Data Broker o intermediari di dati. Si chiamano così i soggetti che rintracciano, acquisiscono e rielaborano informazioni personali per poi rivenderli a terzi. Ma quanto sappiamo davvero su di loro e sull’attività da essi svolta? Quali sono i rischi per la tutela della privacy e della sicurezza dei cittadini e dello Stato?
Quando si presenta il conto delle nostre attività in rete, si è soliti imputare la lesione della privacy a Meta, TikTok o YouTube. Nel caso del brokeraggio di dati, però, è l’ecosistema digitale in cui operano tali grandi piattaforme e, più in generale, lo stesso comportamento dell’utenza in rete a essere fonte di preoccupazione.
Gli intermediari di dati o data broker possono essere definiti come quei soggetti che, pur non direttamente coinvolti nel rapporto con l’interessato del trattamento dei dati personali, sfruttano la dispersione dei dati e il bisogno di profilazione del c.d. capitalismo di sorveglianza.
La loro attività, infatti, consiste nella rielaborazione e catalogazione di dati raccolti, acquistati o scambiati al fine di rivenderli, in forma di “pacchetti”, sul mercato. Nello specifico, il servizio da essi offerto consiste nella rielaborazione di dati, spesso in partenza parziari e incompleti, e nel loro trattamento al fine di fare emergere informazioni quali il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di un determinato soggetto, se non di interi gruppi.
Così come descritto in un’indagine conoscitiva sui Big Data condotta nel 2018 da Agcom, Autorità Antitrust e Garante della Privacy, tale attività di profilazione e ampliamento del volume e della profondità dei dati si svolge però nel segno di una scarsa trasparenza nei confronti degli utenti finali, spesso ignari del riutilizzo dei loro dati personali e dello scopo a cui esso è devoluto.
Sebbene il brokeraggio di dati costituisca un fenomeno allarmante piuttosto recente, come rilevato in un articolo su Forbes, l’attività di raccolta dati da parte dei data broker è da far risalire già alla prima metà del XX secolo, quando dati e informazioni personali vivevano solo in formato analogico.
Oggi, tra i colossi dell’intermediazione di dati troviamo, per esempio, Acxiom, anche detta la “più grande impresa di cui non abbiate mai sentito parlare”, che vanta di possedere una vera e propria galassia di dati. Nielsen, creata nel 1923, che si è affermata come leader nelle ricerche di mercato ed è attiva nella raccolta di dati sui consumatori di oltre cento Paesi nel mondo. O, ancora, la più giovane CoreLogic, creata negli anni novanta e operante nel settore immobiliare che, secondo un Rapporto della Federal Trade Commission americana, deterrebbe dati su 795 milioni di transazioni immobiliari e 93 milioni di richieste di mutui.
Diversi e insidiosi sono i rischi che l’intermediazione di dati presenta, tanto che secondo taluni essi costituirebbero una vera e propria “minaccia per la democrazia”.
A prescindere dall’enfasi di tale espressione, a preoccupare è innanzitutto la scarsa visibilità dei data broker che, diversamente dai giganti del web quali Google o i più famosi social network, sono sicuramente meno conosciuti, controllati e regolamentati.
Ad essere ignoto è anche l’uso dei pacchetti di dati creati dagli intermediari. Questi, in assenza di limiti espressi, ben potrebbero essere acquistati da imprese ostili decise a utilizzarli per indirizzare campagne pubblicitarie nei confronti di soggetti vulnerabili e quindi più esposti a tecniche di marketing invasive.
Non solo. I dati raccolti dai broker potrebbero inoltre essere poco accurati a causa delle modalità con cui essi vengono reperiti. Si pensi, ad esempio, che il più delle volte l’attività di profilazione è compiuta sulla base di frammenti di dati dispersi nel web oppure a seguito dell’acquisto degli stessi sul darkweb. E se questo potrebbe non costituire un particolare problema quando essi vengano venduti a imprese operanti nel settore privato, può invece presentare conseguenze preoccupanti ove i pacchetti di dati vengano ceduti a pubbliche amministrazioni. Negli Stati Uniti, ad esempio, un’inchiesta di The Markup ha identificato decine di casi in cui a diverse persone è stato negato l’alloggio sulla base di informazioni sbagliate, spesso acquistate da data broker.
La scarsa visibilità dell’operato degli intermediari implica che non è dato conoscere e controllare chi si avvale dei loro servizi. I dati raccolti costituiscono una vera e propria forma di conoscenza che altro non è una declinazione del potere. Per questo diventa estremamente rilevante comprendere a chi tali ammontare di dati vengano ceduti, perché tra essi potrebbero celarsi potenze straniere interessate a controllare l’andamento politico interno allo Stato (è ormai noto il vicino caso di Cambridge Analytica), oppure a svolgere operazioni di controspionaggio o a identificare persone di interesse nella comunità da utilizzare come target di attività illecite.
Tali preoccupazioni non sono in alcun modo prese in considerazione nel quadro regolamentare dell’Unione Europea in materia di dati, da ultimo arricchito con il c.d. Data Governance Act (Regolamento n. 2022/868).
Quest’ultimo, infatti, si occupa unicamente dell’intermediazione dei dati svolta senza fine di lucro (a scopo altruistico) che viene anzi favorita dal legislatore europeo in quanto utile a facilitare la condivisione dei degli stessi e, al contempo, il controllo da parte dei soggetti a cui essi si riferiscono.
Ben diverso è il caso dei data broker, la cui attività è mossa ovviamente da importanti interessi di mercato, posta ormai il valore economico – commerciale assunto dai dati (ne abbiamo parlato QUI). Per tale ragione, non resta quindi che auspicare un intervento del regolatore sul tema, al fine di assoggettare l’attività di profilazione condotta dai data broker ai principi di liceità, correttezza, esattezza e trasparenza dettati dal GDPR.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale