Abbonati Accedi

Buchi nella rete

Jason Moore, sociologo dell’ambiente americano, nel suo libro Antropocene o Capitalocene? pubblicato nel 2015 mette in evidenza il ruolo del capitalismo nel concetto di antropocene e spiega le conseguenze della fine della “natura a buon mercato”. Moore, riprendendo le teorie degli economisti ecologisti Suter e Chase-Dunnan, sottolinea come la tendenza a considerare l’energia – in particolare la capacità di calcolo, il lavoro umano e le risorse della terra – una risorsa non esauribile sia un filo rosso che evidenzia gli aspetti problematici dell’architettura del capitalismo basato sull’overconsumption come impalcatura del suo sistema economico.

Tendiamo infatti, vittime di una inevitabile dispercezione, a massimizzare quello che non conosciamo, considerando che ci sarà sempre altra acqua o altra energia, ma per contro siamo molto consapevoli di quanto siano ridotte le risorse che possiamo monitorare in prima persona, come la nostra attenzione o il nostro tempo.

Il sistema di advertising che sprona a fare acquisti online sembra aver colto questa contraddizione e riesce a costruirvi sopra tutto il suo business model. Questo accade poiché nel nostro tempo, molto limitato, e con la nostra attenzione, molto intermittente, non riusciamo a curarci abbastanza della nostra privacy online e dell’insieme dei nostri dati, che viene utilizzato dalle grandi aziende tecnologiche per profilarci e trasformarci in consumatori più fedeli. Usufruendo di un qualsiasi servizio online, soprattutto se nominalmente gratuito, stiamo quindi ipotecando il nostro tempo e per le big tech è legale farlo perché a causa di un buco nero nelle maglie normative della rete i dati personali non sono una nostra proprietà giuridica.

 

Il dato è tratto

Agli albori di Internet, nel 1996, John Perry Barlow pubblicò online la Dichiarazione d’indipendenza del cyberspazio, uno scritto nel quale il web veniva immaginato come il luogo del futuro, gestito nel nome della libertà e dell’uguaglianza da una “civiltà della mente più umana e più giusta del mondo costruito sinora dai governi”. Barlow era solo uno dei molti accademici a celebrare il culto di Internet – che aveva appena iniziato a diffondersi nelle case degli utenti comuni – e in quegli anni era ancora impossibile pronosticare l’ingerenza tentacolare che le big tech avrebbero avuto oggi sui nostri dati. 

Nel tempo la fruizione del web si è trasformata dal modello stimolo-risposta del semplice scambio di mail in un’esperienza totalizzante, che necessita una presenza trasversale su Internet, dove però viene tracciato il minimo movimento dell’utente. Gli algoritmi di Google sono tra i più pervasivi, perché attingono a un account vastissimo che funge da base dati principale per le miriadi di inserzioni che compaiono sui social. È possibile scaricare i propri dati per averli a portata di mano, ma per impedire la raccolta delle proprie informazioni si è praticamente obbligati a rinunciare ai benefici del proprio account navigando in incognito, cancellando quotidianamente la cronologia e disabilitando la posizione del dispositivo. Facebook ha un controllo ancora più capillare sui propri clienti, dal momento che ha accesso anche ai metadati, alle informazioni relative ai device sui quali viene utilizzato e anche ai dati forniti da app e siti partner. Un’indagine del New York Times del 2018 ha messo in luce l’opacità degli accordi tra big tech, rivelando come Facebook avrebbe consentito ad oltre 150 aziende partner – tra le quali figuravano Apple, Spotify, Netflix e Amazon – di accedere ai propri dati, violando il divieto di condivisione senza l’autorizzazione esplicita degli utenti. Le numerose diramazioni nei settori più disparati permettono invece alla creatura di Jeff Bezos di accedere anche a informazioni relative all’affidabilità creditizia e credenziali private pronunciate davanti ad Alexa. Come per Google, gli utenti che vogliono preservare la propria privacy devono rinunciare a una buona parte dei servizi di Amazon, trovandosi davanti a una barriera invisibile verso la quale non esercitano il minimo controllo.

Il passo successivo è lo sfruttamento di questi dati – che vengono gestiti da agenzie apposite chiamate data broker – per il targeting, la comunicazione di annunci commerciali o messaggi politici, tanto più efficaci quanto maggiore è il loro tasso di ricezione. Gli utenti target, ai quali le aziende vogliono rivolgersi, sono quelli maggiormente portati a interagire con le inserzioni sponsorizzate sui loro feed online. Secondo il Digital Report 2020 pubblicato da We Are Social e Hootsuite l’87% degli utenti internet italiani cerca prodotti online e il 77% di loro conclude la propria ricerca con l’acquisto. L’utilizzo del machine learning ha poi permesso tramite il data mining di evidenziare connessioni inferenziali tra dati apparentemente scollegati, profilando i consumatori in cluster iper-specifici su cui fare riferimento per le campagne di marketing mirato. È quello che viene chiamato micro-targeting comportamentale, una tecnica commerciale personalizzata che può aiutare i consumatori a trovare sconti, ma che al contempo può sfruttare la profilazione degli utenti in base alla loro capacità di spesa per tarare offerte squilibrate e discriminatorie. 

Un settore commerciale che ha beneficiato particolarmente della profilazione algoritmica è quello del digital food delivery, che in Italia nel 2020 ha prodotto un valore complessivo di mercato tra i 700 e gli 800 milioni di euro. Un’ascesa vertiginosa che è stata favorita da una policy basata su sfruttamento dei dipendenti e commissioni aggressive, arrecando un danno significativo alle piccole-medie imprese (vedi Il gioco dei grandi). Ma se JustEat ha sfruttato il proprio database per delineare una Mappa del cibo a domicilio nel nostro paese, l’altro lato della medaglia è l’invasività della raccolta di dati sensibili nelle app di delivery che ha portato l’Autorità garante per la privacy ad avviare nel giugno 2019 un’istruttoria sul trattamento dei dati personali nei confronti di Deliveroo. La gestione che quest’ultimo, così come Glovo, Uber Eats e JustEat fanno delle informazioni degli utenti è infatti lacunosa e poco trasparente. Nessuna delle app citate dispone di protocolli di sicurezza completi contro registrazioni errate o login sospetti e tutte possono essere collegate a Facebook, con il rischio di un’assimilazione di dati provenienti da entrambe le parti. Le storture di queste piattaforme riescono a coprire l’intero spettro normativo, da Glovo che richiede l’accesso a contatti e memoria interna – oltre ad avere un’informativa della privacy tradotta male – fino a JustEat e Deliveroo che non specificano la durata di conservazione delle informazioni nei propri server. Nei paesi asiatici alcune ricerche hanno poi evidenziato una correlazione positiva tra food delivery e le conseguenze ambientali dell’overconsumption da cibo. Uno studio pubblicato nell’agosto del 2020 dal gruppo editoriale Springer ha rivelato che solo in Cina ogni ordine può immettere nell’atmosfera 111 grammi di CO2 e che l’86% di questa emissione è dovuto al packaging alimentare. La crescente popolarità di questo settore anche nel nostro paese sta quindi accrescendo ulteriormente l’inquinamento e la dispersione di plastica nell’ambiente.

Sospinti da due correnti alternate, tra la volontà di preservazione della propria privacy e l’intrusione continua dei colossi del web nelle loro vite, gli utenti di Internet si trovano così in preda ad una contraddizione, ad una sorta di paradosso della scatola nera. È loro interesse poter sfruttare al massimo delle loro capacità piattaforme come Google, Facebook e Amazon, ma questa scelta li costringe ad un trade-off negativo. Se la raccolta dei dati è solitamente soggetta a un consenso, l’accesso a questi stessi dati è il più delle volte proibitivo, con il risultato di un flusso di informazioni, immagini e parole unidirezionale, rinchiuso in un contenitore difficile da forzare, come la scatola nera di un aeroplano. Questa situazione asimmetrica può determinare classificazioni errate degli utenti e accentuare una discriminazione algoritmica nei confronti delle categorie più vulnerabili. La contemporanea ascesa del dynamic pricing potrebbe aiutare a scavare un solco sempre più profondo tra le varie fasce di consumatori, determinando un disallineamento etnico, geografico ed economico al quale sarebbe sempre più difficile opporsi. 

