Eind april meldde ik de indolentie van de Autoriteit Persoonsgegevens en andere Europese DPA’s in relatie tot de voorgenomen data-grab van Meta:

Instagram- en Facebookgebruikers die niet willen dat moederbedrijf Meta hun posts gebruikt om kunstmatige intelligentie (AI) mee te trainen, moeten daar nu bezwaar tegen maken. Doen ze dat niet vóór 27 mei, dan gebruikt Meta automatisch hun gegevens voor het trainen van Meta AI. Meta heeft aangegeven de gegevens van iedereen die bezwaar aantekent, niet te gebruiken voor het trainen van AI.

Deze waarschuwing is afkomstig van de AP, die ondertussen weer in slaap lijkt te zijn gesukkeld, samen met haar collega’s. Gelukkig zijn we niet alleen van de AP afhankelijk bij de bescherming van persoonsgegevens, maar het is navrant om een miljoenen-verslindende operatie als de AP zo nonchalant te zien omgaan met haar eigen missie:

De AP is de onafhankelijke toezichthouder op persoonsgegevens die mensen beschermt in een digitale wereld.

Bescherming suggereert een actieve grondhouding, en één van de acitviteiten om de missie in te vullen is de volgende:

De naleving van de regels te controleren. Dat doen we door onafhankelijk onderzoek te doen naar (mogelijke) overtredingen. Als het nodig is, komen we in actie.

Zoals bij trouwe lezertjes bekend mag worden verondersteld, is de AP kampioen boete vermijden.

Hoewel het gilde van Europese toezichthouders uitblinkt in afwezigheid is de hoop op privacy naleving niet geheel verloren. Want noyb heeft op 14 mei een cease and desist brief naar Meta gestuurd:

As a first step, noyb has now sent a formal settlement proposal in the form of a so-called Cease and Desist letter to Meta. Other consumer groups also take action. If injunctions are filed and won, Meta may also be liable for damages to consumers, which could be brought in a separate EU class action. Damages could reach billions. In summary, Meta may face massive legal risks – just because it relies on an “opt-out” instead of an “opt-in” system for AI training.

Volgens noyb is er een simpele oplossing:

Ask users for consent! While Meta tries to paint the picture that compliance with the GDPR would make AI training in the EU impossible, the legal solution under the GDPR is simple: Meta would just have to ask users for an opt-in consent (instead of an opt-out objection) to use their personal data for AI training.

Helaas maakt noyb ook de volgende observatie:

DPAs do not seem to approve. The national Data Protection Authorities (DPAs) should – theoretically – take enforcement action against non-complaince with the GDPR. However, in a climate where the EU is pushing hard for less regulation and more “innovation” at any costs, we now observe that DPAs in some EU countries just largely function as a messenger for Meta: Many DPAs have just “informed” people that they should urgently opt-out of Meta’s AI training. This is putting the responsibility on the users instead of Meta. Meta also publicly claims to have “engaged” with EU regulators on using social media data for AI training. However, as far as noyb is informed, DPAs largely stayed silent on the legality of AI training without consent. It therefore seems that Meta simply moved ahead anyways – taking another huge legal risk in the EU and trampling over users’ rights.

Eens kijken of Meta afziet van haar data-grab waardoor nog meer forever data wordt gegenereerd.