X prova a usare il GDPR per chiudere gli audit della FTC, ma per le imprese la lezione è opposta


X prova a chiudere o alleggerire il controllo privacy imposto dalla Federal Trade Commission negli Stati Uniti, sostenendo che la trasformazione dell’ex Twitter e gli obblighi già previsti dal GDPR rendano non più necessario l’ordine del 2022. Per le imprese italiane che usano dati degli utenti per advertising, sicurezza degli account o addestramento di modelli IA, il punto operativo è immediato: la conformità al regolamento europeo non elimina automaticamente altri obblighi di audit, documentazione e sorveglianza quando un’autorità ha già imposto misure specifiche.

La vicenda arriva alla scadenza del 2 luglio 2026 per i commenti pubblici sulla petizione di X, come ricostruisce la ricostruzione pubblicata da Ars Technica. La FTC ha confermato che, chiuso il periodo di consultazione, la Commissione voterà come risolvere la richiesta, secondo l’avviso ufficiale sulla petizione.





Il GDPR diventa argomento difensivo

L’ordine in discussione nasce dopo che la FTC aveva contestato a Twitter l’uso improprio di informazioni di contatto raccolte per la sicurezza degli account. Secondo la denuncia del 2022, numeri di telefono e indirizzi email forniti dagli utenti anche per l’autenticazione a due fattori erano stati usati per aiutare gli inserzionisti a raggiungere determinati pubblici, come risulta dalla denuncia federale contro Twitter.

Da quell’accordo derivano audit indipendenti e un potere rafforzato della FTC di chiedere documenti per verificare la compliance senza dover avviare ogni volta una nuova azione legale. X sostiene invece che l’ordine imponga costi onerosi e che sia superato dai cambiamenti avvenuti dopo l’acquisizione da parte di Elon Musk, dal rebranding di Twitter in X e dagli obblighi analoghi che la società afferma di avere già sotto il GDPR.

Il richiamo europeo è il passaggio più vicino alle imprese italiane. Il GDPR, applicabile negli Stati membri dal 25 maggio 2018, stabilisce basi giuridiche, trasparenza e diritti degli interessati nel testo europeo del regolamento, ma non sostituisce automaticamente ordini, impegni o rimedi specifici emessi da un regolatore in seguito a una violazione. È la tesi opposta a quella che X chiede alla FTC di accogliere.


Le associazioni chiedono vigilanza piena

Contro la richiesta di X si sono schierate 15 organizzazioni per la privacy e la tutela dei consumatori, tra cui Demand Progress, Electronic Frontier Foundation, Electronic Privacy Information Center e National Consumers League. Nella lettera inviata alla FTC, gli autori chiedono di mantenere intatto il controllo previsto dall’ordine del 2022, affermando che X e la sua attuale leadership presentano un rischio serio per privacy e sicurezza dei dati.

Secondo la lettera inviata alla FTC, i cambiamenti sotto Musk non ridurrebbero il rischio, ma aumenterebbero la necessità di supervisione. Le associazioni citano la controversia su Grok, una causa promossa da tre ragazze che accusano X di aver consentito al chatbot di generare materiale di abuso sessuale minorile e immagini intime non consensuali, e una perdita di 2,8 miliardi di record dalla piattaforma indicata come avvenuta l’anno scorso.

Gli stessi firmatari richiamano anche un precedente rilievo della FTC: Musk avrebbe indirizzato dipendenti verso azioni che avrebbero violato l’ordine, nel contesto dell’accesso ai dati interni concesso a giornalisti per i cosiddetti Twitter Files. Si tratta di contestazioni riportate nella lettera delle associazioni, non di una nuova decisione FTC sulla petizione in corso.

Audit e IA nella stessa cartella

Per un’impresa italiana, la parte più concreta riguarda la separazione delle finalità. Se un dato viene raccolto per proteggere l’account, usarlo per advertising, profilazione o addestramento IA richiede una base giuridica, informative coerenti e controlli documentati. La contestazione originaria contro Twitter mostra come un dato nato per la sicurezza possa diventare il centro di un procedimento regolatorio quando viene riutilizzato per finalità commerciali.

X sostiene che gli audit siano duplicativi e costosi. Le associazioni rispondono che le norme generali sulla privacy non replicano un ordine ventennale specifico della FTC, costruito dopo violazioni contestate e accettato dalla società. Per le aziende che operano su più mercati, la distinzione è pratica: una policy GDPR, una DPIA o un registro dei trattamenti non cancellano automaticamente un impegno negoziato con un’autorità, né un obbligo contrattuale assunto verso clienti enterprise.


