Nota dell’autore
Questo approfondimento nasce dall’incrocio di pubblicazioni accademiche peer-reviewed, rapporti parlamentari, decisioni delle autorità di controllo e contributi della dottrina europea e italiana. L’intento è offrire al lettore professionale una lettura unitaria di un caso che in letteratura si trova disperso in frammenti tematici: le ricostruzioni giornalistiche, gli studi sulla profilazione psicometrica, il dibattito sull’articolo 22 GDPR, la stagione del DSA, l’assestamento dell’AI Act. Le tesi avanzate appartengono a una tradizione più ampia di studiosi europei e statunitensi, i cui riferimenti completi sono raccolti nelle note numerate a fine articolo. L’ambizione, più modesta di un saggio originale, è quella di un compendio ragionato.
Abstract
Il caso Cambridge Analytica, dispiegatosi fra il 2014 e il 2018, resta uno spartiacque nella regolazione europea dei dati personali. Attraverso l’app “This Is Your Digital Life” dell’accademico Aleksandr Kogan, scaricata da circa 270.000 utenti Facebook, la società britannica acquisì dati riferibili a un numero stimato fino a 87 milioni di persone, sfruttando la Graph API v1 della piattaforma. Quei dati alimentarono modelli psicometrici ispirati al framework Big Five e su di essi, campagne di micro-targeting comportamentale che toccarono la campagna presidenziale Trump 2016, il referendum Brexit e numerosi scenari extra-UE documentati da SCL Group. Il testo ricostruisce la vicenda sulla base delle principali inchieste istituzionali (il DCMS Committee di Westminster, le audizioni al Senato USA, le investigazioni di FTC, SEC e ICO) e della letteratura scientifica di riferimento. Sul piano giuridico, l’articolo esamina le lacune rivelate nel quadro pre-GDPR, quelle tuttora aperte nel regolamento generale e la risposta europea successiva. Filo conduttore, il concetto di soggettività dividuale, come chiave di lettura di una privacy che oggi eccede la riservatezza del dato per diventare presidio dell’autonomia decisionale.
Il paradigma Cambridge Analytica
Che cosa è stato davvero
Il 17 marzo 2018 The Observer, The Guardian e The New York Times pubblicano in contemporanea l’inchiesta di Carole Cadwalladr: la fonte principale è un ex data consultant di Cambridge Analytica, che da oltre un anno documentava dall’interno quanto stava avvenendo. Due giorni dopo, il 19 marzo, Channel 4 News manda in onda le riprese sotto copertura in cui il CEO della società illustra a presunti clienti pratiche di entrapment e honey trap riservate a campagne estere. Nel giro di una settimana l’azienda subisce il crollo verticale della propria reputazione, della propria clientela e del management; ad aprile 2018 Mark Zuckerberg testimonia davanti al Congresso statunitense. A maggio Cambridge Analytica annuncia la propria liquidazione. La sequenza dei fatti è ricostruita in modo particolareggiato nel Final Report del DCMS Committee della Camera dei Comuni [1], che resta la fonte istituzionale più completa.
La società britannica, attiva come digital political consultancy e controllata dal gruppo SCL, era stata ingaggiata da comitati politici e campagne elettorali in diverse aree geografiche. Le più citate sono la corsa presidenziale USA del 2016 a favore di Donald Trump e la campagna per Vote Leave in occasione del referendum britannico sull’uscita dall’Unione europea, sempre nel 2016. Il DCMS Report, insieme alle inchieste di Cadwalladr, ha documentato inoltre attività di SCL in Nigeria, Kenya, Trinidad e Tobago, Argentina e India, con metodi riconducibili alla stessa architettura.
Il centro di gravità del fenomeno va cercato proprio in quell’architettura. Cambridge Analytica ha portato su scala industriale una pipeline (raccolta, arricchimento, profilazione psicometrica, micro-targeting, personalizzazione dei messaggi) che nel mondo accademico girava da anni. Un paper seminale del 2013 [2] ha dimostrato che dai like di Facebook si può predire con accuratezza notevole un ventaglio di tratti, inclusi orientamento politico, orientamento sessuale e tratti di personalità sui cinque fattori. Quel che la ricerca aveva descritto come possibilità, Cambridge Analytica lo ha trasformato in servizio.
Cosa non è stato
Una parte del dibattito pubblico ha sopravvalutato l’efficacia causale del micro-targeting. Gli studi empirici successivi sulla political persuasion individualizzata e sull’effetto reale delle campagne elettorali [3] hanno ridimensionato la capacità del messaggio personalizzato di spostare voti in contesti polarizzati. L’importanza del caso sta meno nella prova del funzionamento del targeting psicometrico e più nella circostanza che una società privata abbia costruito, venduto e dispiegato su scala internazionale un’infrastruttura progettata per farlo, operando nel cono d’ombra del quadro giuridico allora vigente. L’osservazione proviene dalla letteratura sul capitalismo della sorveglianza [4], che legge il caso come una fase iniziale di un ciclo di estrazione comportamentale oggi molto più pervasivo.
