Introduzione rapida
Cambridge Analytica rappresenta il caso-limite dove la raccolta massiva di dati personali, combinata
con algoritmi predittivi e micro-targeting comportamentale, ha trasformato cittadini-elettori in
oggetti di manipolazione sistematica. Non è solo una violazione normativa: è la prova che i sistemi
democratici occidentali erano impreparati a difendere l’autonomia decisionale dall’intelligenza
artificiale. Oggi, con il GDPR e l’AI Act, quel caso ci insegna a riconoscere le violazioni
strutturali: non basta il consenso, servono guardrail tecnici, trasparenza algoritmica e vieto
assoluto delle tecniche subliminali. Chiunque gestisca dati per influenzare comportamenti – dal
marketing politico ai sistemi di profilazione – deve comprendere questa archeologia normativa per
non ripeterla.
Abstract
Il caso Cambridge Analytica (2014-2018) rappresenta un turning point nella storia della regolazione
della privacy e della protezione dei dati personali in ambito digitale. Attraverso l’acquisizione,
l’aggregazione e l’elaborazione algoritmica di centinaia di milioni di profili Facebook, Cambridge
Analytica ha costruito infrastrutture di manipolazione comportamentale di massa capaci di distorcere
processi elettorali democratici. Questo articolo propone un’analisi sistematica della trasformazione
epistemologica innescata dal caso: dalla concezione tradizionale della privacy come diritto
individuale all’emergenza della “data politics” come nuovo paradigma di potere. Il lavoro esamina le
lacune normative che il caso ha esposto nel GDPR, nella regolazione della profilazione
comportamentale e nella protezione della “soggettività dividuale” – concetto cruciale per
comprendere come i sistemi algoritmici trasformano l’individuo in insieme di frammenti predittivi.
L’articolo sviluppa inoltre il collegamento cruciale con l’AI Act (articolo 5, paragrafo 1), che
vieta direttamente le pratiche di manipolazione algoritmica che Cambridge Analytica ha pionerato.
Infine, analizza le proposte normative successive e indica pathway di riforma sia a livello europeo
che internazionale.
1. Introduzione: Il paradigma Cambridge Analytica
1.1 Inquadramento problematico
Il 19 marzo 2018, a seguito dell’indagine giornalistica di Carole Cadwalladr (The Guardian, The
Observer), è esploso pubblicamente il caso Cambridge Analytica. Una società di consulenza britannica
specializzata in “digital political consultancy” è stata smascherata nel ruolo di acquisitore
clandestino di dati personali da Facebook, utilizzati per campagne di profilazione comportamentale
finalizzate all’influenza di processi elettorali in decine di paesi: Stati Uniti (Trump 2016), Regno
Unito (Brexit 2016), Nigeria, Kenya, Brasile, India, Ucraina, e molti altri.
La rilevanza della Cambridge Analytica non risiede nella novità tecnica (gli algoritmi di
profilazione predittiva erano già maturi negli anni 2010), bensì nella sistematicità con cui ha
applicato quel toolkit a una scala globale, con una dichiarata finalità di manipolazione
comportamentale di massa su temi di massima rilevanza politica, e con un livello di sofisticazione
tecnica e operativa che nessun attore privato aveva precedentemente dimostrato in modo pubblicamente
documentato.
Dal punto di vista della regolazione della privacy, il caso Cambridge Analytica ha avuto un duplice
effetto: da una parte ha catalizzato l’entrata in vigore del GDPR (maggio 2018, letteralmente pochi
mesi dopo l’esplosione dello scandalo), dall’altra ha esposto lacune normative che il GDPR stesso
non colma completamente, in particolare rispetto alla protezione della “soggettività dividuale” e
alla regolazione della profilazione comportamentale su scala sistemica.
1.2 Metodologia d’analisi
Questo articolo si basa su tre fonti principali di informazione: (a) la letteratura accademica sulla
data politics e sulla profilazione algoritmica; (b) i documenti ufficiali delle inchieste pubbliche
(il Senato USA, il Parlamento UK, il Bundestag tedesco); (c) la documentazione normativa e le
decisioni delle autorità di controllo (in particolare il Garante privacy italiano, il Gartner UK,
l’Autorità garante della concorrenza e del mercato – AGCM italiana). Le sezioni che seguono costruiscono
una “genealogia” del caso Cambridge Analytica: dalle origini tecniche della profilazione predittiva,
alle lacune normative che la rendono possibile, fino alle lezioni estratte per la governance dei sistemi
di IA.