La richiesta di X alla FTC trasforma il GDPR in argomento difensivo, ma per le imprese italiane resta centrale provare basi giuridiche, audit e opt-out.

La questione entra anche nella due diligence sui fornitori. Chi compra servizi di social listening, advertising, customer intelligence o modelli IA addestrati su contenuti social deve verificare se la base dati derivi da consenso, legittimo interesse, termini di servizio aggiornati o opt-out. Il rischio operativo non è solo la sanzione: sono contestazioni su cancellazione, opposizione, retention e prova dell’effettiva informazione agli utenti.

Grok riapre il nodo consenso

Nel materiale citato dalle associazioni, X avrebbe raccolto centinaia di milioni di post della piattaforma per addestrare l’IA senza un consenso significativo o esplicito, limitandosi ad aggiornare i termini. Cambridge Analytica sostiene che il modello di addestramento di Grok trasformi i post pubblici in segnali comportamentali, con un opt-out disponibile ma poco visibile, secondo l’analisi sul training di Grok.

La stessa fonte afferma che il 73% degli utenti X non era consapevole che i propri tweet fossero usati per addestrare Grok. Cambridge Analytica aggiunge che la cancellazione di un post non elimina necessariamente il segnale comportamentale già incorporato nel modello. Anche qui la formulazione va tenuta attribuita: non è una conclusione della FTC nella petizione, ma un elemento usato nel fronte critico contro X.

In Europa, il tema non è teorico. La Data Protection Commission irlandese ha chiuso nel 2024 un procedimento urgente su X e Grok dopo l’impegno della società a rispettare in modo permanente determinate misure, in una vicenda che riguardava il trattamento dei post pubblici degli utenti UE e SEE per addestrare l’IA, come risulta dal procedimento irlandese su Grok.


Lo European Data Protection Board ha poi adottato un’opinione sui modelli IA che affronta tre nodi: quando un modello può essere considerato anonimo, quando il legittimo interesse può essere usato come base giuridica e cosa accade se un modello è stato sviluppato con dati trattati illecitamente, secondo l’opinione EDPB sui modelli IA.

Il precedente arriva in Italia

In Italia, il Garante Privacy ha già indicato agli utenti che il diritto di opposizione al trattamento dei dati personali per l’addestramento dell’intelligenza artificiale è riconosciuto dal GDPR e può essere esercitato anche verso sistemi IA diversi da quelli di Meta. Il comunicato del Garante citava OpenAI, DeepSeek e Google, oltre al caso Meta su Facebook e Instagram.

Il passaggio per le imprese è operativo: chi sviluppa o integra IA generativa su contenuti generati dagli utenti deve poter dimostrare base giuridica, informativa, meccanismo di opposizione, gestione dei minori e trattamento dei contenuti rimossi. L’attenzione indicata dal Garante riguarda liceità, effettività dell’opposizione e compatibilità tra finalità originaria del trattamento e nuovo uso dei dati.

Per PMI e aziende enterprise italiane che usano X come canale commerciale, la petizione FTC non cambia gli obblighi locali, ma suggerisce controlli contrattuali più stretti: quali dati vengono esportati dalla piattaforma, quali strumenti IA li analizzano, dove sono conservati, per quanto tempo, e quali richieste di cancellazione o opposizione passano dal vendor al titolare del trattamento.

Ora decide la Commissione americana

La FTC non ha ancora deciso se accogliere, respingere o modificare la richiesta di X. La procedura indicata dall’agenzia prevede la chiusura dei commenti pubblici e poi un voto della Commissione. Fino a quel momento, la petizione resta una richiesta della società e la lettera delle associazioni resta una posizione contraria nel dossier pubblico.


La linea difensiva di X poggia sulla trasformazione aziendale, sul cambio di marchio e sull’esistenza di altri regimi privacy. La linea opposta sostiene che X continui a operare una piattaforma social, usi dati per advertising mirato e abbia aggiunto nuove finalità legate all’IA, quindi l’ordine del 2022 sarebbe ancora più necessario. In mezzo c’è un messaggio utile per le imprese italiane: quando un modello di business si basa su dati comportamentali, la compliance va provata con controlli verificabili, non solo con clausole nei termini di servizio.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Alessandro Conti

Source link

Di