Pipeline tecnica: dati, profili, micro-targeting
L’acquisizione dei dati
L’accesso ai dati nasce da un’app di terze parti, “This Is Your Digital Life”, sviluppata nel 2013 da un ricercatore del Department of Psychology dell’Università di Cambridge, attraverso la società Global Science Research. Confezionata come test di personalità, l’app viene scaricata da circa 270.000 utenti Facebook, quasi tutti negli Stati Uniti. Il numero dei profili raccolti è però molto più alto. All’origine della moltiplicazione c’è la Graph API v1 della piattaforma: fino alla sua deprecazione nel 2014-2015, consentiva alle app di leggere, accanto ai dati dell’utente, anche quelli dei suoi contatti, con un modello di consenso che lasciava i secondi all’oscuro. Facebook, nella ricostruzione ufficiale pubblicata ad aprile 2018, stima in 87 milioni il massimo dei soggetti le cui informazioni sono state potenzialmente esposte, di cui circa 70,6 milioni negli Stati Uniti.
Il ricercatore cede poi i dati a Cambridge Analytica, in violazione dei termini di servizio di Facebook e di quanto egli stesso aveva dichiarato alla piattaforma al momento della pubblicazione dell’app. Sulla dinamica ha pesato, oltre alla condotta individuale, l’architettura tecnica e contrattuale di Facebook: un modello di permessi che affidava al soggetto installante la facoltà di consentire l’accesso ai dati di terzi estranei alla relazione, con controlli post-autorizzazione deboli. Il punto è centrale per l’analisi che segue: l’illecito ha preso forma dentro l’ecosistema di una piattaforma che, all’epoca, lo rendeva possibile.
Dal dato grezzo al profilo psicometrico
I dati raccolti vengono integrati con informazioni acquistate da data broker (storico di voto, variabili socio-demografiche, geolocalizzazione, consumi mediatici) e con dataset proprietari di Cambridge Analytica. A ciascun soggetto vengono attribuiti punteggi lungo i cinque tratti di personalità del modello Big Five (openness (apertura mentale), conscientiousness (coscienziosità), extraversion (estroversione), agreeableness (amicalità), neuroticism (nevroticismo)). Un secondo lavoro accademico del 2017 [5] ha poi dimostrato che il psychological targeting basato su Big Five può incrementare in misura misurabile l’engagement pubblicitario.
Va detto che la validità scientifica del modello Big Five non implica la validità operativa del pacchetto Cambridge Analytica. Peer review successive e ricostruzioni interne (si vedano le audizioni davanti al DCMS Committee) hanno lasciato dubbi sulla qualità dei modelli effettivamente utilizzati dalla società nel contesto delle campagne politiche.
Cluster, messaggi, canali
Una volta costruiti i profili, la popolazione viene segmentata in cluster. Ogni cluster riceve una variante di messaggio tarata sul proprio profilo psicologico: un soggetto ad alto neuroticism, ad esempio, vede rappresentazioni imperniate sulla minaccia e sulla sicurezza personale, mentre un soggetto ad alta openness riceve messaggi centrati su apertura, diversità e novità. Il motore del meccanismo è l’automazione. Profilazione, abbinamento cluster-messaggio e personalizzazione avvengono senza intervento umano caso per caso, condizione indispensabile per lavorare su milioni di destinatari.
Il canale privilegiato, nel contesto USA, è l’ecosistema pubblicitario di Facebook, con estensione a canali email e di messaggistica, dove disponibili. Parte della pubblicistica (articoli, saggi, reportage) ha attribuito a Cambridge Analytica un uso massivo di canali come WhatsApp o Telegram: circostanza dubbia e non sempre riconducibile alla stessa società, in campagne extra-UE (ad esempio l’India 2019 [6]). Negli Stati Uniti il vettore principale resta Facebook, la cui opacità ex ante era strutturale: prima dello scandalo, dell’introduzione del Political Ad Library (2018) e degli obblighi dell’articolo 39 del Digital Services Act, la possibilità per ricercatori e regolatori di osservare che cosa veniva mostrato, ed a chi, era minima.
