Sono sufficienti pochi istanti per perdere il controllo dei propri dati in Internet; una semplice distrazione oppure un dito che si muove in maniera strana; un’icona che compare una frazione di secondo prima del click con cui si vorrebbe entrare in una diversa pagina e il gioco è fatto. Abbiamo detto di sì all’invio di mail, pubblicità, consenso a profilazioni, accettazione di tutti i termini contratto ali e di informative mai lette o scritte in maniera inadeguata. Tutto ciò può accadere quotidianamente, mentre lavoriamo o a casa, nel tempo libero. Ma tutto ciò può assumenre una diversa connotazione nel sistema, sempre più utilizzato, della pubblicità comportamentale. È il risultato evidente delle nostre navigazioni in rete.

Con buona pace del GDPR e della protezione dati, esistono oltre otto milioni di siti web che usano il sistema del Real Time Bidding (offerta - o asta - in tempo reale), vale a dire l’immediata trasmissione dei dati di navigazione dell’utente, che permettono ad oltre duemila aziende in media per ciascun sito, di conoscere le preferenze di un individuo che naviga in Internet e, pertanto, è oggetto di pubblicità comportamentale (targeted advising).

Con questo sistema è possibile per le aziende accedere non solo a dati di navigazione (cronologia, posizione geografica, “cookie match”, indirizzi IP completi ecc.). Quando un utente visita un sito si avvia un meccanismo di offerta ad acquistare spazi pubblicitari da parte di aziende per poter mostrare all’utente offerte e annunci sulla base di quello che viene cercato. E chi mette volontariamente in rete i propri dati e lo fa al preciso fine di farli utilizzare per una sua richiesta, è l’utente stesso che, con ingenua inconsapevolezza, non si rende conto di quello che gli sta accadendo. Ne sono un esempio decisamente lampante i siti che propongono offerte di prodotti e servizi di più marche; basti pensare ad una banalissima ricerca su Google per un albergo o un volo aereo, per un’assicurazione o un paio di scarpe. O vogliamo forse credere che il motore di ricerca si attivi per cercare quella che è davvero la migliore offerta per l’utente? Google, Yahoo e tutti i siti che cercano le migliori offerte per qualsivoglia prodotto, utilizzano questi sistemi e le società che compaiono “in alto” su questi motori, dubito che vi arrivino solo per generici algoritmi. Più verosimile che partecipino a queste aste, magari offrendo cifre importanti, pur di battere la concorrenza.

In un periodo di tempo infinitesimale (si dice 200 millisecondi), ogni sito, algoritmo, motore di ricerca, pagina web che sia connessa, è consapevole che quell’indirizzo IP è interessato ad una polizza auto o a un viaggio a Londra.

Sono state firmate informative? È stato prestato un consenso al trattamento dati? Sicuramente non al motore di ricerca; eventualmente il rapporto sarà con il sito su cui verrà effettuato l’acquisto o, caso non impossibile, con il fornitore ultimo del bene o del servizio, perché l’intermediario si trova magari alle Cayman o in Turkmenistan. Nessuna tutela ai sensi del GDPR e, magari, il nostro utente stava cercando un farmaco contro l’AIDS o come supportare un’associazione pro o anti gay. Ed ecco che anche i dati sensibili sono in libera circolazione. 

Sistemi simili ben possono essere usati dalle app: a chi non è mai accaduto che per poter installare una applicazione, o anche per accedere a un sito, vengano anche richiesti dati magari eccessivi rispetto allo scopo. Evidente la violazione dei principi di liceità, correttezza e trasparenza, in particolar modo con riguardo alla mancata assunzione del necessario consenso degli interessati per il trattamento di tutte le categorie di dati personali, specialmente quelli sensibili o particolari. E’ intuitivo come anche i principi di adeguatezza, pertinenza e limitazione del trattamento vengano sistematicamente violati e, in moltissime app e su quasi tutti i siti “incriminati”, manca il modo id poter esprimere correttamente il proprio consenso.

E’ stata recentemente lanciata per frenare questo fenomeno la campagna #StopSpyingOnUs, ma è probabile che vi sia ancora molto da fare. Forse le sanzioni delle autorità garanti potranno rappresentare un passo importante. Chi lavora alla privacy e al GDPR su piattaforme che usano questi sistemi, avrà molto da fare.