Questo è un articolo “what-if”,”che accadrebbe se…” o meglio “cosa sarebbe accaduto se”, dove il “se” riguarda una norma che viene dal passato, dal 1931 per l’esattezza, e che se fosse stata interpretata e applicata agli albori della nascita della profilazione online avrebbe potuto bloccare fin dall’inizio l’accumulazione di dati sulle persone (cioè il “dossieraggio”) da parte di Big Tech e della miriade di data-broker che prosperano su queste pratiche dai contorni ancora oggi molto poco definiti. Stiamo parlando dell’articolo 134 del Regio Decreto n. 773 (anche noto come “Testo unico delle leggi di pubblica sicurezza” o “TULPS”). di Andrea Monti – Inizialmente pubblicato su Strategikon – Italian Tech-La Repubblica
Nella sua laconicità, questo articolo dice senza mezzi termini che: “senza licenza del prefetto è vietato ad enti o privati di prestare opere di vigilanza o custodia di proprietà mobiliari od immobiliari e di eseguire investigazioni o ricerche o di raccogliere informazioni per conto di privati”.
Licenza del prefetto per i fornitori di servizi di analytics?
Dunque, attualizzando la norma ad oggi, chi offre servizi di analytics deve chiedere la licenza al prefetto per poter operare? Che succede se non lo ha fatto? Che responsabilità hanno aziende e istituzioni che fruiscono di questi servizi? Ma se la vigilanza sulla creazione di dossier spetta al prefetto, “a che serve” il Garante dei dati personali?
Andiamo con ordine.
È ovvio, ma giova in ogni caso ricordarlo, che l’obiettivo dell’articolo 134 e quella del TULPS non è la tutela di un diritto individuale, ma dello Stato. A stretto rigore, quindi, non si potrebbe parlare di una norma emanata per tutelare i cittadini, la loro privacy ma più in generale la loro incolumità. Fino ad ora, infatti, la sua applicazione ha riguardato essenzialmente l’attività di investigazione privata, lasciando fuori, per esempio, la creazione e la gestione di database privati sul merito creditizio —la versione occidentale del social scoring estremo orientale.
Tuttavia, il significato delle norme si evolve e cambia nel tempo per cui le stesse parole di cui è fatto un articolo di legge possono assumere oggi un significato diverso da ieri. Basta pensare al concetto di oscenità che nel corso del tempo ha portato alla censura di film di Totò e Bertolucci e che, oggi, è applicato con criteri incomparabilmente meno rigidi.
Dunque può essere interessante fare un esercizio di ragionamento e provare a capire se —e a cosa servirebbe— interpretare l’articolo 134 del TULPS in modo più esteso.
La profilazione online è dossieraggio?
Partiamo da una considerazione: il divieto di dossieraggio previsto dall’articolo 134 da riferimento a un concetto di pubblica sicurezza che non è più soltanto sinonimo di garanzia della peace of the land ma si è evoluto nel corso del tempo anche estendendosi alla tutela degli individui in quanto tali e dunque dei loro diritti. Infatti, il ruolo del prefetto, autorità locale di pubblica sicurezza, si traduce oggi in un controllo di legalità su chi esercita attività di raccolta di informazioni anche e soprattutto per prevenire abusi nei confronti dei cittadini.
Questa interpretazione evolutiva dell’articolo 134 avrebbe un impatto diretto sull’intero ecosistema distopico dei servizi online, dalla loro stessa progettazione al modo in cui sono realizzati e fino a quello in cui sono regolati i rapporti con gli utenti.
La profilazione anonimizzata non sarebbe troppo colpita, ma quella che (promette di) viviseziona(re) gli individui potrebbe avere qualche serio problema.
Ma sarebbe realmente possibile un’interpretazione del genere? E con quali conseguenze?
Per capire se l’articolo 134 si applica ai servizi di piattaforma dovremmo innanzi tutto rispondere a una domanda: profilare un soggetto equivale a “eseguire investigazioni o ricerche o di … raccogliere informazioni per conto di privati”?
La risposta è “si” anche se con qualche distinguo.
Da un lato, “profilare” non equivale a “investigare” ed “eseguire ricerche”. Quindi, semmai, più che a Big Tech, questa parte dell’articolo 134 si potrebbe applicare al giornalismo investigativo, peraltro con più di un problema in termini di bilanciamento di diritti costituzionali. D’altro canto, “raccogliere informazioni per conto di privati” è un concetto molto più ampio che fa riferimento all’ammassare dati a prescindere dal fine per il quale vengono accumulati.
Da qui ad applicare la norma alla profilazione online il passo sarebbe veramente breve, sia per tutelare l’interesse pubblico a non consentire la creazione di dossieraggi individuali, sia per proteggere i cittadini da schedature di massa sottratte a un reale ed effettivo controllo.
Cosa sarebbe accaduto applicando l’articolo 134
Se fosse stata interpretata così al tempo giusto, questa norma quasi centenaria avrebbe consentito un controllo diretto, immediato e sottoposto al vaglio della magistratura dei modi e delle tecniche della profilazione quando queste si stavano formando e prima che diventassero talmente pervasive da non poter essere più fermate.
Ciò non toglie, tuttavia, che al netto delle interpretazioni che si sono stratificate sul fatto che la raccolta di informazioni su fonti aperte non è soggetta al TULPS sarebbe ancora possibile recuperare l’articolo 134 come base per applicare la normativa sul trattamento dei dati personali.
