Meta spia i dipendenti con il mouse: scontro aperto con il GDPR europeo

Secondo quanto riporta Reuters, Meta ha avviato un programma interno chiamato Model Capability Initiative (MCI) per raccogliere dati dettagliati sull'attività informatica dei propri dipendenti statunitensi: movimenti del mouse, clic, navigazione nei menu a tendina e screenshot periodici dello schermo. Lo scopo dichiarato è addestrare agenti di intelligenza artificiale in grado di svolgere autonomamente compiti quotidiani al computer. Lo strumento è integrato in oltre 200 applicazioni e siti web, stando a una lista interna condivisa dall'azienda con i dipendenti.

Il problema è che il programma si estende ben oltre i confini statunitensi. Documenti interni esaminati da Reuters rivelano che la raccolta dati è più ampia di quanto inizialmente descritto e potrebbe acquisire, anche in modo indiretto, informazioni di dipendenti e interlocutori nell'Unione Europea. Meta stessa ha riconosciuto, in un documento interno di domande e risposte, che il sistema acquisisce il contenuto di email e messaggi diretti inviati al personale statunitense, indipendentemente dalla posizione geografica del mittente: un messaggio scritto da un dipendente Meta a Dublino o Berlino a un collega in California potrebbe finire nel sistema MCI.

Nelle settimane successive al lancio, diversi dipendenti hanno lamentato internamente che l'MCI consumava una quantità di dati tale da far impennare il traffico internet domestico, esaurendo in alcuni casi l'intera soglia mensile nel giro di pochi giorni.

Dal fronte della privacy europea arrivano segnali di allarme. Kleanthi Sardeli, esperta legale dell'associazione per i diritti digitali NOYB, ha dichiarato a Reuters che anche una raccolta limitata o indiretta di dati di dipendenti dell'UE potrebbe configurare una violazione del GDPR. I punti critici riguardano se la raccolta europea possa essere classificata come "incidentale" o debba essere considerata vera e propria sorveglianza, e se l'iniziativa superi il cosiddetto test di "limitazione della finalità". Come ha spiegato Sardeli: i dati raccolti nel contesto lavorativo non possono essere reimpiegati per addestrare modelli di IA senza violare lo scopo originario per cui erano stati acquisiti.

Meta ha informato la Commissione irlandese per la protezione dei dati (DPC) — il suo principale regolatore UE in materia di GDPR — che né i dati dei dipendenti europei né la registrazione dei contenuti a schermo rientrano nell'obiettivo primario dello strumento. Un portavoce del DPC lo ha confermato a Reuters senza aggiungere ulteriori dettagli. Il portavoce di Meta, Dave Arnold, ha sostenuto che l'MCI è installato solo sui dispositivi di dipendenti statunitensi e che il suo focus riguarda le modalità di interazione con il computer, non i contenuti visualizzati.

Sul fronte interno, la situazione appare tesa. L'MCI fa parte di una ristrutturazione più ampia dell'azienda — voluta dal CEO Mark Zuckerberg — orientata a trasferire ampie fasce di lavoro ad agenti di IA, una prospettiva che ha generato un aspro malcontento tra i dipendenti, alcuni dei quali hanno definito Meta una "fabbrica di estrazione dati". Un dipendente ha condiviso internamente un'analisi dettagliata dei file di registro dell'MCI, sostenendo che il sistema era stato agganciato al software aziendale di sicurezza informatica preesistente, ottenendo così accesso a informazioni aggiuntive. Quel post è in seguito scomparso, secondo quanto riferito a Reuters da altri due dipendenti. Il portavoce Arnold ha definito le conclusioni dell'analisi "fondamentalmente inesatte", senza tuttavia rispondere nel merito né confermare o smentire la rimozione del post.

Johnny Ryan, direttore dell'unità Enforce dello Irish Council for Civil Liberties, ha dichiarato che quanto emerge dall'interno di Meta rende "essenziale" che il DPC avvii un'indagine sull'iniziativa, aggiungendo che la questione non riguarda solo i dipendenti di Meta, ma potenzialmente ogni lavoratore in qualsiasi settore che possa essere sostituito da sistemi automatizzati.