Il 3 novembre 2025 LinkedIn ha ripreso a usare i dati degli utenti europei per addestrare i suoi modelli di intelligenza artificiale generativa. È la seconda volta: l'annuncio del settembre 2024 era stato fermato dalle autorità. Un anno e mezzo dopo, stesso meccanismo, stessa architettura. Opt-out: chi non si oppone, acconsente. Chi non fa nulla, cede.

L'errore ragionevole

L'errore è questo: pensare che l'opt-out sia una forma di rispetto. C'è un'opzione, c'è una procedura, c'è persino una scheda del Garante Privacy italiano (la prima è del settembre 2024, la più recente del 28 ottobre 2025) che spiega passo per passo come esercitare il diritto di opposizione. Il professionista medio guarda questo quadro e conclude: il sistema funziona. Chi vuole, esce. Chi non esce, ha scelto di restare.

Sembra ragionevole. Non lo è.

Come funzionava il consenso

Nel diritto civile italiano c'è un principio che non nasce per il digitale ma che centra il punto. L'articolo 1326 del codice civile stabilisce che il contratto si perfeziona quando chi ha fatto la proposta viene a conoscenza dell'accettazione dell'altra parte. Non del silenzio dell'altra parte. Non dell'assenza di obiezione. Dell'accettazione. Il principio non si applica direttamente al trattamento dei dati personali, che opera su basi giuridiche diverse. Ma la logica è la stessa: l'inerzia protegge il più debole. Nel dubbio, non firmo. Nel dubbio, non cedo. Nel dubbio, il mio silenzio vale come rifiuto.

Questa logica non è una cortesia. È un contrappeso. Serve a compensare un'asimmetria strutturale: chi propone ha più risorse, più informazioni, più tempo di chi deve valutare. L'inerzia dalla parte del più debole è una tutela. Non perfetta, ma funzionale.

Come funziona adesso

L'opt-out rovescia la geometria. L'inerzia non protegge più: consegna. Il silenzio non significa rifiuto: significa cessione. Chi vuole estrarre valore non deve ottenere un sì. Deve solo evitare un no.

La differenza sembra sottile. Non lo è.

In un sistema opt-in, l'onere è di chi chiede. Deve convincere, spiegare, ottenere un gesto attivo. In un sistema opt-out, l'onere è di chi subisce. Deve accorgersi, capire, trovare la procedura, eseguirla, verificare che abbia funzionato. L'energia necessaria per proteggere i propri dati è interamente a carico di chi li possiede. L'energia necessaria per estrarli è zero.

LinkedIn non è un caso isolato. Nel giugno 2024, Adobe ha aggiornato i termini di servizio di Creative Cloud con una clausola che consentiva l'accesso ai contenuti degli utenti, generando il timore fondato che venissero usati per addestrare modelli generativi. Ha fatto marcia indietro solo dopo la reazione pubblica di utenti e stampa specializzata, aggiungendo nei termini aggiornati l'impegno a non usare i contenuti per il training. Google, con l'introduzione di Gemini in Workspace, ha attivato funzionalità AI per gli account aziendali delegando agli amministratori la scelta di disabilitarle, in un modello che formalmente offre controllo ma nella pratica scarica sull'admin l'onere di comprendere e agire. L'annuncio arriva per mail, nascosto tra notifiche irrilevanti. La procedura esiste, ma richiede navigazione in sottomenu progettati per non essere trovati al primo tentativo. La finestra temporale è stretta. Il linguaggio è opaco.

Tutto formalmente corretto. Tutto sostanzialmente orientato a un risultato.

Perché "basta opporsi" non basta

Il Garante italiano ha fatto il suo lavoro: nel 2024 ha pubblicato istruzioni, ha esercitato pressione attraverso le autorità irlandesi, ha ottenuto una sospensione temporanea del trattamento per gli utenti europei. A novembre 2025 il trattamento è ripartito, con categorie e volumi ridotti, sotto supervisione. È il sistema di garanzie che funziona come dovrebbe: ha rallentato. Non ha rovesciato.

Il problema è a monte.

Quando la protezione dipende dall'azione del singolo, la protezione è proporzionale alle risorse del singolo. Chi legge le policy, chi ha tempo, chi ha competenze tecniche sufficienti per navigare le impostazioni: questi si oppongono. Gli altri, la maggioranza, restano dentro per inerzia. Non per scelta. Per attrito.

