En julio de 2024, X inició un cambio de configuración por el cual las publicaciones públicas de los usuarios podrían ser utilizadas por la plataforma para el desarrollo de su chatbox de IA. La Comisión de Protección de Datos (CPD) de Irlanda descubrió que, aunque X había introducido una página de ayuda para las instrucciones de exclusión, no se había informado a los usuarios de que el ajuste se activaría por defecto.
La denuncia contra X (Twitter) ha sido lanzada por Austria, Bélgica, Francia, Grecia, Irlanda, Italia, Países Bajos, Polonia y España. None of Your Business (Noyb) es una ONG austriaca que ha esbozado las denuncias de estos países europeos. Las quejas se refieren principalmente al uso que hace X de los datos de los usuarios para su propio desarrollo de inteligencia artificial (IA).
Se afirma que los datos se están aprovechando para entrenar a Grok, el último chatbot de inteligencia artificial de Elon Musk. Según Noyb, esto lleva ocurriendo desde mayo de 2024. Sin embargo, X alega legalmente que tiene un «interés legítimo» que prevalece sobre los derechos fundamentales de los usuarios, afirma Noyb.
Noyb ha comparado X con las prácticas de Meta, otra empresa tecnológica que ha sido objeto de críticas este año. Esto fue en relación con las políticas de privacidad y el desarrollo de IA utilizando datos de usuarios de Instagram y Facebook y se encontró con violaciones del GDPR. En consecuencia, detuvo su desarrollo de IA en junio.
El carácter de las acusaciones
Según ha denunciado Noyb, la plataforma de Elon Musk ha utilizado los datos de unos 60 millones de usuarios en Europa sin que ellos lo supieran ni lo consintieran. Por ello, afirma que X carece de políticas de privacidad transparentes sobre cómo se almacenan los datos de los usuarios y para qué se utilizan.
Estas acusaciones están íntimamente relacionadas con el RGPD. El RGPD es una disposición legal de la Unión Europea que protege los datos de los usuarios exigiendo que las empresas obtengan el consentimiento de los usuarios para utilizar sus datos y sean claras sobre la finalidad de la recogida de datos. Noyb afirma que X ha infringido el RGPD. La infracción de esta ley puede tener consecuencias de multas de hasta el cuatro por ciento de los ingresos anuales globales de una empresa.
La Comisión de Protección de Datos de Irlanda lleva a X ante los tribunales
La semana pasada, el CPD irlandés inició acciones legales contra X. Se centraba específicamente en que X, al utilizar datos personales para prácticas de formación en IA y no ofrecer transparencia sobre un mecanismo de exclusión voluntaria, está violando el RGPD.
X ha dicho que dejará de utilizar los datos de algunos usuarios europeos tras la denuncia presentada por el CPD. A pesar de ello, el CPD continuará el procedimiento judicial para determinar si X ha infringido el RGPD.
El presidente de Noyb, Max Schrems, se ha mostrado crítico con la CPD, argumentando que, por lo visto hasta ahora en los procedimientos judiciales, la comisión no aborda «la legalidad» del tratamiento de datos de Twitter ni «el problema de fondo».También ha escudriñado su labor en la aplicación de la ley y la ha calificado de «ineficaz» en los últimos años.
Consecuencias para el desarrollo de la IA
Las supuestas infracciones cometidas por X tienen consecuencias para el desarrollo de modelos de IA a escala mundial y para los derechos digitales de los usuarios. Gabriela Zanfir-Fortuna, vicepresidenta de privacidad global del Future of Privacy Forum, subraya que las implicaciones afectan a «la disponibilidad de datos para entrenar modelos de forma legal».
Noyb recomienda que las plataformas de las redes sociales pidan directamente a los usuarios su consentimiento para utilizar sus datos a fin de evitar futuras infracciones de la legislación de la UE.
X también se enfrenta al escrutinio en un ámbito diferente en relación con sus prácticas de moderación de contenidos y su posible papel en la desinformación. Esto podría convertirse en otra batalla legal a la que podría enfrentarse la plataforma.
—English version—
X (Twitter) accused of violating user privacy by 9 European countries
The social media platform, X has been accused of using European individuals’ private data by going against the General Data Protection Regulation (GDPR)
In July 2024, X initiated a settings change in which users’ public posts could be used by the platform for the development of its AI chatbox. Ireland’s Data Protection Commission (DPC) found that while X had introduced a help page for opt-out instructions, users had not been informed that the setting would activate as a default.
The complaint against X (Twitter) has been launched by Austria, Belgium, France, Greece, Ireland, Italy, the Netherlands, Poland and Spain. None of Your Business (Noyb) is an Austrian NGO which has outlined the complaints from these European countries. The complaints are primarily associated with X using users’ data for its own artificial intelligence (AI) development.
It is alleged that the data is being taken advantage of to train Grok, Elon Musk’s latest artificial intelligence chatbot. According to Noyb, this has been occurring since May 2024. However, X legally claims it has a “legitimate interest” that overrides users’ fundamental rights, says Noyb.
Noyb has compared X to Meta’s practices which is another tech company that has faced criticism this year. This was in relation to privacy policies and AI development using Instagram and Facebook user data and was met with GDPR violations. In response, it halted its AI development in June.
The nature of the allegations
It has been reported by Noyb that Elon Musk’s platform has used the data of around 60 million users in Europe without them knowing or consenting. Therefore, it asserts that X lacks transparent privacy policies concerning how user data is stored and what it is being used for.
These allegations are intimately related to the GDPR. The GDPR is a legal provision under the European Union which protects users’ data by demanding that companies gain the consent of users to use their data and are clear about the purpose of the data collection. Noyb claims X has violated the GDPR. The infringement of this law can have consequences of fines up to four percent of a company’s global annual revenue.
Ireland’s Data Protection Commission takes X to Court
Last week, the Irish DPC began legal action against X. It specifically focussed on X using personal data for AI training practices and not providing transparency about an opt-out mechanism is violating the GDPR.
X has said it will stop using some of European users’ data after the complaint was launched by the DPC. Despite this, the DPC will continue the legal proceedings to ascertain if X had violated the GDPR.
Chairman of Noyb, Max Schrems has been critical of the DPC, arguing that from the court proceedings so far, the commission does not address “the legality” of Twitter’s data processing and “the core problem”. It has also scrutinised their work in law enforcement and has called them “inefficient” in recent years.
Implications for AI development
The alleged violations by X have consequences for the development of AI models globally and the digital rights of users. Gabriela Zanfir-Fortuna, vice-president for global privacy at the Future of Privacy Forum, emphasises that the implications concern “the availability of data to lawfully train models”.
Noyb recommends that social media platforms directly ask users for consent to use their data to prevent future breaches of EU law.
X is also facing scrutiny in a different realm regarding its content moderation practices and the potential role in misinformation. This could unfold as another legal battle which the social platform may confront.