Le lacune normative che il caso ha reso visibili
Il vuoto sulla profilazione predittiva
Fra il 2014 e il 2018, nel diritto europeo vigeva la direttiva 95/46/CE, recepita in Italia con il d.lgs. 196/2003. L’articolo 15 della direttiva riconosceva già un diritto a non essere sottoposti a decisioni automatizzate con effetti giuridici, ma senza l’impianto di obblighi operativi che caratterizzerà il Regolamento (UE) 2016/679. Con l’applicabilità del GDPR, il 25 maggio 2018, il quadro cambia forma: la profilazione entra nel testo attraverso il considerando 71, l’articolo 4 punto 4), gli obblighi informativi degli articoli 13 e 14 e, soprattutto, l’articolo 22, che introduce un divieto strutturale delle decisioni basate unicamente su trattamento automatizzato, inclusa la profilazione, che producano effetti giuridici o incidano in modo analogo significativamente sull’interessato, salvo eccezioni tassative.
Non è corretto, pertanto, sostenere che il GDPR ignori il problema. È corretto osservare che i suoi strumenti funzionano orizzontalmente per ogni interessato, per ogni trattamento, per ogni decisione, mentre il caso Cambridge Analytica poneva questioni verticali, di sistema. La letteratura critica che ha accompagnato la prima stagione del regolamento [7] ha evidenziato come il diritto di accedere alla “logica” del trattamento, inteso in termini puramente informativi, non garantisca né una spiegazione intellegibile né una tutela sostanziale contro esiti manipolativi. Un filone parallelo [8] aveva anticipato il problema in termini di profilazione come forma di governance infrazionale che il diritto classico stenta a intercettare.
Manipolazione comportamentale senza divieto esplicito
Il GDPR richiede trasparenza e non impone divieti comportamentali su specifiche tecniche di influenza. L’articolo 5 paragrafo 1 lettera a) codifica i principi di liceità, correttezza e trasparenza, e offre una base normativa per qualificare come illecite le pratiche di manipolazione; le linee guida EDPB 03/2022 sui deceptive design patterns nelle interfacce delle piattaforme social hanno reso operativo il concetto nel perimetro dei dark pattern.
L’AI Act segna su questo terreno il cambiamento più netto. L’articolo 5 paragrafo 1 lettera a) del Regolamento (UE) 2024/1689 vieta l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA che “utilizzano tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli” aventi lo scopo o l’effetto di “distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando sensibilmente la loro capacità di prendere una decisione informata” e inducendole a scelte che altrimenti non avrebbero preso, quando ciò provochi o possa ragionevolmente provocare un danno significativo. La lettera b) vieta i sistemi che sfruttano vulnerabilità “dovute all’età, alla disabilità o a una specifica situazione sociale o economica”, con analoga soglia di danno. La Commissione europea, nelle linee guida applicative di febbraio 2025, ha chiarito che la portata del divieto resta circoscritta ai sistemi che producono, o rischiano di produrre, harm (danno) qualificato. Il micro-targeting politico in senso proprio, in assenza di una soglia di danno dimostrabile, resta in una zona coperta più dall’incastro di DSA e Regolamento (UE) 2024/900 sulla pubblicità politica che dall’articolo 5 in sé [9].
Il consenso generico davanti all’opacità algoritmica
Fra le basi giuridiche previste dal GDPR, il consenso è una delle più insidiose quando il trattamento ha a oggetto l’elaborazione algoritmica su larga scala. Il principio informatore del testo è che il consenso sia libero, specifico, informato e inequivocabile: parametri che nel contesto di Facebook dell’epoca, davanti ad un’informativa generica di centinaia di pagine e a un modello di permessi che includeva l’accesso ai dati di terzi non presenti al momento del click, si dimostrano fragili. La dottrina più recente [10] ha sintetizzato il problema in una formula: l’idea del consenso come trasferimento di rischio al titolare del dato non regge quando quest’ultimo non dispone degli strumenti cognitivi per valutare il rischio. La lezione è stata parzialmente recepita. Il GDPR prevede contrappesi – l’articolo 7 sulla prova e sulla revocabilità, il considerando 32 sui requisiti di chiarezza, l’articolo 25 sulla privacy by design – e le linee guida EDPB 05/2020 sul consenso hanno ridotto il perimetro del consenso “a pacchetto”. Il problema strutturale, tuttavia, rimane: su sistemi capaci di trasformare una raccolta formalmente lecita di micro-dati in un’inferenza psicometrica, il consenso informato ai sensi dell’articolo 6 non è, da solo, sufficiente.
