LinkedIn, la piattaforma professionale di proprietà di Microsoft, ha annunciato l’aggiornamento della propria informativa sulla privacy: i dati pubblici degli utenti potranno essere utilizzati per addestrare modelli di intelligenza artificiale. L’iniziativa si inserisce nella strategia più ampia del gruppo di Redmond per integrare funzionalità di AI generativa nei propri servizi, ma riaccende il dibattito su un tema cruciale: quando l’utilizzo dei dati personali per finalità di addestramento AI è lecito e quali strumenti hanno gli utenti per opporsi.
Il comunicato di LinkedIn, pubblicato in ottobre 2025, chiarisce che “alcuni dati visibili pubblicamente” – tra cui nome, esperienza lavorativa, competenze e interazioni – a partire dal 3 novembre, potranno essere trattati per migliorare modelli linguistici e strumenti predittivi. SI tratta di una riqualificazione del trattamento: i dati raccolti per finalità di networking professionale vengono ora riutilizzati per finalità di machine learning, con implicazioni dirette sul principio di limitazione della finalità (art. 5, par. 1, lett. b GDPR).
- Innovazione e compliance
Il punto chiave è il principio di finalità previsto dal GDPR: i dati raccolti per uno scopo non possono essere riutilizzati liberamente per un altro.
In parallelo, il nuovo AI Act europeo richiede che i dataset di addestramento siano costruiti nel pieno rispetto delle regole sulla protezione dei dati personali.
Il caso LinkedIn mette quindi in luce una tensione sistemica: le piattaforme cercano di valorizzare i dataset che già possiedono, mentre l’ordinamento europeo richiede che ogni riuso dei dati sia giustificato, proporzionato e trasparente. Sul piano strategico, ciò apre una questione di compliance by design: quanto un operatore può spingersi nell’utilizzo dei dati “pubblici” senza un consenso esplicito?
- Le implicazioni normative
- La base giuridica del trattamento
L’art. 6, par. 1 GDPR prevede diverse basi giuridiche per il trattamento dei dati personali. Nel caso LinkedIn, la piattaforma invoca presumibilmente il legittimo interesse (lett. f), sostenendo che l’utilizzo dei dati pubblici per migliorare i propri algoritmi rientri in un equilibrio ragionevole tra innovazione e tutela dell’utente. Tuttavia, il considerando 47 del GDPR specifica che il legittimo interesse non può prevalere quando il trattamento supera le ragionevoli aspettative dell’interessato.
È difficile sostenere che un utente, nel creare un profilo professionale, si aspetti che le proprie informazioni siano utilizzate per l’addestramento di modelli generativi.
- Limitazione della finalità e minimizzazione
L’art. 5, par. 1 GDPR stabilisce che i dati devono essere “raccolti per finalità determinate, esplicite e legittime” e “non ulteriormente trattati in modo incompatibile”. L’uso dei dati per addestrare un modello di AI rappresenta una finalità nuova e tecnologicamente distinta, che non può essere considerata un’estensione automatica del servizio principale.
Il principio di minimizzazione (art. 5, par. 1, lett. c) impone inoltre che siano trattati solo i dati “necessari”. Nella pratica, il training di modelli richiede volumi e tipologie di dati ampi e spesso ridondanti, creando un evidente scarto rispetto al principio di necessità.
- Trasparenza e diritto di opposizione
Ai sensi dell’art. 13 GDPR, l’utente deve essere informato in modo chiaro e comprensibile su ogni trattamento e sulle sue finalità. L’informativa di LinkedIn, sebbene aggiornata, rimane formulata in termini generali (“miglioramento dei servizi AI di Microsoft”) e non specifica né i modelli coinvolti né le categorie di dati effettivamente utilizzate.
L’art. 21 GDPR riconosce agli interessati il diritto di opposizione, che si esercita con una semplice richiesta. Tuttavia, l’efficacia di tale diritto dipende dalla facilità di accesso al meccanismo di opt-out. In questo caso, LinkedIn offre un percorso all’interno delle impostazioni dell’account, ma la scelta predefinita è “opt-in” implicito: gli utenti devono attivamente disattivare l’uso dei propri dati.
Questo ribalta il paradigma europeo di protezione by default, sancito dall’art. 25 GDPR.
- Implicazioni AI Act e accountability
L’art. 10 del AI Act stabilisce che i dataset utilizzati per addestrare sistemi di AI “devono essere pertinenti, rappresentativi, esenti da errori e raccolti nel rispetto del diritto dell’Unione”. L’utilizzo di dati personali senza un fondamento valido potrebbe tradursi in una violazione congiunta di due regolamenti: il GDPR (per l’illiceità del trattamento) e l’AI Act (per la non conformità del dataset).
Ne deriva un rischio di doppia non compliance, con possibili sanzioni amministrative significative. Le autorità competenti – il Garante Privacy nazionale e, in prospettiva, l’AI Office europeo – potrebbero intervenire in modo coordinato.
- L’esercizio del diritto di opposizione
Per le imprese, questo caso rappresenta un precedente da monitorare. L’uso di dati “pubblici” per finalità di AI training non è automaticamente lecito. Anche quando le informazioni sono visibili sul web, l’art. 4, par. 1 GDPR conferma che il carattere pubblico non elimina la natura personale dei dati.
Il rischio principale è di tipo compliance:
- violazione del principio di trasparenza, se l’informativa non descrive in modo chiaro l’uso dei dati;
- trattamento illecito, se la base giuridica non è adeguata;
- rischio reputazionale, in caso di percezione di sfruttamento dei dati senza consenso.
Per gli utenti, la misura di autotutela immediata è l’opt-out manuale:
- accedere al proprio profilo LinkedIn,
- aprire Impostazioni e Privacy → Dati e privacy → Uso dei tuoi dati per l’intelligenza artificiale,
- disattivare l’opzione relativa all’uso dei dati per l’addestramento AI.
Questa azione esercita il diritto di opposizione ai sensi dell’art. 21 GDPR. Tuttavia, non incide retroattivamente sui dati già trattati, il che solleva il tema della reversibilità del consenso e della gestione ex post dei dataset.
- Conclusione
Il caso LinkedIn rappresenta un test di maturità per la governance dei dati nell’era dell’AI. La frontiera tra “dati pubblici” e “dati disponibili per l’addestramento” non è ancora chiaramente definita, ma la direzione europea è netta: la liceità del trattamento resta subordinata alla volontà informata dell’utente.
Dal punto di vista tecnico-giuridico, l’uso massivo dei dati personali per finalità di addestramento dell’AI richiede un approccio di data protection by design, che integri valutazioni d’impatto (DPIA), tracciabilità dei dataset e controlli di accountability.
In prospettiva, le aziende dovranno interpretare la compliance non come vincolo ma come leva competitiva: l’unica strada per costruire sistemi di intelligenza artificiale affidabili e accettabili socialmente è quella che parte dal rispetto del diritto alla protezione dei dati.
Nel nuovo ecosistema normativo dominato da GDPR, AI Act e Data Act, la trasparenza non è solo un obbligo legale, ma un imperativo di governance.
