Quattro domande sullo scandalo Cambridge Analytica, aspettando il GDPR. Profili di responsabilità, ruolo di Facebook e scenari futuri. L’Europa come gestirebbe un caso simile dopo il 25 maggio?

È presto per definire contorni ed esito del caso Cambridge Analytica. C’è la reazione a caldo dei mercati, che hanno penalizzato il titolo di Facebook per due giorni consecutivi. C’è la ridda di rivelazioni, smentite e dichiarazioni ufficiali di tutti i soggetti coinvolti: la stessa Cambridge Analytica, l’amministrazione americana e i vertici di Facebook. Ma ci sono anche le prese di posizione delle authority di vigilanza, negli Stati Uniti e in Europa.

Lo scandalo è esploso il 17 marzo scorso, in seguito alle rivelazioni di Chris Wylie, ex dipendente di Cambridge Analytica. In sostanza Wylie ha dichiarato a The Observer che la società avrebbe prelevato da Facebook, senza autorizzazione, i dati personali di circa 50 milioni di cittadini americani. Una gigantesca operazione di data harvesting, insomma. Obiettivo: costruire un sistema di profilazione degli elettori, per poi colpirli con campagne pubblicitarie personalizzate. (Ricordate il microtargeting? Ne abbiamo parlato qui)

Due giorni dopo, il 19 marzo, Channel 4 News ha diffuso un filmato in cui Alexander Nix, CEO di Cambridge Analytica, conferma il ruolo giocato dalla sua società nelle campagne elettorali di mezzo mondo. Un ruolo spesso tenuto segreto, attraverso una rete di sub-fornitori e di prestanome. Nel video (che trovate qui sotto e che è frutto del montaggio di diverse registrazioni, realizzate fra il novembre 2017 e il gennaio 2018) Nix aggiunge particolari scabrosi: Cambridge Analytica avrebbe fatto ricorso a tangenti e prostitute per incastrare alcuni avversari politici dei propri clienti.

L’intervento tardivo di Facebook

Curiosamente, già il 16 marzo Facebook aveva provveduto a sospendere gli account di Cambridge Analytica e della sua controllante SCL Group. In un post firmato da Paul Grewal, Facebook spiega le ragioni di questa sospensione:

«Aleksandr Kogan, professore di psicologia presso l’Università di Cambridge, ha utilizzato il servizio di Facebook Login, integrato in una app di sua invenzione, per trasferire a Cambridge Analytica e al suo ex dipendente, Christopher Wylie, i dati in tal modo raccolti».

La app cui Grewal allude si chiama Thisisyourdigitallife. Essa promette agli utenti di costruire il loro profilo psicografico individuale utilizzando i dati personali di Facebook: posizione geografica, amicizie, contenuti consumati, like e condivisioni. I 280 mila utenti che hanno scaricato la app, dunque, hanno permesso a Kogan di accedere a tali informazioni, ma non di trasferirle a terzi. Inoltre tramite Thisisyourdigitallife Kogan ha messo le mani sui dati di un numero ben maggiore di utenti. I 280 mila consenzienti hanno di fatto trasferito al professore di Cambridge molte informazioni sui loro amici di Facebook: i famosi 50 milioni di americani.

Nulla di nuovo?

La circostanza era nota da tempo. A me, per esempio, era capitato di parlarne già in novembre, nell’ambito dell’insegnamento sui big data di cui sono titolare all’Università di Pavia. Eppure Facebook decide di intervenire solo alla vigilia dello tzunami che si è scatenato in questi giorni. Del resto che la reazione di Facebook sia stata tardiva sembra essere provato da un’altra circostanza. Già un anno fa The Intercept aveva raccontato tutto quello che c’era da sapere in una documentata inchiesta.

Da notare che, nello stesso post appena citato Greewal nega che il passaggio di dati da Kogan a Cambridge Analytica possa qualificarsi come data breach:

«Kogan ha richiesto e ottenuto l’accesso alle informazioni dagli utenti, i quali hanno scelto di registrarsi alla sua applicazione. Tutti gli interessati hanno dato il loro consenso. Gli utenti erano consapevoli che stavano fornendo a Kogan i loro dati, nessun sistema è stato infiltrato e nessuna password o informazione sensibile è stata rubata o hackerata».

Proviamo a mettere un po’ di ordine in questa vicenda, per come essa ci è fin qui nota. I profili di responsabilità di cui si discute sono diversi. Analizziamoli uno alla volta, ponendoci quattro domande fondamentali.

Prima domanda: Trump e i suoi sapevano?

Da un lato ci sono le responsabilità di Donald Trump e dei suoi collaboratori all’epoca della campagna per le elezioni presidenziali del 2016. In questo caso la domanda è: il team di Trump si servì, con il supporto di Cambridge Analytica, dei profili di Facebook di milioni di americani? La risposta sembra positiva, se si deve dare credito alle rivelazioni del già citato Chris Wylie, pubblicate in esclusiva dal Washington Post. Ieri il quotidiano ha scritto che l’operazione fu supervisionata dallo stesso Stephen K. Bannon fin dal 2014. Ricordiamo che Bannon è stato coordinatore della campagna elettorale di Trump, capo stratega del presidente dal 20 gennaio al 18 agosto 2017, nonché membro del Consiglio per la Sicurezza Nazionale dal 29 gennaio al 5 aprile 2017.