 

I confini di legittimitá

Flussi di persone e merci continui, in entrata e in uscita, continui stimoli visivi, centinaia di offerte ed annunci apparentemente identici, confusione generale: per certi versi il mercato dell’e-commerce ha più in comune con un gran bazaar piuttosto che con il commercio al dettaglio tradizionale. Lo stesso vale per l’atteggiamento dei venditori, che per conquistare il potenziale cliente devono riuscire a capire con un colpo d’occhio chi è e quanto è disposto a spendere. Certo, se un rivenditore di Istanbul ha disposizione solo i suoi occhi, il retailer online ha accesso ad una quantità di informazioni diversa, ma per quanto istintivamente possa suscitare (giustificate) preoccupazioni, la tecnica del dynamic pricing di per sé non è né nuova né illegittima, anzi. Da una prospettiva prettamente economica, la possibilità di adottare prezzi elastici tarati sul micro-profiling permette al venditore di proporre l’offerta giusta al momento giusto, e al consumatore di ottenere un prezzo personalizzato, non di rado più conveniente, ottimizzando di fatto il rapporto tra domanda e offerta. 

La ragione dell’efficienza non basta tuttavia a sgombrare dalle preoccupazioni di ordine etico e giuridico: chiedere al diritto alla privacy di fare un passo indietro comporta una serie di inconvenienti soprattutto se trattiamo di tecniche che, come la targettizzazione, si affidano a processi decisionali automatizzati, ovvero sistemi che senza un coinvolgimento umano restituiscono un output sulla base dei dati forniti. Innanzitutto il consumatore è facilmente inconsapevole della sua appartenenza a un micro-profilo, o della proposta di beni e di prezzo che ne deriva, ma soprattutto il rischio è di cadere in meccanismi che perpetuano pratiche discriminatorie e segregazione sociale. 

Per non cadere in simili eventualità è indispensabile tutelare la privacy, e il legislatore europeo si è mobilitato con una delle normative più avanzate del settore, tanto che le preoccupazioni appena espresse si possono leggere nelle premesse del Gdpr e delle linee guida sulla profilazione. Il nuovo regolamento Europeo entrato in vigore in Italia lo scorso 19 Settembre 2018 (D. lgs. 101/2018) segna una grande svolta per la disciplina comunitaria sul trattamento dei dati personali, è in grado in particolare di mostrarci il livello di adeguatezza dei rimedi di tutela offerti dal legislatore, che possono e devono giocare nella scacchiera del digitale un ruolo decisivo. In via generale però, il regolamento non pone un divieto assoluto riguardo a processi decisionali automatizzati come il dynamic pricing. O meglio, il loro uso legittimo è limitato a tre casi, di cui solo uno adatto alla profilazione: il consenso dell’utente. 

Percorrere la via del consenso informato, per qualsiasi trattamento dei dati, si traduce in un obbligo di trasparenza a carico del provider, che dovrà predisporre un disclaimer in cui evidenziare con un linguaggio comprensibile e completo le informazioni raccolte, la logica con cui vengono processate e l’incidenza che hanno sulla proposta di prodotti e prezzi, nonché le possibilità di rifiutare il trattamento. 

Il quadro normativo qui sceglie la via della responsabilizzazione interna, lasciando il ruolo del protagonista al DPO (Data Protection Officer), vera e propria nuova figura professionale che con competenze tendenzialmente giuridiche e informatiche può essere incaricato come soggetto terzo dal responsabile del trattamento dei dati per organizzare e gestire a norma del GDPR l’architettura destinata a proteggere i dati sensibili.

Avendo molteplici ruoli, il DPO è anche quella figura che rimane aggiornata su tutti i provvedimenti normativi che vadano a influire sulla disciplina dei dati. L’assunzione di questa figura da parte delle aziende si rende necessaria qualora queste ultime trattino dati su larga scala in modo sistematico e continuativo.

