QUANTO SONO AL SICURO I NOSTRI DATI? IL CASO CAMBRIDGE ANALYTICA

Il recente scandalo di portata internazionale, legato alle dichiarazioni di Cristopher Wylie, venute alla luce negli ultimi giorni e relative alle metodologie di rilevazione statistica adottate nell’ultima campagna presidenziale Americana, hanno contribuito ad avvalorare il significato dell’identificazione dei dati personali a “nuovo petrolio”. L’ex dipendente di Cambridge Analityca ha denunciato pubblicamente il tacito meccanismo fraudolento relativo al trattamento dei dati compiuto su larga scala, senza consenso degli interessati, realizzato durante la campagna elettorale di Donald Trump.

Leggendo quanto dichiarato dal whistblower[1] americano si apprende infatti che la campagna politica del candidato vincitore delle elezioni presidenziali, affonda le sue radici su una massiva raccolta di dati personali di utenti inconsapevoli, portata avanti dalla Cambridge Analytica a mezzo di un’applicazione dal nome “thisisyourdigitallife”. L’applicativo, apparentemente innocuo, è stato presentato come strumento atto alla raccolta di dati per fini puramente accademici, ottenendo circa 270mila download. Tuttavia la struttura del programma, associata al bacino di utenza di Facebook, ha permesso di profilare circa 50 milioni di utenti. Le informazioni raccolte, secondo le dichiarazioni di Mr. Wylie, sarebbero poi state utilizzare per dare un taglio esponenzialmente più incisivo alla campagna elettorale di Trump, giocando un ruolo decisivo per l’elezione.

L’utilizzo dei dati personali associati a rilevazioni statistiche è un modus operandi che di nuovo ha ben poco, basti pensare a quanto avvenuto nel 2012, in occasione della campagna elettorale portata avanti da Obama. In quel caso si decise di sfruttare le proprietà delle API di Facebook per ottenere informazioni sull’utenza, mentre per la successiva rielezione, lo staff dell’allora Presidente, decise di puntare sull’impiego di App politiche incentrate sulla figura del candidato.

Il caso “Cambridge Analityca” fa riflettere sotto vari punti di vista, soprattutto se lo si interpreta alla luce di quanto recentemente previsto dalla normativa europea in materia di privacy, verosimilmente più pervasiva di quella Americana. Un’operazione di questo tipo, se assoggettata alle previsioni del Regolamento UE 679/2016, risulterebbe contraria a più di una disposizione e sarebbe stata seguita, con tutta probabilità, dall’applicazione di sanzioni assai elevate in capo ai trasgressori.

Al riguardo il Legislatore europeo ha stabilito che “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale” è uno dei diritti fondamentali dei cittadini europei, sin dal considerando 1[2]. Proseguendo con la lettura del testo, all’art. 5 comma 1 lett a), leggiamo che alla base di un trattamento dei dati personali, si collocano i principi di liceità, correttezza e trasparenza. La raccolta e la gestione delle informazioni effettuate tramite l’app sviluppata da Cambridge Analityca non rispettando nessuno di questi principi, rappresenta esattamente l’opposto di quanto previsto dalla normativa Europea.

Proseguendo l’analisi, risulta soprattutto necessario sciogliere i nodi che riguardano il consenso che, secondo la definizione del Legislatore europeo, deve essere libero, specifico, informato e inequivocabile[3]. Il consenso, tuttavia assume anche lo status di condizione di liceità (tra le varie) del trattamento stesso, purché sia espresso per una o più specifiche finalità[4]. Nel caso americano, questo non succede: è evidente infatti, che il consenso espresso dagli interessati è ottenuto per finalità accademiche, e non politiche. Da una lettura complessiva dell’intero art. 6 del Regolamento (UE) 679/2016, dedicato alla liceità del trattamento, inoltre, non risulta soddisfatta nessuna delle condizioni imposte per un gestione dei dati “compliant”. In accordo con la normativa Europea, un trattamento svolto secondo queste modalità, risulta senza dubbio illecito e ne rappresenterebbe una palese violazione, tanto che, qualora si fosse trattata di una questione di interesse Europeo, si sarebbe sicuramente attivato l’impianto sanzionatorio di cui il GDPR è provvisto[5].

Nel caso di specie, nessuna delle disposizioni deporrebbe a favore della Cambridge Analityca, quindi è lecito pensare che la sanzione, in un contesto Europeo, per un caso ad esso assimilabile sarebbe stata probabilmente vicino ai massimi previsti. Nonostante le evidenti criticità della questione, la stessa ci consente di comprendere quali conseguenze possano derivare da un utilizzo illecito dei dati personali. Una normativa adeguata e dotata di un forte impianto sanzionatorio, può avere sicuramente un effetto dissuasivo oltre che di indirizzo, come nel caso del GDPR che, dal prossimo 25 maggio, permetterà di ottenere delle tutele adeguate e delle disposizioni specifiche sulle modalità che dovrebbero caratterizzare un corretto trattamento dei dati personali anche al fine di prevenire simili eventi.

[1] termine che identifica un individuo che denuncia pubblicamente o riferisce alle autorità attività illecite o fraudolente all’interno del governo, di un’organizzazione pubblica o privata o di un’azienda.

[2]Regolamento Europeo 679/2016 considerando 1: “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”

[3] ibidem art.4 comma 11 : “«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”

[4] ibidem art.6 comma 1 lettera a: “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”;

[5] Per definirne l’ammontare, si devono considerare diversi fattori, indicati dall’art.83 comma 2, lett. a-c; g.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

QUANTO SONO AL SICURO I NOSTRI DATI? IL CASO CAMBRIDGE ANALYTICA

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Privacy Symposium 2026

AI e Commercialisti. Responsabilità, Etica e Futuro

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco