La Commissione Europea ha cercato di influenzare le opinioni politiche nei Paesi Bassi con una campagna di micro-targeting su X.
Già: il Governo di quell’Unione europea che, negli ultimi anni, si è faticosamente ritagliata nello scenario geopolitico globale il ruolo di alfiere della privacy come diritto-strumento e garanzia di ogni altro diritto e libertà e, per questo, baluardo ultimo delle nostre democrazie e della dignità delle persone ha violato le sue stesse regole in materia di privacy e lo ha fatto per ragioni politiche.
A “certificarlo” un provvedimento destinato a passare alla storia dell’EDPS, l’European Data Protection Supervisor.
Prima di procedere, tuttavia, vale la pena segnalare – per scongiurare il rischio che un errore, pur gravissimo, di pochi, travolga il lavoro di tanti e, soprattutto, proietti un cono d’ombra su un intero sistema regolatorio e di diritti – che l’ipotesi più probabile sembra quella di un episodio dovuto a pur inscusabile superficialità e, probabilmente, altrettanto inscusabile ignoranza delle regole europee sulla privacy da parte delle strutture – interne e/o esterne – direttamente responsabili della campagna e non di un’iniziativa di carattere politico scientificamente volta a raggiungere un obiettivo travolgendo la privacy di centinaia di migliaia, forse milioni di persone residenti in diversi Paesi dell’Unione europea.
Come scrivono gli uomini dell’EDPS, tanto, naturalmente, non basta, ai sensi della vigente disciplina sulla privacy, a consentire di perdonare l’accaduto e sollevare la Commissione dalle proprie responsabilità giuridiche ma, forse, vale, almeno, a attenuarne le responsabilità etica e politica.
E, naturalmente, vale la pena anche ricordare che quello dell’EDPS, è un provvedimento di primo grado che la Commissione europea potrebbe, nei prossimi due mesi, decidere di impugnare e che i Giudici del Tribunale europeo potrebbero, naturalmente, annullare in tutto o in parte.
Tuttavia, le parole messe nero su bianco nel provvedimento fanno apparire almeno improbabile questo scenario e rappresentano in ogni caso un J’accuse durissimo nei confronti degli uffici della Commissione europea.
È come se un atleta paladino dell’anti-doping, risultasse positivo a un test.
Il contenuto della decisione Edps sulla Commissione europea
La tesi dell’EDPS – originariamente proposta in un reclamo di Noyb – è di disarmante linearità: avendo deciso di lanciare una campagna di comunicazione targettizzata su X, la piattaforma di Elon Musk, al fine di promuovere e difendere una propria proposta regolamentare in materia di contrasto alla pedopornografia e all’adescamento nella dimensione digitale, la Commissione, per il tramite di un’agenzia di comunicazione, avrebbe identificato alcuni Paesi target e, quindi, all’interno di essi avrebbe ulteriormente identificato un micro-target di utenti accumunati da profili analoghi sulla base di una serie di parametri aventi natura politica e religiosa ai quali indirizzare questo messaggio: “Gli abusatori si nascondono dietro i loro schermi mentre i bambini soffrono in silenzio È ora di porre fine agli abusi sessuali sui minori #online La maggioranza dei cittadini sostiene la proposta #EUvsChildSexuelAbuse E tu? Scopri di più qui ↓”.
Il tutto sarebbe avvenuto senza che la Commissione disponesse di alcuna valida base giuridica.
La tesi, secondo l’EDPS, sarebbe risultata provata oltre ogni ragionevole dubbio all’esito di un’istruttoria durata oltre un anno.
Da qui la decisione del Supervisor europeo di ammonire la Commissione europea, inutile essendo ogni diversa e più severa misura e/o sanzione avendo la medesima Commissione, all’indomani della contestazione, interrotto la campagna e ogni altra analoga iniziativa.
Ce n’è abbastanza per un terremoto istituzional-regolamentare e, soprattutto, per porsi decine di domande di portata epocale.
Ma procediamo con ordine.
La Commissione titolare del trattamento
Il punto di partenza logico-giuridico del provvedimento è, naturalmente, l’imputazione alla Commissione europea del ruolo di titolare del trattamento oggetto del procedimento.
Si tratta di una circostanza in relazione alla quale secondo l’EDPS non ci sarebbe spazio per dubbi o incertezze interpretative.
La Commissione europea, infatti, ha pacificamente stabilito autonomamente la finalità del trattamento – ovvero raggiungere un certo target di persone con uno specifico messaggio – e ha fatto altrettanto in relazione ai mezzi del trattamento medesimo, scegliendo di perseguire tale finalità utilizzando i servizi di pubblicità targettizzata resi disponibili da X, sebbene per il tramite di un’agenzia di comunicazione che ha, evidentemente, a tal fine agito quale sua semplice responsabile del trattamento.
È stata, peraltro, la stessa Commissione europea – e sul punto non vi sarebbero incertezze fattuali – a scegliere l’elenco dei parametri attraverso i quali identificare il target dei destinatari del messaggio.