Pur avendo una grande responsabilità in termini sociali, il DPO non presenta ad oggi l’adeguata attenzione normativa che meriterebbe. La normativa prescrive infatti che l’officer possa essere assunto sia esternamente che internamente all’azienda; il rischio è che avendolo delineato come figura essenzialmente privata ed eventualmente proveniente dall’interno si sia portati, per la ricerca del risparmio sempre presente nell’attività di impresa, ad approcciare agli adempimenti previsti dal GDPR come si approccia a quelli burocratici, rendendo sbrigativo e il meno dispendioso possibile il processo di messa in sicurezza, che resta invece sempre più preminente. L’ente indipendente, adibito al controllo e al potere sanzionatorio, sarebbe comunque l’Autorità Garante per la privacy, che con un ruolo anche di consulenza sul rispetto della normativa per tutti gli imprenditori e i DPO che ne necessitino, dovrebbe compensare l’arbitrarietà lasciata agli imprenditori. Preoccupazione di molti nel settore è che le aziende, specialmente piccole e medie, non si trovino ancora pronte né economicamente né tecnologicamente ad affrontare un eventuale ispezione a norma del GDPR.

Le piccole e medie imprese (PMI) non sono le sole ad aver riscontrato problemi di adeguamento: lo scorso 16 Novembre è uscita sul sito istituzionale del Garante della privacy la notizia di un’avvenuta sanzione per 12 milioni e 250 mila euro ai danni di Vodafone per aver trattato in modo illecito i dati personali di milioni di utenti a fini di effettuare telemarketing aggressivo. Secondo quanto emerso dall’indagine le attività promozionali illecite sarebbero avvenute tramite numeri fittizi non censiti nell’apposito registro – quindi non autorizzati a compiere attività promozionali – che avrebbero agito, con grande probabilità, violando database dei clienti, con totale sprezzo della nuova normativa UE. Ulteriore e grave violazione evidenziata dal Garante sarebbe consistita nella illecita gestione delle liste dei nominativi da contattare a fini promozionali, liste finite in un trasferimento illegale di dati tra Vodafone e terzi. La suddetta sanzione è avvenuta su stimolo delle segnalazioni che gli stessi consumatori hanno rivolto all’autorità garante, e ciò evidenzia due criticità del sistema normativo ad oggi operante in tema di privacy: da un lato il fatto che la normativa non sia ad oggi sufficientemente imperativa neanche per le grandi imprese, irregolari da questo punto di vista, e dall’altro che ciò debba essere evidenziato dalle lamentele di chi quei dati se li è ormai già visti violare.

E’ auspicabile che con il passare del tempo la funzione sanzionatoria del Garante in questo senso possa fungere da sensibilizzatore dei consumatori, che resi consapevoli dall’Autorità delle sistematiche violazioni dei loro dati, potranno essere sempre più disposti ad affidarsi alle aziende realmente credibili in materia di protezione dati. Conformarsi in pieno alla normativa europea quindi, per quanto oneroso, potrà portare alle aziende dei vantaggi anche in termini di affidabilità. L’anno scorso l’attività del garante, oltre alla sopracitata condanna record ai danni di Vodafone, ha registrato sanzioni per un totale di 3 milioni di euro, ma ciò che non dev’essere sottovalutato è che raramente questa attività sanzionatoria tocca i meccanismi di profilazione, e quand’anche dovesse crescere la consapevolezza del consumatore medio, questi difficilmente riuscirebbe a tenere traccia di tutti i frammenti di dati che nel suo percorso online lascia in pasto ai data brokers.

Il discorso diventa infatti maggiormente complesso se consideriamo che le grandi figure che dominano il mercato del consumo hanno generalmente una posizione dominante in più settori, Amazon in particolar modo. Nel 2019 l’Antitrust dell’Unione Europea ha avviato un’indagine sull’attività dell’azienda per sospetto abuso di posizione dominante, ossia la condotta di un soggetto che, potendo beneficiare di un considerevole potere di mercato, danneggia la capacità di altri concorrenti di operare sul mercato, con conseguente danno anche per i consumatori. Dall’ultimo aggiornamento, il 10 novembre, risulta da parte di Amazon una condotta lesiva in questo senso: grazie al ruolo di market maker, permetterebbe, infatti, ai dati dei venditori al dettaglio presenti sulla piattaforma di confluire direttamente nei sistemi di profilazione, accrescendo ulteriormente la mole di informazioni in suo possesso.

