevens stilletjes te helpen AI te trainen zonder mensen hiervan op de hoogte te stellen, lijkt het mogelijk te hebben gemaakt om enkele weken onder de radar te blijven.
Volgens de DPC verwerkte X tussen 7 mei en 1 augustus gegevens van Europeanen om AI-modellen te trainen.
X-gebruikers hebben de mogelijkheid gekregen om zich af te melden voor de verwerking via een instelling die is toegevoegd aan de webversie van het platform – blijkbaar eind juli. Maar daarvoor was er geen manier om de verwerking te blokkeren. En natuurlijk is het moeilijk om het gebruik van uw gegevens voor AI-training uit te sluiten als u niet eens weet dat dit gebeurt.
Dit is belangrijk omdat de AVG specifiek bedoeld is om Europeanen te beschermen tegen onverwacht gebruik van hun informatie dat gevolgen zou kunnen hebben voor hun rechten en vrijheden.
In zijn pleidooi tegen de keuze van X voor de rechtsgrondslag verwijst noyb naar een uitspraak van het hoogste gerechtshof van Europa afgelopen zomer – met betrekking tot een antitrustzaak tegen Meta’s gebruik van gegevens van mensen om advertenties te targeten – waarin de rechters oordeelden dat de rechtsgrondslag van legitiem belang niet van toepassing was. voor dat gebruiksscenario en de noodzaak om toestemming van de gebruiker te verkrijgen.
Noyb wijst er ook op dat aanbieders van generatieve AI-systemen doorgaans beweren dat ze niet kunnen voldoen aan andere basisvereisten van de AVG, zoals het recht om vergeten te worden of het recht om een kopie van uw persoonlijke gegevens te verkrijgen. Dergelijke zorgen zijn aanwezig in andere lopende AVG-klachten tegen OpenAI ChatGPT.