Ciascuno di noi è una miniera di dati che la tecnologia è sempre più in grado di mettere a frutto e nel suo Dataroom Milena Gabanelli insieme a Simona Ravizza ci ricorda che anche i sistemi di geolocalizzazione e indirizzamento fanno sì che le informazioni su dove abitiamo, dove lavoriamo, chi frequentiamo, come ci curiamo e dove, possano finire nelle mani di una compagnia di assicurazioni, di aziende di marketing, di un avvocato, un investigatore privato o un ricattatore.
Quando si acquista uno smartphone la prima operazione è quasi sempre quella di aprire Impostazioni, poi Privacy e sicurezza, e attivare la localizzazione. Serve a rintracciare il telefono in caso di furto o smarrimento, per accedere a Google maps, per seguire gli spostamenti dei figli, per vedere il meteo, conoscere l’oroscopo, fare incontri galanti, giocare a carte, ecc. Per attivare tutto questo occorre dare il proprio consenso all’informativa sulla privacy, dove di solito è indicato che i nostri dati possono essere ceduti a terzi, ma di fatto nessuno la legge (chiara o meno che sia l’informativa stessa). Così, senza che ci pensiamo troppo, la nostra posizione esatta, minuto per minuto, può essere registrata e archiviata nei server di società che di mestiere raccolgono, confezionano e rivendono dati personali (in gergo sono chiamati broker). Chi acquista i dati di localizzazione da un data broker ottiene file con milioni di righe di informazioni: ciascuna contiene il Maid (Mobile Advertising ID), ossia un codice alfanumerico che, come una targa dell’auto, non indica il nome dell’utente ma identifica in modo univoco il dispositivo; e poi il sistema operativo (Android o iOS); l’ora, la durata e il Paese di connessione; le coordinate esatte della posizione; e l’indirizzo IP utilizzato in quel momento. Il prezzo dei dataset completi, cioè tutti i dati di posizione delle app relativi a un determinato territorio, possono variare dai 3 ai 5 mila dollari mensili. Chi compra questi dati non ottiene il nome del soggetto, ma un codice che permette di identificarlo (Maid). Con 5 centesimi in più per 100 contatti ci sono poi data broker che forniscono il Maid associato a nome, cognome, indirizzo e-mail. A questo punto l’acquirente può conoscere tutti i dati funzionali a quello che succede in una determinata area, ma anche associare i nostri spostamenti ai dati anagrafici, e quindi sapere chi sta facendo trattamenti sanitari, chi frequenta il circolo ippico, la sede di un partito, o chi entra al Ministero della Difesa.
I pericoli legati alla vendita dei nostri dati di posizione sono enormi. A livello personale, chiunque può acquistare la nostra routine quotidiana e usarla a fini di ricatto o stalkeraggio. A livello aziendale e statale, si aprono le porte allo spionaggio industriale e a minacce per la sicurezza nazionale, monitorando gli spostamenti di dipendenti, funzionari o militari. Un’inchiesta di le Monde ha rivelato come attraverso una nota app di fitness venivano tracciati gli spostamenti del presidente Macron, mentre una indagine recentissima condotta insieme ai belgi di L’Echo e altre testate mostra il monitoraggio di funzionari Ue fino alle loro abitazioni.
In Italia la divulgazione o diffusione illecita di dati personali, sensibili e non cedibili, costituisce reato ai sensi degli articoli 167 e 167-bis del Codice in materia di protezione dei dati personali (d.lgs. 196/2003). Tuttavia il consenso, che regolarmente viene prestato in modo inconsapevole, legittima il trattamento dei dati da parte dei broker, che peraltro operano per lo più all’estero. Attraverso il suo portavoce il Dipartimento Dg Justice, che presso la Commissione Ue si occupa del Regolamento generale sulla protezione dei dati (General Data Protection Regulation), la Commissione europea fa sapere di essere «consapevole dei risultati preoccupanti emersi da queste inchieste» e preoccupata «per il commercio dei dati di geolocalizzazione dei cittadini e dei funzionari della Commissione, un mercato di cui molti di noi e molti cittadini europei non sono consapevoli». E afferma: «Nella Ue disponiamo già di una legislazione solida, in particolare il Gdpr: qualsiasi dato personale può essere raccolto solo per finalità esplicite e legittime. Spetta alle autorità di vigilanza nazionali determinare se le norme europee in materia di protezione dei dati siano state violate. La Commissione è pronta a cooperare con tali autorità. Un importante promemoria: dobbiamo prestare molta attenzione quando le app e i servizi online ci chiedono di fornire il consenso, anche per tracciare la nostra posizione o la nostra attività su altre app e siti web a fini pubblicitari. Dopo aver appreso dell’indagine, la Commissione ha emanato nuove linee guida per il proprio personale sulle impostazioni di tracciamento pubblicitario nei dispositivi aziendali e privati, e ha informato altre istituzioni dell’Unione e i team di risposta agli incidenti informatici degli Stati membri».