Per arginare fenomeni di questo tipo dal lato istituzionale si interviene su due binari: da un lato intervengono i garanti, Garante Privacy e Antitrust in questo caso, per sanzionare le violazioni di privacy e concorrenza; dall’altro, sul binario legislativo, si cerca di limare il dominio esercitato dai big della tecnologia. In questo senso il legislatore europeo ha emanato una direttiva, la 1024 del 2019, volta a bilanciare la posizione di grandi aziende e PMI tramite la diffusione della mole di informazioni raccolte dagli enti pubblici. Nella logica dell’intervento, aumentare la quantità di dati disponibili rende più efficaci gli algoritmi, riducendo così il rischio di distorsione dei profili. Inoltre, se si facilita l’accesso ai database con la previsione di un margine di guadagno nullo per l’ente pubblico che li fornisce, si eliminano le barriere all’ingresso del data market, cosicché anche le imprese minori possano accedere alle materie prime del marketing. 

Il punto di vista non è però quello del singolo utente, per cui non si prospettano vantaggi dalla diffusione delle sue informazioni: che si intervenga sul fronte della tutela della privacy o su quello della tutela del mercato, si cerca al più di garantire un accesso libero ai dati finalizzati alla profilazione purchè sia trasparente e garantisca la concorrenza. Le conseguenze a lungo raggio, in termini di consumi e tenore di vita, faticano a trovare il loro posto nelle considerazioni. Se infatti è possibile un utilizzo “a fin di bene” della raccolta dati, è pur vero che gli sforzi dell’innovazione tendono a dirigersi dove vengono meglio remunerati. Il settore privilegiato allora non può che essere quello del commercio al dettaglio online, che ha registrato nel 2020 un incremento dei ricavi di 3,5 miliardi e un aumento medio dei consumi annui del 18% dal 2015 ad oggi (fonte: Netcomm, 2020). Man mano che si percorre questa strada le tecniche si affinano, e siamo sempre meno in grado di percepire quando e quanto influenzano il nostro stile di vita; la risposta normativa europea ha una sua efficacia in termini di privacy, ma per raggiungere “un’Europa a impatto climatico zero” – per citare la legge europea sul clima – non si può trascurare il concreto rischio di overconsumption che si cela dietro gli utilizzi dei big data. La legittimità delle pratiche di targeting non viene messa in discussione e questa resta, di fondo, una scelta politica.

 

Attaccati agli schermi 

Spesso il cellulare è sinonimo di riposo, pausa e se vogliamo, pure di pigrizia. Organizziamo persino la schermata iniziale in modo che tutto ci sia a portata di pollice. D’altro canto le azioni che compiamo con i dispositivi sono percepite naturali e spontanee grazie a un design dell’interfaccia che tuttavia cela una forma di coercizione impercettibile. La captologia – pensata da B. J. Fogg, fondatore e direttore dello Stanford Persuasive Technology Lab – studia la persuasione occulta del web, ossia come il design dei dispositivi e della rete interagisca con la mente umana per indurre comportamenti e abitudini involontarie. Il modello gode di una vasta adattabilità al mondo tecnologico e in particolare il Fogg Behaviour Model spiega quali sono i tre fattori necessari per attivare un’azione irriflessa: motivazione, abilità e trigger. L’equazione B=MAT – Behavour corrisponde a Motivazione per Abilità per Trigger – è semplice, ma non banale: tutti i design dei social network o degli e-commerce sono imperniati sull’attivazione di questi fattori. Una volta che l’esperienza d’uso ci conduce nel tunnel, servono rinforzi: semplicità e immediatezza sono gli ingredienti che il design persuasivo attua. Concetti che possono sembrare scontati a primo acchito, ma sono tanto invasivi tanto inavvertibili. Il design persuasivo ha la peculiarità di non farsi notare, di nascondersi dietro al lenzuolo dell’immediatezza e dell’esperienza a portata di tutti.