Soggettività dividuale e vulnerabilità algoritmiche
Il concetto di dividuo
Il concetto che la letteratura critica più recente ha recuperato per leggere il caso Cambridge Analytica è quello di dividuo, introdotto in un breve ma celebre saggio filosofico del 1990 [11]. Il testo osserva, in poche pagine e con un linguaggio programmaticamente sintetico, che alle società disciplinari di matrice foucaultiana (ordinate sui luoghi di confinamento: scuola, fabbrica, ospedale, caserma, prigione) si stanno sostituendo società di controllo che abbandonano la disciplina sull’individuo per scomporlo in frammenti. L’individuo moderno, uno e indivisibile, lascia spazio al dividuo, fatto di frammenti, profili, punteggi, variabili.
L’accostamento al caso Cambridge Analytica è una lettura retrospettiva: il saggio precede il web e non poteva profetizzare alcunché. Eppure la cornice concettuale descrive con precisione il modo in cui un cittadino viene conosciuto non come persona integrale, bensì come insieme di punteggi psicometrici associati a propensioni di comportamento. La dottrina francese [12] ha chiamato gouvernementalité algorithmique l’esito di questa riduzione, distinguendolo dalla governamentalità foucaultiana per la perdita del soggetto come nodo di resistenza. Nello stesso filone si collocano gli studi sulle forme contemporanee del rischio anticipato [13].
La profilazione come reificazione
C’è un secondo livello, più prossimo al diritto. La costruzione di un profilo psicometrico è una reificazione: qualità astratte della personalità (apertura, coscienziosità, nevroticismo) vengono trasformate in variabili numeriche, ordinali, trattabili. Una volta codificata in parametri, la personalità diventa materiale tecnico di manipolazione prima ancora di essere oggetto di tutela giuridica. L’integrità della persona resta sullo sfondo, in primo piano compare la cornice entro cui la persona forma le sue scelte. Una parte della dottrina [14] è stata tra le prime a chiamare group privacy il bene giuridico emergente.
Vulnerabilità e sfruttamento
Una dimensione specifica del danno è lo sfruttamento di vulnerabilità psicologiche. La profilazione serve a qualcosa in più della semplice conoscenza delle preferenze: consente di identificare debolezze, stati emotivi fragili, momenti di esposizione. La letteratura sui dark pattern [15] ha mostrato come il match tra contenuto e stato emotivo del destinatario sia esso stesso forma di manipolazione, anche quando il contenuto è, in senso proprio, veritiero. Il diritto tradizionale della concorrenza, che vigila sulla pubblicità ingannevole e sulle pratiche commerciali scorrette (direttiva 2005/29/CE), intercetta parzialmente il fenomeno; la lettura più radicale viene dalla proposta di un vero e proprio regime di cognitive liberty [16]. L’AI Act, all’articolo 5 paragrafo 1 lettera b), riconosce lo sfruttamento di vulnerabilità come illecito tipico, separandolo dal regime della manipolazione in senso proprio. È una scelta tecnica rilevante.
Data politics: esternalità e dimensione sistemica
Un nuovo paradigma di potere
L’espressione data politics [17] indica la trasformazione del dato in ambiente dentro cui si forma, si esercita e si contesta il potere. La definizione supera la lettura tradizionale dell’uso improprio dei dati. La mappa che ne deriva, applicata al caso Cambridge Analytica, identifica tre anelli della catena. Il primo è la piattaforma, nel duplice ruolo di infrastruttura generativa dei dati e di gatekeeper del loro accesso. Il secondo è l’attore di trasformazione, capace di aggregare dati grezzi in profili e di produrre, a partire da questi, messaggi personalizzati per cluster distinti. Il terzo è il cittadino, esposto al sistema senza consapevolezza, trasparenza o capacità di rifiuto effettiva. Nessuno dei tre anelli si presenta illegittimo nel suo punto di partenza. L’esito sistemico, invece, è un’erosione sottile della cognizione politica di una porzione significativa dell’elettorato.
Danno sistemico contro danno individuale
È questa la discrepanza che il GDPR non riesce ad assorbire del tutto. Il regolamento protegge il singolo interessato: diritto di accesso, rettifica, cancellazione, opposizione. Quando milioni di soggetti sono profilati e micro-targettizzati contemporaneamente, il pregiudizio si annida nella distorsione aggregata dei processi decisionali collettivi (elezioni, movimenti, mercati dell’attenzione). Una parte autorevole della critica europea [18] argomenta la necessità di strumenti regolatori che intervengano sull’ecosistema informativo. Una linea che converge con la letteratura sul capitalismo della sorveglianza e con quella sul platform power [19].