È la stessa dinamica di un contratto assicurativo con clausole in corpo sei che si rinnovano automaticamente: formalmente trasparente, sostanzialmente costruito perché la maggioranza non agisca. La differenza è che nel caso assicurativo il legislatore è intervenuto da tempo per vietare certe pratiche di rinnovo tacito. Nel digitale, il rinnovo tacito della cessione dei dati è ancora il modello dominante.

La concessione

L'opt-in puro, nessuna estrazione senza consenso esplicito, renderebbe insostenibile il modello di business di qualunque piattaforma sociale. I dati disponibili sui tassi di accettazione del GDPR cookie consent lo suggeriscono: quando il consenso è esplicito e granulare, la percentuale di utenti che accetta scende drasticamente, in molti casi sotto il 10 per cento (secondo le analisi aggregate pubblicate da Cookiebot e da Pew Research Center tra il 2019 e il 2023). A oggi nessuna piattaforma costruita su scala comparabile ha dimostrato di reggere con quei numeri. L'equilibrio tra consenso reale e sostenibilità economica è genuinamente difficile e non esiste ancora un precedente funzionante. La direzione meno peggio, probabilmente, è un opt-in con frizione ridotta: consenso esplicito ma concentrato in un unico gesto comprensibile, non spalmato su quaranta toggle. Non sono sicuro che funzionerebbe. Ma so che l'attuale opt-out non è un compromesso: è una resa presentata come equilibrio.

Ma riconoscere la difficoltà dell'equilibrio non significa accettare che l'intera fatica ricada su una sola parte del tavolo.

Il costo

Il costo vero non è mezz'ora persa nelle impostazioni. È accettare che il proprio tempo di attenzione è richiesto come infrastruttura del patto: ogni mail sulla privacy che trattiamo come rumore di fondo è una micro-cessione che qualcuno ha progettato perché avvenisse esattamente così. L'inerzia è un'infrastruttura. E chi la progetta sa esattamente in quale direzione scorre.

L'asimmetria del silenzio

Il non fare nulla, nel digitale, produce effetti giuridici, economici e relazionali a vantaggio di una sola parte. Non è un difetto del sistema. È il sistema.

Ogni volta che un servizio digitale introduce una funzione nuova e la attiva per tutti, salvo opposizione, sta usando questa asimmetria. Ogni volta che una mail di aggiornamento policy arriva tra venti notifiche e richiede tre clic per essere compresa e cinque per essere contrastata, la sta usando. Ogni volta che il percorso per cedere è invisibile e il percorso per opporsi richiede sei passaggi in tre schermate diverse, la sta usando.

Il rovescio

L'opt-out non è una scelta offerta. È un'architettura in cui la scelta è richiesta solo a chi vuole sottrarsi, mai a chi vuole estrarre. Il consenso non è stato democratizzato. È stato rovesciato.

Se questo articolo si chiudesse con "leggi ogni mail di aggiornamento policy" sarebbe complice del sistema che critica. Nessuno le legge. Il sistema conta su questo. Il problema non è la diligenza dei singoli.

Dove l'alternativa esiste (email, cloud storage, documenti, messaggistica, CRM) la risposta è spostarsi su infrastrutture in cui il default non estrae. Dove l'alternativa non esiste, perché il valore è nei contatti degli altri e non nel software, l'individuo non ha via d'uscita. LinkedIn è il caso esemplare: la rete professionale non ha un equivalente portabile fuori dalla piattaforma. Lì l'opposizione caso per caso sposta qualche numero, non il meccanismo. L'unica leva che inverte davvero il default dall'opt-out all'opt-in è quella regolatoria: il GDPR ci aveva provato sul consenso esplicito, la partita è aperta, in Europa più che altrove.

La sovranità digitale non comincia dal clic in fondo a una policy. Comincia dal distinguere dove una porta d'uscita esiste da dove non esiste. E, dove non esiste, dal rifiuto di accettare che il consenso venga rovesciato per legittimo interesse invece di essere ribaltato per legge.

Fonti

• Garante per la protezione dei dati personali, Intelligenza artificiale: dal 3 novembre LinkedIn addestrerà i suoi sistemi utilizzando i dati personali degli utenti che non si saranno opposti (2024)
• LinkedIn, Update to our Terms and data use (2024)
• Adobe, A clarification on Adobe Terms of Use (2024)
• Google, Introducing Gemini for Google Workspace (2024)
• Proton, LinkedIn will use your data to train AI: how to opt out (2024)