 Una volta persuasi (motivati, capaci e stimolati-attivati) e improvvisamente presi da un flebile lume di raziocinio, potremmo pensare di volerci allontanare dal tunnel con un’uscita di emergenza. Alziamo lo sguardo e cerchiamo le scritte a led rosso, luminose, ma nulla: tutto è oscurato. Le vie buie – denominate dark pattern per la prima volta da Harry Brignull, esperto di user designer experience – scongiurano ogni possibile fuga: strutturare l’interfaccia in modo tale che, pur lasciandoti la libertà di scegliere, tu non possa farlo. La sfida, quindi, è spingere gli utenti alla creazioni di routine digitali e poi scongiurarne la dismissione. Un esempio è il Roach Motel, che rende difficile l’uscita da un situazione: per disiscriversi ad Amazon è necessario andare in sottosezioni di sottosezioni e fare la richiesta al servizio clienti con un form. I dark pattern possono essere lessicali, grafici o di qualsiasi altra natura semiotica, e si basano sui deficit che l’utente medio presenta mentre interagisce con un’interfaccia: uno studio svolto in Canada nel 2015 da Microsoft dimostra che la soglia di attenzione dell’utente è diminuita dai 12 secondi, media risalente ai primi anni 2000, a 8 secondi. Perciò mancanza di attenzione e, in aggiunta, scarsità di tempo. Alcuni ulteriori archetipi di dark pattern sono gli Overuse persuasive messages, avvisi su siti di prenotazione viaggi o alloggio che dovrebbero allertare gli altri utente interessati sulla scarsità di disponibilità, ma spesso si tratta solo notifiche per spingere all’acquisto, oppure l’uso delle cosiddette non-stop notifications: le notifiche push dei social di costante aggiornamento su messaggi, promemoria, post, offerte che ci spingono a mantenere costante l’attenzione sul telefono. Tutto ciò per un’esperienza d’uso ottimale, su misura per il consumatore, o almeno questi sono i deboli vantaggi per gli utenti rispetto alla sua costante attenzione. L’esempio di Dark pattern per eccellenza sono di cookies by default e consiste nel fornire all’utente delle opzioni preimpostate durante la fase di iscrizione o fruizione – con modalità più o meno chiare – spingendolo così ad accettare passivamente la cessione di dati utili per la profilazione. Se, eventualmente, dopo essere stato spinto ad accettare, l’utente avesse un barlume di apprensione su cosa fosse accaduto, non sarebbe di certo a portata di click, questa volta, risalire all’’accaduto.

 

Biscotti avvelenati 

Nel novembre 2018, Facebook è stato interrogato dall’Autorità Garante della Concorrenza e del Mercato per pratiche commerciali ritenute “scorrette” sia durante la fase di registrazione dell’utente al servizio che durante quella di fruizione dello stesso. La prima condotta ritenuta “ingannevole” riguardava la mancanza di un’informativa per gli utenti che fosse sufficientemente consapevole circa l’utilizzo dei dati personali, ma piuttosto finalizzata alla raccolta dei dati per una successiva utilizzazione o condivisione con terze parti. Pertanto, la pagina di registrazione menzionava la gratuità del servizio, ma non faceva chiaramente riferimento agli scopi commerciali.

La seconda condotta ritenuta “aggressiva”, consisteva nella trasmissione dei dati degli utenti da Facebook a terzi siti “web-app” con scopi commerciali, in assenza di un chiaro e anticipato consenso dei soggetti interessati. Nel corso di un successivo ricorso di Facebook al TAR Lazio, quest’ ultimo ha confermato l’obbligo per l’impresa statunitense di pubblicare preventivamente un’informativa trasparente in merito alle finalità perseguite dal social network. Lo stesso non si può dire invece per l’integrazione dei dati con terze app/social, che non è stata ritenuta una pratica lesiva per i diritti degli utenti, riprendendo il fatto che per gli interessati è sempre stato possibile fornire il consenso sull’utilizzo dei dati personali. 

Per comprendere l’importanza dei cookies come strumenti di raccolta dati, è necessaria una riflessione sull’evoluzione delle modalità di acquisto al dettaglio. La transizione del commercio su larga scala dall’offline all’online non é avvenuta senza pagare il prezzo di una modifica sostanziale nei presupposti teorici alla base della struttura del canale d’acquisto.

L’ e-commerce apparentemente annulla la parte più umana dell’acquisto, il rapporto di fiducia e conoscenza personale con chi gestisce il negozio e i rituali di accoglienza dei clienti abituali. Sembrerebbe difficile ordinare “il solito” su un sito web. Questo forse era vero agli albori dell’acquisto al dettaglio online, ma strumenti come i cookies rendono possibile la riproduzione artificiale del rapporto tra acquirente e negoziante. I cookies sono dei file di testo che vengono installati sul nostro browser nel momento in cui accediamo a un sito e ricordano informazioni come la nostra lingua, il nostro sesso, il tipo di articoli che compriamo di solito, la nostra posizione geografica o il tempo medio che passiamo online su siti di shopping. Non tutti i cookies sono uguali e non sono l’unico tipo di tecnologia esistente per ricordare informazioni su un utente, ma rimangono comunque il più diffuso e a livello di regolamentazione della user experience al momento il più invasivo. 

La proposta, il canonico “Ok, accetto” da cliccare, è il risultato di un processo normativo volto alla tutela della privacy degli utenti regolato dalla direttiva comunitaria europea 2009/136/EC, che impone a tutte le legislazioni nazionali degli Stati membri di adottare una legge che regolamenti il rapporto tra i dati degli utenti e l’uso che ne fanno i proprietari dei siti web. 

Il fenomeno è legato a doppio filo con la captologia: il modo con cui viene presentata la richiesta all’utente per l’utilizzo dei cookies appare come un prerequisito per l’accesso al sito, la pagina visitata viene occupata lateralmente o in casi estremi per intero da un banner integralmente coperto di parole scritte piccole, fitte e tra cui salta all’occhio più di un numero e l’indicazione di un riferimento a una legge, quella nazionale che risponde alla normativa europea. In basso compare la soluzione, chiara, veloce: cliccando apparentemente non succede nulla, il banner scompare. Il meccanismo, nonostante sia l’applicazione della direttiva, ne tradisce lo scopo primario.

Infatti ai sensi degli articoli 4(11) e 7 del GDPR “Il consenso deve inoltre essere specifico, informato e inequivocabile e l’interessato deve poter negare o revocare il consenso senza pregiudizio”. Mentre il tempo necessario per leggere per intero la normativa sull’utilizzo dei dati nella maggior parte dei siti é di circa due minuti, e spesso coincide con il tempo totale che trascorriamo sul sito, passati senza aver mai letto l’informativa, ma avendo accettato tutti i cookies.

Gli enti che raccolgono i dati degli utenti a fini commerciali, che si identificano come garanti dell’ottenimento di un consenso valido per l’utilizzo dei dati forniti dall’utente, falliscono così nella loro missione. 

L’ambiziosità del progetto legislativo europeo rappresenta senz’altro uno sforzo poderoso da parte delle istituzioni dell’Unione.

Sebbene si tratti di un regolamento, e pertanto direttamente applicabile, rimane necessaria una sua “traduzione” attraverso una legge statale, promulgata mediante l’iter legislativo previsto dal proprio ordinamento giuridico. Ai sensi di quanto stabilito dal GDPR, il processo di attuazione legislativa da parte degli stati membri è lo strumento attraverso il quale vengono definiti e adattati i parametri delle opening clauses, ovvero quei parametri la cui adozione o interpretazione è lasciata a discrezione dei vari parlamenti nazionali. La scelta di una consistente discrezionalità potrebbe essere, a detta di molti, il maggiore ostacolo all’efficienza della normativa di Bruxelles.

Il sistema a 27 stati, ognuno con le proprie istanze politiche, socio-economiche e culturali, comporta una fisiologica tendenza all’eterogeneità, la quale è confermata anche dalla prima relazione di valutazione e riesame del Regolamento (UE) 2016/679, a cura della Commissione, del 25 giugno scorso. Il documento Data protection as a pillar of citizens’ empowerment evidenzia come eventuali incongruenze possano causare notevoli difficoltà al sistema europeo. Un esempio riportato è quello relativo all’impatto sulle attività commerciali transfrontaliere, le quali dovendosi interfacciare con interpretazioni della normativa differenti da un paese all’altro, debbono prestare un’attenzione particolare per non incorrere in eventuali sanzioni. Questo va a minare l’efficace funzionamento del mercato unico e il principio stesso della libera circolazione delle merci, entrambe ratio alla base del sistema comunitario.  