L’analogia che meglio rende l’idea è quella ambientale. Se un’agenzia ambientale dicesse al cittadino “hai diritto a controllare il tuo contributo individuale alle emissioni”, mentre milioni di fonti inquinano in parallelo, la somma non sarebbe governata. Cambridge Analytica opera sulla stessa scala: un diritto individuale all’accesso del dato, per quanto formalmente esercitabile, non ripara un effetto collettivo. La risposta, in questa prospettiva, non passa dal rafforzamento dei diritti individuali soltanto. Occorre affiancare a quei diritti un impianto di obblighi sistemici, che il diritto europeo ha cominciato a introdurre solo a valle del caso.
Il quadro normativo dopo il caso: GDPR, DSA, AI Act, pubblicità politica
GDPR: un perimetro che non basta
Il Regolamento (UE) 2016/679 è divenuto applicabile il 25 maggio 2018, a poche settimane dallo scandalo. La narrazione secondo cui il GDPR sarebbe una risposta al caso Cambridge Analytica è retoricamente efficace ma storicamente imprecisa: il testo era chiuso da tempo e il percorso di adozione era iniziato con la proposta della Commissione del 2012. Vero è piuttosto, che lo scandalo ha dato al regolamento una legittimità pubblica che ne ha accelerato l’assimilazione politica. Sul piano sostanziale, il GDPR introduce diritti di accesso, portabilità e cancellazione (articoli 15-17), obblighi di privacy by design e by default (articolo 25), valutazioni d’impatto sulla protezione dei dati per trattamenti ad alto rischio (articolo 35), poteri sanzionatori più incisivi in capo alle autorità di controllo.
Rimangono quattro zone d’ombra.
- Profilazione predittiva. L’articolo 22 introduce un divieto strutturale con eccezioni; l’articolo 5 paragrafo 1 lettera a) presidia correttezza e trasparenza. Nessuna delle due disposizioni, di regola, vieta la profilazione con finalità persuasive quando il titolare invoca un interesse legittimo, a condizione che superi il bilanciamento previsto dall’articolo 6 paragrafo 1 lettera f).
- Micro-targeting comportamentale. Non risulta vietato in sé; le linee guida EDPB 08/2020 sul targeting degli utenti dei social media hanno chiarito responsabilità e trasparenza, senza introdurre un divieto di tipologia.
- Canali privati e opacità. Le comunicazioni personalizzate via email, messaggistica o feed algoritmico sfuggono in parte agli strumenti del regolamento, che non offre leve proporzionate per l’audit dell’aggregato.
- Danno sistemico. Il GDPR è congegnato per il singolo interessato; le esternalità di sistema – discorso pubblico, processi elettorali, coesione sociale – restano parzialmente scoperte.
Sul versante sanzionatorio, il quadro applicativo è stato articolato. L’Information Commissioner’s Office del Regno Unito, all’esito della principale inchiesta dedicata al caso, chiusa nell’ottobre 2020 [20], ha irrogato a Facebook nel 2018 una sanzione di 500.000 sterline, importo massimo previsto dal Data Protection Act 1998 all’epoca vigente ratione temporis. Negli Stati Uniti, la Federal Trade Commission ha imposto a Facebook nel luglio 2019 un’ammenda di 5 miliardi di dollari e un corposo programma di governance privacy; la Securities and Exchange Commission ha sanzionato la società, nello stesso mese, con 100 milioni di dollari per disclosure non veritiere in materia di rischi sui dati.
Digital Services Act: la piattaforma come oggetto di regolazione
Il Digital Services Act, Regolamento (UE) 2022/2065, è entrato in vigore il 16 novembre 2022 ed è divenuto pienamente applicabile il 17 febbraio 2024 per la generalità dei servizi digitali. Per le Very Large Online Platforms (VLOP) e le Very Large Online Search Engines (VLOSE) designate dalla Commissione, gli obblighi più stringenti si applicano già dal 25 agosto 2023. Il DSA opera un cambio di prospettiva: lascia sullo sfondo il dato dell’individuo per concentrarsi sul servizio della piattaforma come oggetto di regolazione.
Alcuni snodi sono rilevanti per il tema qui trattato. L’articolo 27 impone ai fornitori di piattaforme online di esplicitare nei termini d’uso i parametri principali dei sistemi di raccomandazione e le eventuali opzioni per modificarli; l’articolo 38 obbliga VLOP e VLOSE ad offrire almeno una modalità di raccomandazione non basata su profilazione. Gli articoli 34 e 35 introducono valutazioni e misure di mitigazione dei rischi sistemici, tra cui la manipolazione intenzionale del discorso civico e dei processi elettorali. L’articolo 37 rende obbligatorio l’audit indipendente annuale; l’articolo 39 impone la pubblicazione di un repository della pubblicità; l’articolo 40 apre un canale strutturato di accesso ai dati della piattaforma per ricercatori accreditati. Restano i limiti del paradigma: la trasparenza e la scelta dell’utente, da sole, non rappresentano un divieto. Si tratta di un quadro di compliance più che di sostanza [21].