Se, infatti, il GDPR impone che il trattamento delle informazioni sulle persone debba essere lecito, e alla raccolta delle informazioni si applica l’articolo 134 del TULPS, allora delle due l’una: o Big Tech (e chi le imita) si dotano dell’autorizzazione del prefetto, oppure il trattamento mirato alla profilazione non sarebbe lecito. Peraltro, a voler essere precisi, l’articolo 134 si applicherebbe a prescindere dal GDPR perché secondo l’articolo 4 del Trattato dell’Unione Europea, i poteri in materia di pubblica sicurezza spettano esclusivamente agli Stati membri e non anche all’Unione.
Tuttavia, mentre l’applicazione pratica dell’articolo 134 a profilatori italiani potrebbe essere concettualmente abbastanza semplice, fare lo stesso con soggetti stranieri ed extracomunitari è, oggettivamente, più complicato se non altro per questioni di giurisdizione, possibilità di eseguire i controlli, individuazione del soggetto destinatario dell’obbligo di richiedere la licenza del prefetto. Ma il fatto che sia complicato non vuol dire che sia impossibile.
Una provocazione?
A valle del ragionamento si potrebbero bollare queste righe come cavillose divagazioni giuridiche fuori dal tempo, buone per un’aula universitaria, ma solo per quella.
Tutto può essere e, in questo caso, è altamente probabile che questo ragionamento sia nulla più che una provocazione giuridica. Sta di fatto, però, che l’articolo 134 esiste, ed escludere in principio che possa essere applicato anche alla raccolta di dati finalizzata alla profilazione individuale automatizzata non è così certo.
Questo perché c’è una differenza sostanziale fra, per esempio, la già citata banca dati di merito creditizio e la profilazione individuale gestita da Big Tech, dai data broker e dagli analytics provider.
Il problema dell’accumulazione dei dati in tempo reale
La prima è (o dovrebbe essere) basata su fonti aperte e su (relativamente) pochi dati, la seconda su informazioni in continua crescita acquisite con metodi quantomeno opachi, ma soprattutto sulle loro elaborazioni, e compravendute anche dalle istituzioni con ancora meno chiarezza. È quanto sostiene Byron Tau in “Means of Control” (Crown Publishing, New York, 2024) secondo le cui indagini in molti casi non c’è bisogno di mettere in piedi un costoso e complesso sistema di sorveglianza statale, se gli stessi dati si possono comodamente acquistare sul mercato.
Dunque, in termini di principio, se le indagini di Tau sono corrette e se è vero che i data broker hanno fra i loro clienti anche forze di polizia o agenzie di intelligence, come si fa a sostenere che gestire servizi di raccolta e analisi di dati su individui identificati non costituisce un dossieraggio? E come si farebbe, in Italia, ad escludere questo dossieraggio privato dall’applicazione dell’articolo 134 del TULPS?
È vero, per quanto riguarda il nostro Paese, c’è il regolamento di esecuzione del TULPS che non contempla l’ipotesi, c’è la giurisprudenza che interpreta restrittivamente la norma e via discorrendo. Quindi, i profilatori possono dormire sonni tranquilli.
Tuttavia, questo non cambia i termini concettuali della questione, e non attenua l’ironia di una possibile interpretazione evolutiva dell’articolo 134, pensato quasi cent’anni fa per proteggere lo Stato dai cittadini e ora trasformato nel suo opposto —una norma a tutela dei diritti fondamentali.
Una soluzione praticamente inattuabile
Per quanto suggestiva, questa lettura dell’articolo 134 anche se astrattamente sostenibile oggi sarebbe praticamente inattuabile.
È troppo esteso e popolato di predatori l’ecosistema distopico dell’accumulazione di dati e dei servizi che sono basati sulla evocazione di fantasmi informativi che ci rappresentano o dovrebbero rappresentarci meglio degli originali. Pullula, questo ecosistema distopico, di prede che consapevolmente si lasciano ghermire, anzi, lo consentono pur di avere gratis il proprio attestato di esistenza in vita sottoforma di like e view. Abbonda, questo ecosistema distopico, di cassandre più o meno disinteressate che lanciano vaticini millenaristici da pulpiti eleganti e prestigiosi.
Ci sono, in altri termini, interessi contrapposti ma concorrenti che vanno tutti nella stessa direzione: quieta non movere, mota non quietare —non muovere ciò che è fermo, non fermare ciò che si muove.
Applicare le norme prima di crearne di nuove
Non sarebbe certo questa interpretazione dell’articolo 134 del TULPS a risolvere i problemi derivanti dall’avere consentito la costruzione di un sistema industriale, economico e di terziario avanzato sull’accumulazione di dati. Né, d’altra parte, li ha risolti il regolamento sulla protezione dei dati personali che, semmai, li ha aggravati, essendo stato emanato tardi, male e in rapporto a un mondo che non esisteva più già quando il GDPR fu pubblicato nella gazzetta ufficiale della UE.
Il punto (non l’unico, ma certamente rilevante) di questo articolo è evidenziare l’approccio regolatorio a temi di grande impatto, basato sulla coazione a ripetere il mantra “servono leggi ad hoc” invece di applicare, con un minimo di creatività, quelle che già ci sono in attesa che ne vengano emanate di migliori, se proprio fossero necessarie.
Non è, come pure si ripete sistematicamente, la tecnologia ad essere più veloce del diritto, ma è chi applica le norme a non rendersi conto di quello che gli accade attorno e a non usare gli strumenti che ha per intervenire, come nel caso del dossieraggio online, prima che sia troppo tardi.
—
Un post scriptum: questo articolo è lungo e, per certi versi, non facilissimo da leggere. Per quanto nella scrittura la sintesi dovrebbe essere la regola, ci sono argomenti che richiedono di essere sviluppati in un discorso articolato, specie quando sono diretti a persone che, come in questo caso, non praticano una materia specifica.
Non tutto si può esprimere nei 280 caratteri di X.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte