L’ultimo scandalo Wikileaks non riguarda soltanto la legittimità o meno dell’operato dei servizi segreti americani, circa l’uso di dati carpiti in operazioni undercover sulle tecnologie dell’internet delle cose (IoT). Rischia in realtà di bipartire per sempre la storia della regolamentazione privacy. Di separare tra un prima e un dopo che ha tutto il sapore della rivoluzione copernicana.
Innanzitutto sul piano oggettivo: è evidente che il “dato” conosciuto ed oggetto di consenso in termini privacy è una cosa tutta diversa da quanto generato online e rilavato dai macchinari intelligenti (smart tv, smartphone, smart grid, ma comunque aggeggi “smart” dotati di sensori mai palesati).
Qui, volendo, è facile augurarsi una class action mondiale nei confronti delle Apple e Samsung varie, in merito alle descrizioni rese sui prodotti in sede d’acquisto, in particolare circa le caratteristiche bi-direzionali degli apparati ed applicativi venduti.
“Lo so che gli americani usano Samsung e iPhone, ma solo perché abbiamo la capacità di entrare in questi dispositivi non vuol dire che lavoriamo contro di loro” s’è affrettato a dire in merito l’ex direttore della CIA. Ma il punto è che nel caso specifico, oltre al convitato di pietra che avevamo – senza saperlo – in salotto, s’assiste ad una forma diversa e spontaneamente generata di rastrellamento informatico di dati tutto nuovo. Che non ha nulla a che fare, in buona sostanza, con i dati oggetto di consenso di cui alla benemerita legge privacy.
Si tratta di intercettazione e ruberia spontanea di metadati online, una messe extra-privacy di dati neanche censiti, ossia non validati e tantomeno conosciuti dal soggetto interessato. Figuriamoci l’espressione del consenso.
Dal punto di vista regolamentare, il caso rischia di far finalmente detonare l’equivoco di fondo: cos’è il dato e su cosa si presta il consenso. Pone infatti un tema che riguarda l’individuazione stessa del dato. Qui non si assiste neanche ad una “intercettazione” perpetrata in frode. Come se si fosse nella stanza degli specchi, chi “presta” il consenso entra in una sala sapendo chi è, ma non sa chi ne esce fuori dal riflesso.
Coi nuovi aggeggi, i dati si moltiplicano oltre il Codice penale Rocco, che parla di intercettazione telematiche e telefoniche, ossia di messaggi “veicolati” tramite reti di comunicazioni. Riferiti, quindi ad un “facere” trasmissivo individuabile con riferimento ad un soggetto, tutto da vedere se applicabile al tema.
Il controllo “remoto” ed istantaneo degli smart-arnesi genera invece una moltiplicazione spontanea e del tutto nuova di dati inerenti all’agire real time. Ad esempio, la “ripresa” spontanea dell’individuo tramite apparato invasivo della smart tv, attività magari unita al contemporaneo ordine d’acquisto fatto col telecomando o l’azionamento del lettore cd (tutte cose perpetrabili tramite l’integrazione in big data degli IoT), genera un dato nuovo sulle abitudini e modalità del soggetto in questione. Bypassa il consenso, detto in sintesi.
Dato tanto nuovo che, di fatto, l’individuo (inconsapevole ed inconscio consumer, ignaro del Grande Fratello) neanche sa nulla circa la sua “profilazione” istantanea. Detto altrimenti, non sa niente della sua stessa “scia” digitale, che lo segue meglio della sua ombra, essendo mille volte più fedele di questa. “Quel” dato è un dato certamente non riferibile al “consenso” in termini privacy, quindi.
L’altra faccia di questa medaglia è lo “spellamento” delle identità personali, la disintegrazione dell’io di pirandelliana memoria (ormai divenuto “individuo gaussiano”, direi), fatta tramite la moltiplicazione stessa dei dati carpiti dai sensori, raggranellati chissà da chi e chissà dove, per chissà quali censimenti di marketing, che tuttavia, ri-assemblati nel big data dell’universo entropico, costituiscono il suo “vero io”. Anche dopo le dichiarazioni del Garante Privacy (“i dispositivi intelligenti hanno una faccia oscura, una capacità intrusiva che va neutralizzata per impedire usi impropri e accessi abusivi”) verrebbe da dire dov’è il senso dell’ammonimento, se la norma regolamentare purtroppo c’azzecca poco? Se rischia di costituire già una vecchia ciabatta, una maglia troppo larga contro la moltiplicazione spontanea del dato creato dagli stessi apparati? C’è violazione sul click di un telecomando mentre leggo o non leggo sul divano? Quale regolamentazione vige e cosa protegge un “dato” ormai surclassato in termini tecnologici? E non dovremmo vivere in un mondo privacy ex-ante, dove la merce “dato” è oggettivizzata e conosciuta e posta a carico di chi del dato vuol farne uso? Dov’è la protezione, se prima di mettere radici i dispositivi non subiscono un vaglio d’omologazione anche in termini privacy? Quali applicativi (e dove) consentono lo IoT e in che tempi (real time, storage, hosting, ecc.)?
Insomma, dove inizia e dove finisce la responsabilità tra produttore d’apparati e gestori delle reti? Non è infatti detto che il “dato” debba essere trasmesso: proprio perché non esiste un protocollo di trasmissione universale dei dati IoT, una black box nell’auto può contenere dati in hosting, ed è una cosa diversa dalla SIM inserita nel motore per le comunicazioni con la stazione di servizio.
Entrambi i dispositivi IoT contengono dei dati, che, peraltro, aggregati, forniscono altri dati, ma nel contempo uno trasmette di continuo e l’altro no. L’apparato può o meno costituire una centrale dati per sé, quindi, ed è una cosa distinta e diversa dal tema della trasmissione (ossia responsabilità degli operatori di reti). È lì che casca l’asino ed è lì che il perimetro dell’intercettazione illecita non è neanche conosciuto.
Ecco la difficoltà, in termini regolamentari, ed ecco lo spartiacque: il sistema oggi individua un dato nato vecchio se non morto (vale più la scelta della pay tv piuttosto che l’indirizzo di casa, è ovvio). Pone a carico di chi è leso dimostrare a fatica l’illecito utilizzo del bene dato, “stanando” l’utilizzatore e rilevando ex-post la lesione extra-consenso. Solo che, invece, il dato s’è molecolizzato. Si è sfumato in miriadi di dati disaggregati che formano la “micro-nuvola” della scia digitale di ciascuno di noi.
Ed è una cosa diversa dal dato oggetto del consenso prestato. Lo trascende, come l’anima (e qui mi fermo). Ma è come se fosse una garanzia del prodotto: lo segue e te la tieni.