AI Act: il divieto si sposta sull’esito
Il Regolamento (UE) 2024/1689 – AI Act – è stato pubblicato nella Gazzetta Ufficiale dell’Unione il 12 luglio 2024 ed è entrato in vigore il 1° agosto 2024. L’applicabilità è scaglionata: le disposizioni generali e il capo II sulle pratiche vietate, incluso l’articolo 5, si applicano dal 2 febbraio 2025; gli obblighi sui modelli di intelligenza artificiale per finalità generali dal 2 agosto 2025; il grosso degli obblighi sui sistemi ad alto rischio dal 2 agosto 2026, con una coda al 2 agosto 2027 per alcuni sistemi ad alto rischio incorporati in prodotti regolati da altra legislazione di armonizzazione.
Il salto qualitativo riguarda l’oggetto più che la tecnica regolatoria. Il regolamento europeo del 2016 tutelava la legittimità del trattamento dei dati; l’AI Act, per le pratiche di cui all’articolo 5, sposta il presidio sulla libertà dell’esito. Se un sistema di IA, anche con dati raccolti lecitamente, produce distorsione materiale del comportamento con rischio di danno significativo, il sistema è vietato. L’articolazione è la seguente.
- Articolo 5 paragrafo 1 lettera a). Vieta i sistemi di IA che impiegano tecniche subliminali “che agiscono senza che una persona ne sia consapevole” o tecniche “volutamente manipolative o ingannevoli” con lo scopo o l’effetto di distorcere materialmente il comportamento, compromettendo in modo apprezzabile la capacità di prendere una decisione informata, quando ciò provoca o può ragionevolmente provocare un danno significativo.
- Articolo 5 paragrafo 1 lettera b). Vieta i sistemi che sfruttano vulnerabilità dovute all’età, alla disabilità o a una specifica situazione sociale o economica, con analoga soglia di danno.
- Articolo 6. Classifica i sistemi per categoria di rischio – vietato, alto, limitato, minimo – e sottopone i sistemi ad alto rischio a obblighi di gestione del rischio, governance dei dati, documentazione tecnica, trasparenza, sorveglianza umana, accuratezza e robustezza.
- Articoli 26-29. Disciplinano gli obblighi dei deployer (chi distribuisce) dei sistemi ad alto rischio, tra cui l’istruzione d’uso, la sorveglianza umana, i log, la notifica ai fornitori e la cooperazione con le autorità.
- Articoli 72 e 73. Introducono il monitoraggio post-commercializzazione a carico del fornitore (articolo 72) e l’obbligo di segnalazione di incidenti gravi alle autorità competenti (articolo 73), spostando l’enforcement da una logica statica a una dinamica.
Il divieto dell’articolo 5, come anticipato, richiede la soglia del danno significativo: un micro-targeting politico che non la superi non rientra automaticamente tra le pratiche vietate. La cornice europea ha perciò un secondo tassello specifico, spesso trascurato nei commenti.
Pubblicità politica: il Regolamento (UE) 2024/900
Nel marzo 2024 il legislatore europeo ha adottato il Regolamento sulla trasparenza e sul targeting della pubblicità politica, applicabile in larga parte dal 10 ottobre 2025. È il tassello più direttamente ispirato al caso Cambridge Analytica. Il testo impone etichettatura obbligatoria del messaggio politico, identificazione dello sponsor, repository pubblico e soprattutto, limita il targeting basato su dati personali per la pubblicità politica: introduce divieti espliciti sull’uso di categorie particolari ai sensi dell’articolo 9 GDPR e restringe l’uso di tecniche di profilazione comportamentale quando basate su dati ricavati da fonti terze. Letto insieme al DSA e all’AI Act, il regolamento chiude uno dei varchi aperti: in Europa non è più sostenibile l’idea che la pubblicità politica micro-targettizzata su base psicometrica sia un terreno giuridicamente neutro.
Implicazioni di governance
Dal controllo individuale alla dimensione collettiva
La lezione centrale del caso, a distanza di otto anni, può essere riassunta in una formula: il controllo individuale sul trattamento di dati non basta. Gli autori che hanno tracciato la linea (sul concetto di group privacy e sulla valutazione d’impatto a scala collettiva [22]) convergono su un punto: al diritto individuale serve un’infrastruttura di garanzie sistemiche, ovvero audit sui sistemi di IA non dal punto di vista del singolo trattamento ma del funzionamento d’insieme; valutazioni d’impatto collettive, estensione del DPIA a scala di piattaforma; diritti di intervento preventivo quando il sistema produca danno documentato; governance partecipativa sulle finalità legittime, oggi decise dal titolare del trattamento e domani forse oggetto di forme più strutturate di deliberazione. L’AI Act, con il Fundamental Rights Impact Assessment dell’articolo 27 per specifici sistemi ad alto rischio, è un primo passo operativo in quella direzione.
