L'ANALISI

Privacy e politica, matrimonio pericoloso. Ecco i punti di attrito

Lo scandalo Cambridge Analytica ha portato allo scoperto non solo la massiccia diffusione di pratiche illecite di profilazione degli elettori. Ma anche che le tutele previste per il singolo utente sono insufficienti. Ecco lo scenario e le strategie da adottare per scongiurare rischi per la democrazia

07 Gen 2020
Marina Rita Carbone

Consulente privacy


Troppo spesso, negli ultimi tempi, il fenomeno dell’utilizzo dei dati personali a scopi politici è stato associato all’abuso dei dati stessi invece che a pratiche lecite di raccolta ed elaborazione. Dall’esplosione dello scandalo Cambridge Analytica, infatti, il proseguire delle indagini in tale ambito ha svelato una serie di comportamenti illeciti da parte di tutte le parti in gioco, a discapito degli interessati, sprovvisti di concrete tutele.

Tuttavia, è davvero impossibile far coesistere il diritto alla tutela dei dati personali con la raccolta e l’uso degli stessi dati per finalità rientranti nella sfera politica degli interessi?

E in che modo le azioni messe in atto dalle Autorità possono scongiurare il ripetersi di un evento di tale sorta?

L’uso dei dati personali nello scenario politico attuale

Allo stato, fatta eccezione per quanto di volta in volta rivelato dalle indagini condotte in seguito agli scandali intercorsi negli ultimi anni, i limiti entro cui i dati personali sono elaborati nell’ambito delle campagne elettorali e, in generale, dell’attività politica, sono poco noti, complice il recentissimo sviluppo del fenomeno, ingigantitosi con la nascita dei social e dei Big Data.

Per tale ragione è difficile comprendere esattamente quanti e quali dati siano in possesso dei partiti. Ciò che sappiamo è che esistono apposite società il cui compito è quello di raccogliere e combinare i dati dei possibili elettori e, successivamente, di vendere il risultato di tali elaborazioni ai partiti che, di volta in volta, risultino interessati.

L’utilità, infatti, che dalla combinazione dei dati può derivare, dipende dalla metodologia con la quale gli stessi dati sono elaborati: semplificando il concetto, i dati degli elettori, uniti a quelli dei consumatori, consentono di creare dei messaggi “targettizzati” e differenziati nei confronti di tutti gli elettori che rispondano a determinati criteri.

Ciò che maggiormente preoccupa è la tipologia dei dati oggetto di elaborazione: si passa dalle preferenze politiche (a quali elezioni si è partecipato, l’iscrizione ad un partito, ecc.) ai dati economico-finanziari, relativi allo stile di vita o alle preferenze negli acquisti, una profilazione a tutto tondo. È facile, dunque, determinare quanto sia alto il rischio di una manipolazione e di un abuso di una quantità di dati personali così ingente e su vasta scala.

I rischi connessi all’illecito uso dei dati

Analizzate, seppur sinteticamente, le modalità di acquisizione ed utilizzo dei dati, quali sono i rischi che si celano dietro all’utilizzo sproporzionato ed illecito di tali informazioni, peraltro anche sensibili?

Si tenga conto, in primis, della scarsa trasparenza nei confronti degli interessati sulle modalità di acquisizione e di utilizzo dei loro dati personali: gli utenti, nella maggioranza dei casi, non sono in alcun modo consapevoli di come le proprie preferenze siano non solo elaborate ma anche vendute e utilizzate per scopi secondari non autorizzati e manipolatori, da considerarsi pertanto pienamente illeciti.

A ciò si aggiunga lo scarso controllo, da parte delle piattaforme utilizzate da questi ultimi (come Facebook), a causa, in primo luogo, di un interesse economico delle stesse alla diffusione del proprio “patrimonio” di informazioni. Ne è un chiaro esempio l’abusivo utilizzo delle inserzioni pubblicitarie recentemente oggetto di indagine da parte delle Autorità statunitensi, il cui contenuto tuttora non è in alcun modo verificato, con pericolosa diffusione, peraltro, di informazioni false miranti all’alterazione del pensiero politico.