2. La “Tessitura” tecnica di Cambridge Analytica
2.1 Data acquisition e profilo psicometrico
Cambridge Analytica non aveva accesso “legittimo” ai dati di Facebook. La società britannica ha
acquisito i dati personali di decine di milioni di utenti Facebook attraverso un intermediario esterno
(l’accademico Aleksandr Kogan, dell’Università di Cambridge), il quale aveva creato una app su Facebook
che raccoglieva non solo i dati degli utenti che la scaricavano, ma anche quelli dei loro contatti, senza
consenso esplicito di questi ultimi. Questo accesso incidentale a dati di milioni di persone, effettuato
in violazione dei termini di servizio di Facebook e senza la loro conoscenza, è il fondamento su cui
Cambridge Analytica ha costruito la sua operazione.
Il dataset è stato poi “arricchito” con altre informazioni pubblicamente disponibili o acquistate da data
broker: storico di voto, affiliazioni politiche, dati di geolocalizzazione, cronologia di acquisti
online, pratiche di consumo dei media, variabili demografiche. L’aggregazione di questi dati ha
permesso a Cambridge Analytica di costruire “profili psicometrici” di ogni individuo: modelli predittivi
basati sul framework Big Five della personalità (openness, conscientiousness, extroversion, agreeableness,
neuroticism), elaborati mediante tecniche di machine learning.
2.2 Il modello predittivo e il micro-targeting comportamentale
Una volta costruiti i profili psicometrici, Cambridge Analytica ha utilizzato algoritmi di classificazione
per suddividere la popolazione in “cluster” comportamentali. Ad ogni cluster è stata associata una
“propensione” a rispondere a specifici messaggi: ad esempio, “cluster X (neurotici ansiosi) è sensibile
a messaggi sulla sicurezza personale”; “cluster Y (aperti, cosmopoliti) è sensibile a messaggi sulla
diversità culturale”, e così via. Questa granularità ha reso possibile il “micro-targeting”: invece di
condurre una campagna politica “massiva” con un unico messaggio, Cambridge Analytica ha prodotto migliaia
di varianti di messaggi, ognuno targettizzato a micro-segmenti della popolazione sulla base del loro
profilo psicometrico.
La sofisticazione del sistema risiede nella capacità di automatizzare questa operazione su scala nazionale
e internazionale. Non era necessario che gli operatori di Cambridge Analytica “conoscessero”
manualmente ogni individuo: la profilazione era algoritmica, il targeting era algoritmica, la
personalizzazione era algoritmica. Questo ha permesso a un team relativamente piccolo di esercitare
un’influenza capillare su decine di milioni di persone simultaneamente.
2.3 La dimensione occulta: dark social e desinformazione
Un aspetto cruciale della strategia di Cambridge Analytica era l’uso dei “dark social” – canali digitali
privati, come messaggi di WhatsApp, Telegram, email, chat privati su Facebook. A differenza della
pubblicità tradizionale su pagine pubbliche (facilmente tracciabile), i messaggi inviati via dark social
hanno un’opacità quasi totale: nessun archivio pubblico, nessuna traccia verificabile, nessuna
possibilità per una terza parte (giornalisti, ricercatori, autorità di controllo) di verificare quale
messaggio è stato inviato a quale persona, e con quale effetto.
In questo ecosistema opaco, Cambridge Analytica ha diffuso contenuti disinformativi targettizzati: non
messaggi “veri” o “falsi” in senso globale, ma messaggi formulati ad hoc per suscitare emozioni
specifiche in micro-segmenti specifici della popolazione. L’effetto complessivo era cumulativo: milioni
di individui esposti a una narrazione costruita non per rappresentare la realtà, ma per manipolarne la
percezione.
3. Le tre lacune normative esposte dal caso
3.1 Lacuna 1: L’assenza di regolazione sulla profilazione predittiva
Al momento del caso Cambridge Analytica (2014-2018), il quadro normativo sulla privacy non conteneva
alcun divieto esplicito sulla profilazione predittiva basata su dati personali, almeno non in Europa.
Nel GDPR, entrato in vigore nel maggio 2018 (pochissimi mesi dopo lo scandalo), la profilazione è
menzionata solo nel considerando 71 e negli articoli 4(4) e 22, ma in modo generico: il GDPR protegge
il diritto dell’individuo di non essere sottoposto a una decisione basata su profilazione automatica che
produca effetti legali significativi, ma non vieta la profilazione in sé, nemmeno quando essa è
esplicitamente finalizzata alla manipolazione comportamentale.
Cambridge Analytica operava quindi in una “zona grigia” normativa: il trasferimento dei dati da Facebook
violava i termini di servizio e potrebbe aver violato leggi nazionali sul frode informatica; ma la
profilazione stessa, la costruzione di modelli predittivi di personalità, e il micro-targeting
comportamentale non erano esplicitamente vietati da alcuna norma transnazionale.
3.2 Lacuna 2: L’assenza di divieti su tecniche subliminali e manipolazione
Il GDPR non contiene alcun divieto esplicito su tecniche di manipolazione comportamentale, purché
astrattamente “trasparenti”. L’articolo 13 del GDPR richiede che il titolare del trattamento informi
l’interessato sulla “logica” della profilazione automatica e sugli effetti che questa potrebbe produrre;
ma se l’informativa afferma “effettuiamo profilazione per ottimizzare la comunicazione”, e questa
affermazione è tecnicamente vera, il GDPR è teoricamente soddisfatto – anche se l’effetto pratico della
comunicazione targettizzata è di distorcere materialmente le scelte del cittadino.
L’AI Act segna un progresso decisivo su questo punto: l’articolo 5, paragrafo 1, lett. b) vieta
direttamente “la pratica di profilazione di una persona fisica in base a dati personali al fine di
manipolarne il comportamento in modo significativo che porti a o agevoli il danno fisico, mentale o
psichico di tale persona, nonché la manipolazione del comportamento di una persona fisica in modo da
sfruttare specifiche caratteristiche psicologiche o personali o il grado di vulnerabilità di tale persona,
al fine di distorcere sostanzialmente il giudizio e di indurre tale persona, in virtù di tale distorsione,
a compiere o astenersi dal compiere un’azione che essa altrimenti non compirebbe”.
Questo divieto non è meramente “proibitivo” di un abuso; esso stabilisce un principio epistemologico
inverso: non è più “il dato deve essere trasparente”; è “il comportamento deve essere libero”. Se un
sistema di IA, per quanto trasparente nella raccolta dei dati, produce come output la distorsione
materiale della autonomia decisionale, allora è vietato, indipendentemente da quanto “legittimamente”
i dati siano stati raccolti.
3.3 Lacuna 3: L’inadeguatezza del “consenso generico” di fronte all’opacità algoritmica
Il GDPR si basa sul concetto di “consenso informato”: l’individuo deve essere informato di quale
trattamento sarà effettuato sui suoi dati, e deve dare il suo assenso. Tuttavia, Cambridge Analytica ha
esposto un limite radicale di questo approccio: il consenso è “informato” solo se l’individuo comprende
effettivamente quale sia il trattamento e quali siano i rischi. Ma quando il trattamento consiste
nell’elaborazione algoritmica di milioni di parametri per costruire un profilo psicometrico e targetizzare
messaggi di micro-manipolazione, la “comprensione” da parte dell’utente medio è praticamente zero.
L’utente che clicca “accetto” su un’informativa generica di Facebook accetta tecnicamente la raccolta
dei dati, ma non “comprende” che quei dati saranno trasferiti a terzi (come Cambridge Analytica), né
che verranno utilizzati per costruire un profilo psicometrico, né che quel profilo sarà usato per
manipolarne il comportamento politico. Il “consenso” in questo contesto è una finzione giuridica: è
formalmente presente, ma sostanzialmente vuoto di comprensione reale.
Questa lacuna è parzialmente affrontata dal GDPR attraverso il concetto di “legittimazione altro dal
consenso” – ad esempio, l’interesse legittimo del titolare. Ma il GDPR non fornisce guardrail sufficienti
quando la “legittimazione” sia basata su finalità di manipolazione comportamentale. L’AI Act segna qui
un progresso: stabilisce che non basta la “legittimazione formale”; se l’outcome è la manipolazione, il
sistema è proibito, punto.
4. Il concetto di “soggettività dividuale” e le nuove vulnerabilità algoritmiche
4.1 Da individuo a “dividuo”: Deleuze e la trasformazione soggettiva algoritmica
Il filosofo Gilles Deleuze, nel suo saggio “Poscritto sulle società di controllo” (1990), ha teorizzato il
passaggio dalle “società disciplinari” (Foucault) alle “società di controllo”. Mentre la disciplina
operava su individui (corpo a corpo, scuola, fabbrica, ospedale), il controllo contemporaneo opera su
“dividui” – frammenti, segmenti, variabili, dati atomizzati. L’individuo Cartesiano (“uno indivisibile”)
è sostituito da un insieme di profili parziali, di “attrattori” comportamentali, di propensioni predittive.
Cambridge Analytica ha incarnato letteralmente questa trasformazione: non ha “conosciuto” cittadini come
individui integrali, ma come “dividui” – come insieme di frammenti psicometrici (Big Five scores) legati a
propensioni di comportamento prevedibili. Un cittadino “dividuale” non è una persona, è una
probabilità computazionale. E una volta ridotto a probabilità, è manipolabile algoritmicamente, senza che
alcun “diritto della personalità” tradizionale sia violato nel senso formale.
4.2 Profilazione come “reificazione della personalità”
La costruzione di un profilo psicometrico rappresenta una forma di “reificazione”: il processo di trasformazione
di qualità astratte della personalità (apertura, consapevolezza, nevroticismo) in variabili numeriche
discrete, “oggettive”, algoritmica-mente manipolabili. Questa reificazione ha un effetto pratico: una
volta che la personalità è “codificata” in parametri numerici, essa diventa materiale di manipolazione
tecnica, non più oggetto di protezione giuridica.
Il GDPR fornisce protezione al “dato personale” come entità informativa separata; ma non fornisce protezione
all’individuo come soggetto unitario, come “persona” nel senso costituzionale. Cambridge Analytica ha
explorato precisamente questa lacuna: non ha violato tecnicamente il GDPR sul singolo “dato”, ma ha
trasformato il cittadino in “dividuo manipolabile” aggregando dati legittimamente raccolti.
4.3 Vulnerabilità psicologiche e sfruttamento algoritmico
Una dimensione cruciale del danno di Cambridge Analytica è lo “sfruttamento di vulnerabilità”. La
profilazione psicometrica consente di identificare non solo le preferenze e i comportamenti, ma anche le
debolezze psicologiche e gli stati emotivi vulnerabili. Un algoritmo che sa che una persona è “nevrotica
e ansiosa” sa anche come raggiungerla emotivamente – quale tema, quale tono, quale sensazione produrrà
maximum engagement.
Storicamente, le leggi sulla “lotta alla manipolazione” (ad es. sulla pubblicità ingannevole, sul gioco
d’azzardo) si sono concentrate sul controllo dei “contenuti” (non mentire ai consumatori). Cambridge
Analytica ha insegnato che il danno non risiede necessariamente nel “contenuto”, ma nel “match” tra
contenuto e vulnerabilità psicologica del destinatario. Un messaggio perfettamente veritiero, se
targettizzato a una persona in uno stato emotivo di massima vulnerabilità, è ancora manipolazione.
L’AI Act affronta questo aspetto riconoscendo lo “sfruttamento di vulnerabilità psicologiche” come forma
di danno autonoma, indipendente dalla verità o falsità del contenuto.
5. Cambridge Analytica e il “data-political complex”: esternalità di potere
5.1 Data politics come nuovo paradigma di potere
La “data politics” non è semplicemente “il cattivo uso dei dati”. È una trasformazione strutturale di dove
risiede il potere nel contesto digitale. Nei media tradizionali, il potere era distribuito (editor,
proprietari, pubblico); nei social media, il potere risiede in chi controlla l’infrastruttura dati (la
piattaforma), chi raccoglie i dati (la piattaforma e i data broker), e chi ha capacità computazionale di
trasformazione (agenzie come Cambridge Analytica).
Cambridge Analytica ha sfruttato una “catena di potere” a tre anelli:
- Facebook controlla l’accesso ai dati; genera i dati attraverso il suo ecosistema; stabilisce formalmente chi può accedervi.
- Cambridge Analytica ha violato i termini e ha acquisito dati clandestinamente; li ha aggregati e trasformati in profili psicometrici; li ha utilizzati per micro-targeting.
- I cittadini erano esposti a questo ecosistema senza consapevolezza, trasparenza, o capacità di rifiuto efficace.
Nessun anello della catena è “illegittimo” nel senso formale (almeno fino a quando i dati grezzi erano
“legittimamente” raccolti), ma l’effetto sistemico è il controllo assoluto della cognizione politica di
decine di milioni di persone.
5.2 Esternalità algoritmiche: il danno sistemico vs. il danno individuale
Una lezione fondamentale del caso Cambridge Analytica è l’insufficienza del paradigma “danno individuale”
quando affrontare “danni sistemici”. Il GDPR si concentra sulla protezione del singolo individuo: il
diritto di accesso al mio dato, il diritto di rettifica del mio dato, il diritto di cancellazione del mio
dato. Ma quando milioni di individui sono profilati e micro-targettizzati contemporaneamente, il danno non
risiede nella “mia” rettifica o “mio” accesso ai dati; risiede nel fatto che il sistema nel suo complesso
distorce i processi decisionali collettivi (elezioni, movimenti sociali, policy).
Un’analogia: è come se un’agenzia ambientale dicesse ai cittadini “Avete il diritto di controllare se il
vostro inquinamento individuale è corretto”, mentre simultaneamente milioni di fonti inquinano, e
l’effetto aggregato è un disastro climatico. I diritti individuali sulla qualità dell’aria del mio
quartiere sono irrilevanti se l’effetto sistemico è una catastrofe collettiva.
Cambridge Analytica ha operato su questa “scala di esternalità”: il danno non era “al singolo cittadino”,
ma “al processo democratico nel suo complesso”. E il GDPR, basato sulla protezione individuale dei dati,
non ha strumenti per affrontare questo livello di danno.
6. Quadro normativo post-Cambridge Analytica: GDPR, DSA, AI Act
6.1 Il GDPR come risposta parziale (e i suoi limiti residui)
Il GDPR è entrato in vigore letteralmente pochi mesi dopo lo scandalo Cambridge Analytica (maggio 2018 vs.
marzo 2018). In molti sensi, il GDPR è stata una risposta diretta al caso: sono stati introdotti diritti
di accesso, portabilità, cancellazione (“diritto all’oblio”); sono stati introdotti obblighi di Privacy by
Design; sono stati rafforzati i poteri delle autorità di controllo. Da questo punto di vista, Cambridge
Analytica ha catalizzato una generazione di protezione dei dati.
Tuttavia, il GDPR mantiene un’impostazione centrata su “controllo individuale e trasparenza dei dati”, non
su “protezione dell’autonomia decisionale di fronte all’IA”. Pertanto:
- Profilazione predittiva: Il GDPR consente la profilazione, purché il soggetto sia informato. Non vieta la profilazione per scopi di manipolazione, se questa è “legittimata” da un “interesse legittimo”.
- Micro-targeting comportamentale: Il GDPR consente il micro-targeting personalizzato, purché il soggetto sia informato. Non contiene guardrail specifici su tecniche di sfruttamento di vulnerabilità psicologiche.
- Dark social e opacità algoritmica: Il GDPR consente comunicazioni privatizzate (e-mail, messaging apps) a patto di “autorizzazione legittima”. Non fornisce strumenti per auditare l’impatto aggregato di milioni di messaggi personalizati inviati via dark social.
- Danno sistemico vs. individuale: Il GDPR è uno strumento di protezione individuale. Non ha leve per affrontare danni che emergono a livello di “esternalità di sistema”.
6.2 Il Digital Services Act (DSA) come regolazione della piattaforma
Il DSA, entrato in vigore nel 2024, rappresenta un cambio di paradigma: non protegge il “dato dell’individuo”,
ma regola il “servizio della piattaforma”. L’articolo 13 del DSA introduce obblighi di “trasparenza dei
sistemi di raccomandazione”: le piattaforme devono rendere pubbliche le caratteristiche principali dei
loro algoritmi di raccomandazione, e devono consentire agli utenti di optare per “sistemi di
raccomandazione non basati su profilazione comportamentale”.
Questo è concettualmente importante: riconosce che il danno non risiede nel “singolo dato”, ma nel “sistema
di raccomandazione nel suo complesso”. Tuttavia, il DSA rimane parziale: si concentra sulla
“trasparenza” e sulla “scelta dell’utente” (optare per sistemi non-profilati), ma non vieta le pratiche
di manipolazione in sé – purché siano “trasparenti”.
6.3 L’AI Act come interdizione dell’autonomia algoritmica
L’AI Act, entrato in vigore nel febbraio 2025, segna un salto qualitativo nella logica normativa. Invece di
dire “i dati devono essere trasparenti” o “il sistema deve essere esplicabile”, l’AI Act dice: “se
l’outcome è la manipolazione comportamentale o lo sfruttamento di vulnerabilità, il sistema è vietato,
indipendentemente da quanto trasparente sia la logica algoritmica”.
Nello specifico:
- Articolo 5, paragrafo 1, lett. a): Vieta i sistemi di IA che usano “tecniche subliminali” o di “sfruttamento della vulnerabilità” per distorcere il comportamento umano in modo che provochi danno fisico, mentale o psichico.
- Articolo 5, paragrafo 1, lett. b): Vieta esplicitamente i sistemi di manipolazione algoritmica di cui Cambridge Analytica è prototipo: “la pratica di profilazione di una persona fisica … al fine di manipolarne il comportamento … che porti a o agevoli il danno fisico, mentale o psichico”.
- Articolo 6: Classifica i sistemi di IA per categorie di rischio (“vietato”, “alto rischio”, “rischio limitato”, “rischio minimo”), e sottopone i sistemi ad alto rischio a valutazioni di impatto, audit, e controlli di conformità.
- Articolo 10-19: Introduce obblighi di trasparenza, di documentazione tecnica, di monitoraggio post-deployment, di reportistica agli utenti e alle autorità.
L’AI Act rappresenta un progresso epistemologico cruciale: dal “focus sul dato” al “focus sull’outcome”.
Cambridge Analytica ha insegnato che la legalità della raccolta dei dati è insufficiente a garantire la
protezione della autonomia decisionale. L’AI Act stabilisce che se l’outcome è la manipolazione
comportamentale su larga scala, allora il sistema è proibito, indipendentemente da quanto
“legittimamente” i dati siano stati raccolti e utilizzati.
7. Implicazioni per la governance dei dati e delle piattaforme
7.1 Dal “controllo individuale” alla “sovranità algoritmica collettiva”
Una delle lezioni centrali di Cambridge Analytica è che il “controllo individuale” sui dati personali è una
protezione insufficiente di fronte a forme di potere collettive e algoritmiche. Se milioni di individui
esercitano il “diritto di accesso” al proprio dato personale, ottenendo la conferma che “il mio dato è stato
trattato secondo legge”, ciò non protegge il fatto che il trattamento aggregato dei dati di milioni di
persone ha distorto il processo democratico.
Ciò non significa che il “controllo individuale” sia inutile; significa che deve essere affiancato da forme
di “sovranità collettiva” o “sovranità algoritmica” a livello di comunità, società, istituzione. Questa
sovranità collettiva potrebbe includere:
- Diritti di “auditoria collettiva” sui sistemi di IA: non solo “il mio dato è stato trattato
legittimamente”, ma “il sistema nel suo complesso produce danno a livello di popolazione”; - Obblighi di “valutazione d’impatto collettiva” (come il DPIA – Data Protection Impact Assessment, ma a
scala di sistema): prima di dispiegare un sistema di micro-targeting su milioni di individui, effettuare
una valutazione dell’impatto sulla democrazia, sulla coesione sociale, sulla capacità decisionale
collettiva; - Diritti di veto collettivo: se un sistema di IA è stato dimostrato causare danno sistemico (come per
Cambridge Analytica), autorità pubbliche e società civile devono avere il potere di interdicenza, non solo
di “remediation” post-hoc; - Governance partecipativa: chi decide quali finalità di uso dei dati sono “legittime”? Oggi, è il “titolare
del trattamento” (Facebook, le agenzie pubblicitarie). Domani, dovrebbe essere un processo di deliberazione
collettiva: quali usi dei dati sono accettabili per una società democratica?
7.2 La “trasparenza algoritmica” come prerequisito, non come soluzione
Un’altra lezione di Cambridge Analytica è che “trasparenza” non è automaticamente “protezione”. Cambridge
Analytica non era segreta per principio; la sua intera metodologia era teoricamente trasparente,
documentata in letteratura accademica, implementabile da chiunque avesse accesso ai dati e alle risorse
computazionali. La “trasparenza” era presente; quello che non era presente era il “divieto” sulla
manipolazione comportamentale.
Questo insegna che i guardrail normativi non possono limitarsi a “trasparenza” e “tracciabilità”.
Devono includere “divieti espliciti” su pratiche specifiche (manipolazione comportamentale, sfruttamento
di vulnerabilità, discriminazione sistematica).
7.3 Il ruolo delle autorità di controllo nella sorveglianza post-deployment
Storicamente, le autorità di controllo della privacy (come il Garante italiano) si concentravano sulla
“conformità legale” nel momento dell’implementazione: il trattamento è stato notificato? Sono stati rispettati
i principi di liceità? Il consenso è stato raccolto correttamente? Questo approccio è “statico”: verifica la
conformità al momento della progettazione.
Cambridge Analytica insegna che è necessaria una sorveglianza “dinamica” e “post-deployment”. Un sistema
potrebbe essere formalmente conforme al momento della progettazione, ma produrre danno significativo nel
momento in cui è dispiegato in operazione. Ciò richiede capacità di monitoraggio continuato, di auditing
indipendente, di verifiche d’impatto a campione su larga scala.
L’AI Act introduce questa dimensione: gli articoli 26-29 richiedono un “monitoraggio post-deployment” continuo,
la documentazione di “incidenti” o “anomalie”, e la segnalazione alle autorità di controllo. Questo
rappresenta una trasformazione nella modalità di enforcement normativo: da “conformità statica” a
“sorveglianza dinamica”.
8. Conclusioni
Il caso Cambridge Analytica rappresenta uno spartiacque nelle crisi della regolazione della privacy nel
contesto digitale. Non è un “incidente” che potrebbe essere evitato con maggiore trasparenza o consenso
più informato. È la manifestazione visibile di una trasformazione epistemologica nel rapporto tra
tecnologia, dati, e potere: il passaggio dalla “privacy come riservatezza individuale” alla “privacy come
autonomia di fronte all’influenza algoritmica”.
Cambridge Analytica ha trasformato cittadini in “dividui” – frammenti psicometrici vulnerabili a
manipolazione sistematica. Ha sfruttato tre lacune normative critiche: l’assenza di regolazione sulla
profilazione predittiva, l’assenza di divieti su tecniche di manipolazione comportamentale, e l’inadeguatezza
del “consenso generico” a proteggere l’autonomia decisionale in contesti di opacità algoritmica.
Il GDPR ha rappresentato una risposta iniziale: proteggere il “controllo individuale” sui dati personali
attraverso diritti di accesso, rettifica, cancellazione. Ma Cambridge Analytica ha rivelato che il controllo
individuale è insufficiente quando il danno emerge a livello sistemico – quando milioni di profili aggregati
diventano un’arma di manipolazione collettiva.
L’AI Act segna un progresso epistemologico decisivo: dal focus su “come vengono raccolti i dati” al focus su
“quale outcome producono i sistemi di IA”. L’articolo 5(1) dell’AI Act vieta direttamente la manipolazione
algoritmica e lo sfruttamento di vulnerabilità psicologiche, indipendentemente da quanto “legittimamente” i
dati siano stati raccolti. Ma l’AI Act da solo non è sufficiente: serve convergenza con il DSA, con
regolamenti sulla trasparenza dei dati, con obblighi di auditing indipendente, e soprattutto con una
riarticolazione degli assetti di governance che regolano come i social media raccolgono, aggregano e
trasformano dati personali in infrastrutture di influenza.
Per chiunque lavori con dati personali per finalità di influenza comportamentale – dal marketing politico ai
sistemi di raccomandazione personalizzata – Cambridge Analytica deve rappresentare una “linea rossa”
interiore. Non è sufficiente che il trattamento sia “legittimo secondo il GDPR”; la domanda che deve porsi
ogni DPO, ogni consulente, ogni tecnolo è: “sto usando algoritmi per influenzare materialmente il
comportamento di persone senza che ne siano consapevoli? Sto sfruttando profili psicometrici per
targettizzare soggetti vulnerabili?” Se la risposta è sì, allora le lezioni di Cambridge Analytica dicono
chiaramente: questo è vietato, non è etico, e rappresenta una violazione della dignità umana. La sfida per
le istituzioni, i regolatori, e gli operatori è ora costruire framework di governance che traducano questa
lezione morale in guardrail operativi, tecnici, e normativi concreti.