La raccolta di dati di Facebook aveva lo scopo di testare la forza di specifici messaggi anti-establishment. Messaggi che in seguito lo stesso Trump utilizzò nell’ambito della sua campagna. Si pensi alla metafora drain the swamp (alla lettera «prosciugare la palude»), che Trump pronunciò decine di volte con riferimento al suo piano per risolvere i problemi nel governo federale. O al meme deep state (traducibile con «stato nello stato»), che ricorda un po’ i servizi segreti deviati di casa nostra e che pure fu più volte utilizzato da The Donald. Il lavoro di Cambridge Analytica era dunque finalizzato a misurare il potenziale di mobilitazione di queste e di altre espressioni analoghe, con lo scopo di fornire la materia prima per le narrazioni elettorali di Trump (da notare che il prossimo 9 aprile FOX proporrà il primo episodio di una nuova serie TV, intitolata proprio Deep State).

Seconda domanda: Cambridge Analytica ha violato la legge?

La seconda questione, dal nostro punto di vista più rilevante, è: l’utilizzo dei dati degli utenti di Facebook da parte di Cambridge Analytica è stato inappropriato o addirittura illegale? La posizione della società britannica si sta rivelando di ora in ora più difficile. Nel Regno Unito l’Information Commissioner Elizabeth Denham, l’equivalente del nostro garante per la protezione dei dati personali, ha aperto una procedura di indagine.

Ma anche dall’altra parte dell’Atlantico il clima si è fatto molto pesante. Secondo quanto rivelato da ex dipendenti, i membri della board di Cambridge Analytica erano stati informati dai loro avvocati circa l’illiceità delle iniziative portate avanti. Nel frattempo il consulente speciale del Dipartimento della Giustizia, Robert S. Mueller III, ha richiesto le email dei dipendenti di Cambridge Analytica che hanno lavorato per il team Trump nell’ambito dell’indagine sull’interferenza russa nelle elezioni presidenziali del 2016. La notizia è stata diffusa dal Wall Street Journal il 15 marzo scorso.

Terza domanda: Facebook è stata complice?

E veniamo al ruolo di Facebook. Il colosso di Mark Zuckerberg nega ogni coinvolgimento e si considera anzi parte lesa. Tuttavia le cose non sono così semplici. Se anche non emergesse alcuna connivenza diretta con Cambridge Analytica, saremmo di fronte a un caso di clamorosa e colpevole leggerezza. Che cosa ha fatto Facebook per impedire la fuga di dati? Quali controlli ha attivato? Intendiamo, ovviamente, controlli preventivi. Non misure adottate dopo il disastro.

Senza contare un altro punto fondamentale: fino a oggi la linea difensiva di Facebook si fonda sul fatto che i famosi 280 mila utenti di Thisisyourdigitallife hanno fornito il loro consenso al trattamento dei dati personali. Ma, come detto, le informazioni passate attraverso questa breccia riguardano un numero molto maggiore di cittadini americani. Si parla, appunto, di circa 50 milioni di utenti.

Per questo il 20 marzo la Federal Trade Commision ha aperto un’indagine nei confronti di Facebook. Si vuole verificare se la società non abbia violato le intese sottoscritte con la stessa FTC nel 2011. Tali intese impegnano Facebook a richiedere il consenso degli utenti prima che i loro dati siano condivisi fuori dalle impostazioni di privacy stabilite.

Quarta domanda: e se domani capitasse in Europa?

Facciamo un esercizio di fantasia. Immaginiamo che in futuro Facebook possa compiere un errore altrettanto clamoroso ai danni di cittadini europei, permettendo la fuga di dati personali a vantaggio di terzi (Cambridge Analytica o altri). Supponiamo, in particolare, che qualcosa di simile capiti dopo il 25 maggio 2018, quando in tutti i paesi membri dell’Unione europea entrerà in vigore il General Data Protection Regulation (GDPR).

Ebbene, quali strumenti prevede il nuovo quadro normativo che l’Europa si accinge a implementare, per evitare situazioni come quella cui stiamo assistendo?

La prima cosa da ricordare è che il GDPR concede alle authority europee una giurisdizione molto ampia. Sarà possibile sanzionare anche imprese con sede fuori dai confini europei, ogni volta che saranno violati i diritti di protezione dei dati personali di un cittadino UE. Inoltre il board europeo dei garanti avrà poteri effettivi, non solo consultivi. E, a differenza di quanto avviene oggi, i garanti nazionali potranno coordinarsi con i colleghi europei per svolgere le loro ispezioni.

GDPR: misure adeguate e data breach

Ma il punto più significativo è un altro. Esso sta nel superamento del concetto di «misure di protezione minime». Il GDPR lo sostituisce con un altro concetto, quello di «misure di protezione adeguate». Ciò significa che tutte le organizzazioni – non solo Facebook, ovviamente – dovranno dimostrare di avere fatto non il minimo indispensabile, ma tutto ciò che era appropriato per rendere effettiva la tutela della privacy.

E poi c’è la parte della GDPR riferita ai casi di data breach, ossia gli incidenti in cui dati sensibili, protetti o riservati sono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Si tratta di una delle novità più significative introdotte dal nuovo regolamento. Una società come Facebook avrà l’obbligo di fornire al Garante, entro 24 ore dalla scoperta dell’evento, le informazioni minime necessarie a consentire una prima valutazione dell’entità della violazione; mentre, entro tre giorni dall’evento, dovrà completare la documentazione con tutte le informazioni richieste dalla legge.

Zuckerberg avvisato, mezzo salvato?