WEBINAR
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Sicurezza
Sicurezza dei dati

Tali dinamiche, in un contesto oscuro e non trasparente, rappresentano un elevatissimo pericolo per la democrazia, in quanto il messaggio politico muta in qualcosa di differenziato e dotato di scarsa attendibilità, nonché indirizzato a specifiche categorie di soggetti, nello stesso modo in cui si indirizza un qualsiasi advert pubblicitario, al contrario di quanto avviene nelle campagne elettorali tradizionali, nelle quali il messaggio che si intende indirizzare è univoco e pubblico (si pensi al comizio elettorale).

Cambridge Analytica è solo uno dei tanti eventi che hanno messo in luce quali siano i risultati irreparabili di un utilizzo invasivo e illecito della profilazione e della targettizzazione degli elettori: senso di impotenza, vulnerabilità, alterazione della libertà di espressione e di opinione.

Non meno importante e insidioso è l’utilizzo da parte dei partiti di proprie piattaforme o app, che risultano viziate dalla medesima carenza di trasparenza e informazione, oltre che spesso collocate in una “zona grigia” del diritto (in Canada, ad esempio, i partiti non sono soggetti al Personale Information Protection and Electronic Documents Act – PIPEDA). In termini sostanziali, ciò permette ai partiti di abusare di tecniche di profilazione ben oltre quanto sarebbe normalmente consentito, tramite tecniche miste quali acquisizione diretta di dati ultronei rispetto alle finalità espresse, acquisto di dati da società private, telemarketing, pubblicità online, ecc. A ciò si aggiunga il diffuso precario controllo dei dati raccolti (nella giurisprudenza del Garante, ad esempio, la piattaforma Rousseau è divenuta tristemente famosa per le enormi falle informatiche di cui soffre e per la conseguente periodica trapelazione di dati).

Ciò premesso, è opportuno evidenziare come, a detta della Federal Trade Commission, sia molto complicato anche per le Autorità svolgere le proprie funzioni di controllo entro i limiti labili dell’attuale contesto normativo, nonché stare al passo con l’utilizzo di sistemi tecnologicamente elevati che richiedono il dispiego di mezzi investigativi talvolta superiori a quelli di cui le stesse dispongono. Fino ai recenti scandali Cambridge Analytica et alia, la normativa internazionale si occupava poco di regolare il fenomeno della raccolta di dati a scopi politici e la stessa rimane, almeno negli USA, estremamente frammentata e lacunosa. Problematica non facilmente risolvibile, ponendosi il tema a cavallo fra la necessità di maggiori censure e controlli e la garanzia costituzionale della libertà di parola e di pensiero politico.

Le possibili soluzioni

In una situazione generale così oscura, diviene fondamentale responsabilizzare i titolari, ivi inclusi i partiti, per condurre l’interessato verso una sempre maggiore consapevolezza non solo di quali dati siano raccolti ma anche di quando e con che modalità gli stessi siano diffusi e condivisi con altri soggetti per scopi secondari quali la profilazione.

In tale direzione si collocano le Linee Guida di EDPB 2/2019, adottate il 13 marzo 2019, nelle quali si esprime il principio generale secondo cui il trattamento dei dati che possono rivelare opinioni politiche è proibito, salvo l’avverarsi di una serie di condizioni quali l’esplicito, specifico, informato, nonché liberamente fornito, consenso.

È necessario altresì che, in caso di profilazione e “targeting”, l’elettore sia adeguatamente informato non solo della raccolta dei suoi dati ma anche del perché stia ricevendo un determinato messaggio, del mittente dello stesso, della fonte dei dati e delle elaborazioni cui sono stati soggetti, nonché delle modalità con le quali, secondo quanto stabilito dal GDPR, può esercitare i diritti a lui garantiti. Dovrebbe persino potersi garantire l’accesso alle predizioni ed alle deduzioni che risultano dalla profilazione, anche al fine di poter efficacemente e concretamente chiederne la rimozione.

