La nostra dimensione sugli ampi spazi social si è inevitabilmente arricchita e amplificata durante la pandemia portandoci a essere sempre più vicini alle ambizioni di Mark Zuckerberg, il quale ci vorrebbe tutti ossequiosi cittadini del suo mirabile multiverso, disegnato per noi in modo sempre più ossessivamente profilato. Così dobbiamo leggere l’ultima novità degli occhiali smart di Ray-ban, nati da una partnership con Luxottica e Facebook, presentati pomposamente in questi giorni sul mercato e sviluppati proprio per farci percorrere l’ultimo miglio in termini di cessione di nostri dati e completare così un disegno che è partito da lontano e ormai ci riguarda tutti. Sono, quindi, senz’altro corrette le preoccupazioni del Garante italiano per la protezione dei dati personali, il quale chiede spiegazioni sulla base giuridica di questi trattamenti da parte di Facebook e in merito alle garanzie per noi cittadini.
Ma è pacificamente applicabile il Regolamento europeo sulla protezione dei dati personali (GDPR) agli occhiali Ray-Ban integrati con Facebook?
Lo ripeto, bene ha fatto il Garante italiano a chiedere spiegazioni. Del resto, la potenziale aggressione alla riservatezza dei cittadini italiani correlata a questo strumento pronto a invadere anche il nostro mercato è evidente, come sono evidenti anche i rischi potenziali di una profilazione di massa ancora più strisciante e pervasiva rispetto a ciò che già subiamo attualmente, perché condizionata da automatismi che porteranno chi indossa lo strumento a tenerlo spesso attivo e, quindi, connesso all’ambiente social. E non so quanto una lucina bianca che si attiverà quando si inizierà a registrare un video possa garantire la consapevolezza di chi verrà sistematicamente ripreso nell’ambiente circostante a tali riprese. Di certo, ci abitueremo anche a questo. Quindi provare, non a frenare la tecnologia, ma almeno condizionarla per tutelare diritti e libertà ormai messi sistematicamente a dura prova è attività da sostenere.
Non posso non interrogarmi, però, sulla titolarità di questi trattamenti: chi e come deve essere considerato titolare e/o responsabile di queste registrazioni che finiranno tra le nuvole dei social? E se il trattamento sarà strettamente personale quanto potrà ritenersi direttamente applicabile il GDPR?
Non si può non ricordare, infatti, che il GDPR non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di un’attività a carattere esclusivamente personale o domestico e, quindi, senza che sussista una connessione con un’attività commerciale o professionale. È vero anche, però, che il GDPR nel considerando 18) ritiene applicabili i suoi principi a chi sviluppa questa tipologia di servizi e tale applicabilità viene ribadita nell’art 3.2.b) dello stesso GDPR, allorquando da un titolare extra UE venga effettuato un monitoraggio sistematico su territorio UE. Pertanto, i grandi player come Facebook il GDPR devono considerarlo e applicarlo.
Non possiamo non sottolineare comunque che non sarà così ovvio per l’Authority italiana farsi sentire in un mondo, quello ormai odierno, che sembra procedere verso la possibile concretizzazione di ciò che registi e visionari avevano immaginato nei loro incubi peggiori e, cioè, un futuro governato dalle “macchine e dai robot”. E dietro queste intelligenze artificiali saranno poche teste a governarci in una placida realtà programmata minuziosamente alle nostre spalle. Sempre di più, del resto, ci possiamo rendere conto che saremo – anzi lo siamo in gran parte già – governati dai dati, attraverso indagini statistiche e predittive su noi stessi nelle mani di pochissimi player in grado di sostituirsi agli Stati nazionali o – meglio – governare oltre essi in una sorta di parastato digitale in grado di condizionarci dolcemente e sistematicamente. E per consentirlo non devono esserci frizioni con i singoli Stati nazionali, occorre anzi agevolarli a programmarci in ogni singola scelta più opportuna e controllata (per il nostro bene ovviamente). Insomma, alla lunga, in questo possibile percorso, i robot saremo noi.
Sono solo deliri di un complottista questi? Forse (e lo spero), ma per evitare che ciò (che è oggi possibile) si realizzi è urgente porre in essere delle solide contromisure.
Nella dimensione social, di cui è sempre più intrisa la nostra esistenza – ci piaccia o no – siamo in una prigione dorata. Gli OTT, come Facebook & C., hanno vissuto indisturbati lungo i binari di un web libero, ma hanno abusato di questa libertà loro concessa, creando spazi immensi dove si condividono ormai identità, dati personalissimi, si esprimono pensieri e si sviluppano affari e servizi pubblici. E questo spazio, per ciò che è diventato, non può più essere lasciato alla comoda auto-regolamentazione dei big player (lasciandoli così ancora indisturbati a continuare “a fare affari” su di noi, accumulando dati che ci riguardano). Questo spazio andrebbe invece considerato per ciò che oggi è e, quindi, regolamentato come un servizio essenziale che incide sistematicamente su diritti e libertà di noi cittadini (oltre che di interessi di imprese e PA). Del resto, non possiamo più rimanere indifferenti di fronte ad algoritmi (peraltro non aperti) che ormai, dietro accurate e pelose profilazioni, decidono arbitrariamente di fare “pulizia” (vere e proprie epurazioni) di profili e post scomodi o che semplicemente non sono allineati al mainstream.
Questo ormai è un presente pericolosissimo. A cui non possiamo e dobbiamo abituarci. Perché questa non è libertà. Questa è dittatura digitale in mano a operatori privati che continuano ad abusare della loro posizione dominante a livello mondiale.
L’ultimo baluardo normativo che ci è rimasto è proprio il GDPR con le sue Authority? Il GDPR ormai viene definito vecchio in troppi convegni ed effettivamente inizia a non essere sufficiente per arginare con successo questa involuzione che ci riguarda. E il Regolamento UE e-privacy continua da anni a essere opportunamente impaludato.
Segnali questi che non possiamo ignorare e occorre trovare così nuove strade a presidio del nostro stesso concetto di democrazia messo a dura prova negli scenari digitali a cui ci stiamo pericolosamente abituando.
La verità è che, a mio avviso, come è stato concretizzato nel GDPR il diritto alla protezione dei dati personali, così si dovrebbe andare oltre oggi nell’evoluzione della normativa europea tutelando in modo più proattivo e concreto il nostro diritto fondamentale alla riservatezza (peraltro già riconosciuto nell’art. 7 della Carta di Nizza).
La tecnologia va sviluppata e non bloccata, ma soppesandola in un delicato e costante equilibrio con i diritti e le libertà degli individui. E, forse, da Authority che si occupino e preoccupino “solo” di protezione dei dati personali dovremmo arrivare a concepire Autorità indipendenti che si occupino e preoccupino autorevolmente nel loro perimetro di azione di tutti i diritti e le libertà dei cittadini europei (e non europei presenti su territorio UE) ormai sistematicamente aggrediti dalle politiche di profilazione di massa dei grandi player.
È urgente che si avvii questo processo, magari coordinandolo a livello non solo europeo, ma internazionale.
Credo che sia l’unico modo per sviluppare tecnologie sempre più invasive che per dipanare la loro utilità – restando però strumenti saldamente nelle nostre mani digitali – abbiano bisogno di argini normativi importanti e autorevoli.
C’è rimasto poco tempo per farlo.