Trasparenza come prerequisito
Un secondo punto è meno discusso, eppure non meno rilevante. Cambridge Analytica non era una società segreta od occulta: la sua metodologia era in larga parte pubblica, replicabile da chiunque avesse accesso ai dati e alle risorse computazionali. La trasparenza c’era, in un certo senso. Ciò che mancava era il divieto sulla manipolazione. Ne segue che l’obbligo di trasparenza si presenta al meglio come una precondizione: se non si accompagna a divieti espliciti su pratiche tipizzate (manipolazione comportamentale, sfruttamento di vulnerabilità, discriminazione sistematica), l’obbligo rischia di diventare alibi della compliance [23].
Autorità di controllo: sorveglianza dinamica
La terza implicazione riguarda le autorità di controllo. Il modello tradizionale (verifica della conformità dal momento dell’implementazione) è stato progettato per trattamenti pseudo-statici, con un perimetro definibile a priori. I sistemi algoritmici contemporanei cambiano comportamento in operazione, alimentandosi di dati nuovi e modificandosi nelle risposte. Serve perciò una sorveglianza dinamica, post-deployment: monitoraggio continuativo, audit indipendenti, verifiche d’impatto a campione su larga scala. L’AI Act porta questa logica nel diritto positivo con gli articoli 72 e 73 e con il ruolo dell’AI Office, istituito presso la Commissione e operativo dal 2024. Il DSA integra con gli audit annuali, la pubblicazione di transparency report e il canale dei vetted researchers. Il Garante per la protezione dei dati personali, dal canto suo, ha iniziato a tematizzare in modo sistematico la sorveglianza dei sistemi di IA nelle sue deliberazioni più recenti, proseguendo un indirizzo avviato con il provvedimento sull’uso di ChatGPT del marzo 2023 e consolidato nelle linee guida successive.
Conclusioni
Cambridge Analytica resta uno spartiacque. Non per aver rappresentato il più grande abuso di dati mai avvenuto (in termini quantitativi altri casi lo superano), né per aver dimostrato l’efficacia del micro-targeting psicometrico, che la letteratura empirica considera tutt’ora controversa. Resta spartiacque perché ha reso visibile un’architettura: la catena che lega piattaforma, aggregatore, profilo, messaggio ed elettore. E perché ha mostrato, in un contesto politico di massima salienza, che quella catena poteva operare nel cono d’ombra di un quadro normativo pensato per altri tempi.
Il bilancio regolatorio, a otto anni di distanza, è articolato. Il GDPR ha protetto il trattamento di dati individuali e ridefinito gli standard della privacy europea, pur senza disciplinare la profilazione a scopo manipolativo in quanto tale. Il DSA ha reso le piattaforme responsabili dei rischi sistemici dei loro servizi, pur restando un quadro di trasparenza più che di divieto sostanziale. L’AI Act ha introdotto il primo divieto esplicito di manipolazione comportamentale su soglia di danno, pur restando vincolato a quella soglia. Il Regolamento (UE) 2024/900 ha chiuso il varco specifico della pubblicità politica. Nel loro insieme, questi testi rappresentano la risposta europea più organica a un caso che, dieci anni prima, ha trovato il diritto pressoché disarmato.
Resta una questione di merito. La privacy, per come era stata costruita nel secolo precedente, coincideva in larga parte con la riservatezza, con il “diritto di non far sapere”. La stagione che si è aperta con Cambridge Analytica ha mostrato che la riservatezza è una condizione necessaria ma non sufficiente. Il bene da proteggere, nel XXI secolo, è l’autonomia decisionale di fronte a sistemi che conoscono il cittadino meglio di quanto il cittadino conosca sé stesso. La sfida del prossimo decennio, per le istituzioni europee, per i regolatori e per chi, come i DPO, operano quotidianamente sul confine tra conformità formale e protezione sostanziale, consiste nel tradurre questa consapevolezza in strumenti concreti. Metodologie di valutazione d’impatto collettivo, obblighi di audit indipendente, forme di deliberazione pubblica sulle finalità legittime, architetture tecnologiche che incorporino il divieto oltre alla trasparenza. La lezione di Cambridge Analytica, se deve valere a qualcosa, è che il diritto non può arrivare una stagione dopo i fatti. Ammesso sia possibile.
Note e fonti
[1] UK Parliament, Digital, Culture, Media and Sport Committee, Disinformation and “fake news”: Final Report, HC 1791, 14 febbraio 2019.