Il rispetto delle regole fondamentali di protezione dei dati, anche nel contesto delle attività elettorali, è quindi essenziale per poter garantire e proteggere la democrazia, preservando la fiducia dei cittadini nell’integrità delle elezioni.

In Italia, il Garante Privacy, a mezzo del provvedimento in materia di propaganda elettorale e comunicazione politica del 18 aprile 2019 (doc. web 9105201), ha evidenziato quali possano considerarsi i presupposti di liceità del trattamento.

In linea generale, il trattamento dei dati potrà essere effettuato, a garanzia dei diritti e delle libertà degli interessati, sulla base della previa acquisizione del consenso di quest’ultimi, che deve essere libero, specifico, informato, documentabile e inequivocabile (artt. 6, par. 1, lett. a) e 7 GDPR), nonché esplicito ove il trattamento riguardi categorie particolari di dati (art. 9, par. 2, lett. a) GDPR). La richiesta di consenso dovrà pertanto essere oggetto di formulazione specifica e distinta rispetto alle ulteriori eventuali finalità del trattamento, quali, ad esempio, quelle di marketing, di profilazione, di comunicazione a terzi per diverse finalità.

È da considerarsi illecita la prassi, da parte delle associazioni o di terzi coinvolti nelle elezioni, di acquisire e utilizzare dati ottenuti secondo modalità non chiare, al fine di condurre qualsivoglia tipologia di iniziativa elettorale o comunicazione politica.

Resta comunque salvo l’utilizzo senza previo consenso dei dati degli interessati qualora l’ente politico abbia fra i suoi scopi statutari anche il diretto perseguimento di finalità di propaganda elettorale e comunicazione politica (artt. 6, par. 1, lett. f) e 9, par. 2, lett. d) Regolamento), a condizione che tali finalità, e le modalità di contatto utilizzabili siano ugualmente previste espressamente nello statuto o nell’atto costitutivo, nonché rese note agli interessati nell’informativa resa ai sensi dell’art. 13 del Regolamento.

Ove l’attività di propaganda comporti la partecipazione di soggetti terzi, tramite il conferimento di dati personali o la fornitura di servizi di comunicazione politica, occorre che i movimenti politici verifichino che gli stessi siano stati correttamente raccolti; la verifica, a seconda dei casi, dovrà riguardare, ove si tratti di banche dati di modeste dimensioni (nella quantità di poche centinaia o migliaia di anagrafiche) tutti gli interessati o, quando si tratti di banche dati più consistenti, un campione congruo rispetto alla quantità degli stessi, e dovrà concernere anche la qualità, con riferimento all’esattezza, correttezza ed aggiornamento dei dati trattati.

In ultimo, il Garante individua una serie di categorie non passibili di trattamento:

  • Dati personali raccolti o utilizzati per lo svolgimento di attività istituzionali;
  • Dati raccolti da titolari di cariche elettive e di altre funzioni pubbliche;
  • Dati raccolti nell’esercizio di attività professionali, di impresa e di cura;
  • Dati contenuti negli elenchi telefonici;
  • Dati reperiti sul web.

Anche ove, nei social network, come anche in blog, forum o altri siti, siano resi pubblici numeri di telefono o indirizzi di posta elettronica, i titolari che intendano fare un uso di tali dati politico/elettorale, dovranno acquisire specifico consenso per ciascuno degli interessati.

Conclusioni

Alla luce delle analisi sin qui condotte, si delinea, in un ambito così delicato quale quello politico, un quadro molto preoccupante: le tutele previste per il singolo, sebbene in linea con i principi generali, in mancanza di adeguati controlli che ne garantiscano il rispetto, sono poche, frammentate e dalla scarsa efficacia. Ciò vale maggiormente ove si pensi alle forze in gioco, nonché agli obiettivi che, come tristemente rivelato dallo scandalo Cambridge Analytica, si intende raggiungere.

Le attività di verifica e controllo, dati i rischi, assumono un ruolo fondamentale, divenendo l’unico baluardo a tutela del rispetto non solo dei principi della tutela dei dati personali ma della stessa democrazia.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

@RIPRODUZIONE RISERVATA

Articolo 1 di 4