È anche al fine di limitare queste disomogeneità, che tra la data di entrata in vigore del Regolamento, con la pubblicazione nella Gazzetta Ufficiale dell’UE il 25 maggio 2016, e la sua effettiva operatività, sono passati esattamente due anni. Nonostante questa finestra temporale, esistono tutt’oggi delle resistenze, personificate dall’indifferenza dell’unico paese che ancora non ha legiferato in materia, lasciando implicitamente lettera morta il GDPR: la Slovenia. Le istituzioni di Lubiana sono rimaste noncuranti nonostante le sollecitazioni da parte della Commissione, la quale ha invitato anche formalmente il paese a provvedere alle sue mancanze, con una lettera da parte del commissario europeo alla giustizia Didier Reynders. La Commissione mira per questo a inserire delle normative più restrittive, anche al fine di arginare la tendenza inversa di talune legislazioni nazionali, di andare oltre i margini stabiliti dal GDPR, introducendo requisiti supplementari più stringenti anche in assenza di margini, causando frizioni con il funzionamento del mercato interno.

Quello che si profila è un quadro piuttosto chiaro. Sebbene lo slancio normativo comunitario, rappresentato dal GDPR, sia senza dubbio il più ambizioso tra i progetti legislativi volti ad arginare tali fenomeni, una velata resistenza degli stati membri, un’interpretazione personalistica delle norme del regolamento, e la complessa materia da legiferare attenuano di molto il suo potenziale. 

Il processo di trasformazione degli utenti in consumatori, che passa necessariamente attraverso la profilazione, ha prodotto una quantità spropositata – il paper Assessing ICT Global Emission Footprint li ha stimati in media come il 52% rispetto a tutti quelli posseduti – di dark datas. Si tratta di dati accumulati per ingordigia e che l’azienda non possiede le risorse per analizzare, ma che influiscono sull’impalcatura del sistema di storage digitale in modo considerevole. La presenza online di una moltitudine di dati individuali, oltre a spingere a un consumo insostenibile e marcatamente più specifico di quanto non lo sarebbe altrimenti, ha anche un impatto ambientale diretto.

La rete internet produce circa il 4% delle emissioni di CO2, si stima che nel 2025 arriverà all’ 8% e nel 2040 al 14 %: una curva esponenziale con un tasso di crescita medio di circa il 3% ogni 5 anni.

L’esistenza di database privati che raccolgono dati personali a fini commerciali non risponde ad alcun tipo di esigenza collettiva e di conseguenza dovrebbe essere trattato alla stregua di una forma di inquinamento. Così sostiene Giovanni Buttarelli, ex Garante per la protezione per i dati personali in Italia, che sottolinea come sia necessario per l’utente che voglia davvero cautelare la propria privacy online diventare “un mago della tecnologia e un mendicante del diritto”, nonostante si tratti di un diritto fondamentale.

In un articolo della rivista giuridica Diritto dell’informazione e dell’informatica, del Luglio-Ottobre del 2019, Livia Aulino scrive come nella normativa attuale si stia rendendo necessaria quella buona dose di pragmatismo, ossia quella attenzione ai fenomeni reali che dovrebbe accompagnare il giurista moderno. La soluzione prospettata dalla Aulino è quella dell’apertura al concetto di legal design, ossia alla riconsiderazione del modo in cui i singoli cittadini possono entrare in contatto con la legge, provando cioè a renderla loro conoscibile con l’utilizzazione di linguaggio semplice e d’impatto, che sia supportato da illustrazioni anche grafiche immediate e intuitive.

Se non correttamente regolamentata si tratta di una forma di inquinamento doppiamente dannosa: dal punto di vista ambientale e sociale, con le due dimensioni che si intrecciano passando attraverso gruppi Whatsapp, Smart TV e acquisti online. La mercificazione di ogni scelta che prendiamo davanti a uno schermo è quindi figlia di meccanismo economico che la dice lunga su come vengono considerate le risorse: infinite.

Articolo di Marta Bernardi, Jacopo Andrea Panno, Chiara Falcolini, Andrea Calà, Nicolò Benassi e Lorenzo Sagnimeni