[2] M. Kosinski, D. Stillwell, T. Graepel, Private traits and attributes are predictable from digital records of human behavior, PNAS, 2013.
[3] E. Hersh, Hacking the Electorate, Cambridge University Press, 2015; J. Kalla, D. Broockman, The Minimal Persuasive Effects of Campaign Contact in General Elections, American Political Science Review, 2018.
[4] S. Zuboff, The Age of Surveillance Capitalism, PublicAffairs, 2019.
[5] S.C. Matz, M. Kosinski, G. Nave, D. Stillwell, Psychological targeting as an effective approach to digital mass persuasion, PNAS, 2017.
[6] S. Banaji, R. Bhat, WhatsApp Vigilantes: An Exploration of Citizen Reception and Circulation of WhatsApp Misinformation, LSE Department of Media and Communications, 2019.
[7] S. Wachter, B. Mittelstadt, L. Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, International Data Privacy Law, 2017; M. Veale, L. Edwards, Clarity, Surprises, and Further Questions in the Article 29 Working Party Draft Guidance on Automated Decision-Making and Profiling, Computer Law and Security Review, 2018.
[8] M. Hildebrandt, Smart Technologies and the End(s) of Law, Edward Elgar, 2015.
[9] P. Hacker, The European AI Liability Directives, Computer Law and Security Review, 2023; M. Veale, F. Zuiderveen Borgesius, Demystifying the Draft EU Artificial Intelligence Act, Computer Law Review International, 2021.
[10] D. Solove, The Myth of the Privacy Paradox, George Washington Law Review, 2021.
[11] G. Deleuze, Poscritto sulle società di controllo, in L’Autre Journal, maggio 1990; raccolto in Pourparler, trad. it. Quodlibet, 2000.
[12] A. Rouvroy, T. Berns, Gouvernementalité algorithmique et perspectives d’émancipation, Réseaux, 2013.
[13] L. Amoore, The Politics of Possibility: Risk and Security Beyond Probability, Duke University Press, 2013.
[14] L. Taylor, L. Floridi, B. van der Sloot (a cura di), Group Privacy: New Challenges of Data Technologies, Springer, 2017.
[15] A. Mathur, J. Mayer, M. Kshirsagar, What Makes a Dark Pattern… Dark?, CHI 2021.
[16] J.C. Bublitz, R. Merkel, Crimes Against Minds: On Mental Manipulations, Harms and a Human Right to Mental Self-Determination, Criminal Law and Philosophy, 2014; G. Resta, Profilazione algoritmica e tutela della persona, Il Mulino, 2020.
[17] E. Ruppert, E. Isin, D. Bigo (a cura di), Data Politics, Big Data and Society, 2017.
[18] N. Helberger, The Political Power of Platforms: How Current Attempts to Regulate Misinformation Amplify Opinion Power, Digital Journalism, 2020; N. Helberger, S. Eskens, M. van Drunen, M. Bastian, J. Moeller, Implications of AI-driven Tools in the Media for Freedom of Expression, IViR-Council of Europe, 2020.
[19] J. van Dijck, T. Poell, M. de Waal, The Platform Society, Oxford University Press, 2018.
[20] Information Commissioner’s Office, Investigation into the use of data analytics in political campaigns, ottobre 2020.
[21] J. Laux, S. Wachter, B. Mittelstadt, Trustworthy Artificial Intelligence and the European Union AI Act, Regulation and Governance, 2024.
[22] A. Mantelero, AI and Big Data: A Blueprint for a Human Rights, Social and Ethical Impact Assessment, Computer Law and Security Review, 2018.
[23] L. Edwards, M. Veale, Enslaving the Algorithm: From a Right to an Explanation to a Right to Better Decisions?, IEEE Security and Privacy, 2018.
Fonti istituzionali aggiuntive. United States Senate, Committee on Commerce, Science and Transportation e Committee on the Judiciary, audizioni Mark Zuckerberg, 10-11 aprile 2018. Federal Trade Commission, United States v. Facebook, decreto del 24 luglio 2019. Securities and Exchange Commission, Facebook Inc., cease-and-desist order del 24 luglio 2019.
Fonti normative. Regolamento (UE) 2016/679 (GDPR). Regolamento (UE) 2022/2065 (Digital Services Act). Regolamento (UE) 2024/900 sulla trasparenza e sul targeting della pubblicità politica. Regolamento (UE) 2024/1689 (AI Act). European Data Protection Board, Guidelines 05/2020 on consent; Guidelines 08/2020 on the targeting of social media users; Guidelines 03/2022 on deceptive design patterns.