L’EDPS impiega una manciata di caratteri per chiudere la discussione sul punto: “La Commissione ha inoltre determinato i mezzi del trattamento scegliendo di utilizzare i servizi forniti da X per la campagna pubblicitaria e selezionando le parole chiave e gli account chiave per indirizzare gli utenti di X. Attraverso queste parole chiave, la Commissione ha determinato i parametri di “inclusione” ed “esclusione” utilizzati nella campagna. Ciò è analogo alle circostanze della causa C-210/16, Wirtschaftsakademie, in cui il creatore di una pagina fan di un social media, utilizzando i filtri di Facebook, ha definito i parametri del trattamento. La Commissione, definendo i parametri del trattamento, ha determinato i mezzi del trattamento. Ne consegue che la Commissione è un titolare del trattamento per la presente operazione.”
Difficile, in effetti, dubitare della conclusione.
Si tratta, peraltro, di un profilo in relazione al quale la stessa Commissione europea non ha formulato alcuna eccezione difensiva.
L’esercizio della Commissione è stato, invece, un altro: riconoscersi sì titolare del trattamento in questione ma escludendo che detto trattamento avrebbe avuto ad oggetto dati particolari.
Le difese della Commissione
Qui vale la pena leggere il riassunto delle difese della Commissione contenuto nella decisione dell’EDPS.
“La Commissione sostiene di non aver richiesto il trattamento di categorie speciali di dati personali, né la progettazione della campagna si è basata su tale trattamento. Sostiene di non aver ricevuto alcuna informazione sul fatto che l’attuazione della campagna abbia comportato il trattamento illecito dei dati personali del denunciante, comprese le categorie sensibili di dati personali, in violazione del [regolamento]. La Commissione sostiene inoltre che non intendeva attivare il trattamento di categorie speciali di dati” e che “se tali categorie speciali sono state trattate nell’attuazione della campagna, ciò non sarebbe dovuto accadere.”.
Perché è una vera violazione di principi di diritto
E, tuttavia, agli atti del procedimento vi sono elementi univoci che rendono questa tesi almeno poco credibile considerato che dei 44 elementi scelti dalla Commissione per identificare gli utenti di X da escludere dall’elenco dei destinatari della campagna di comunicazione, 36 si riferiscono a partiti politici (come AfD, Vox, Sinn Féin e English Defence League), politici (come Viktor Orbán, Marine Le Pen e Giorgia Meloni) o a termini relativi a opinioni politiche euroscettiche e/o nazionalistiche (come brexit, nexit e #EUCorruption), e 6 si riferiscono a credenze religiose (come cristianesimo, islam e anticristiano)”.
Difficile per chiunque sostenere fondatamente che si possa ritagliare un target utilizzando questo genere di parametri senza trattare dati personali di carattere politico e religioso e, dunque, appartenenti a categorie particolari.
Ma, oggettivamente, ancor più difficile per la Commissione europea che proprio nello stesso periodo nel quale lanciava e gestiva la campagna di comunicazione oggetto del provvedimento del’EDPS, licenziava il Regolamento (UE) 2024/900 del Parlamento europeo e del Consiglio del 13 marzo 2024 relativo alla trasparenza e al targeting della pubblicità politica, destinato a trovare piena applicazione a decorrere dal prossimo 10 ottobre 2025.
E basta leggere il considerando 6 del Regolamento in questione per convincersi che la Commissione, più e meglio di chiunque altro, poteva – e avrebbe dovuto – avvedersi che il risultato perseguito attraverso la campagna, richiedeva inevitabilmente, il ricorso a dati personali appartenenti a categorie particolari: “In ambito di pubblicità politica si fa uso frequente delle tecniche di targeting e di consegna del messaggio pubblicitario sulla base del trattamento di dati personali, compresi i dati personali osservati e desunti, come i dati che rivelano opinioni politiche e altre categorie particolari di dati. Per «tecniche di targeting» si intendono le tecniche usate per rivolgere un messaggio di pubblicità politica solo a una persona specifica o a un gruppo specifico di persone, o per escludere tale persona o gruppo di persone, solitamente con contenuti su misura, sulla base del trattamento di dati personali”.
“Le tecniche di consegna del messaggio pubblicitario dovrebbero essere intese come un’ampia gamma di tecniche di ottimizzazione che si basano sul trattamento automatizzato dei dati personali al fine di aumentare la circolazione, la portata o la visibilità di un messaggio di pubblicità politica. Tali tecniche possono essere utilizzate dagli editori di pubblicità politica e in particolare dalle piattaforme online di dimensioni molto grandi ai sensi del regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, per trasmettere messaggi di pubblicità politica a un pubblico mirato sulla base di dati personali e del contenuto dei messaggi”.
“La trasmissione di messaggi di pubblicità politica mediante tali tecniche comporta l’uso di algoritmi attualmente poco trasparenti per gli individui e il cui effetto può differire da quanto previsto dagli sponsor o dai prestatori di servizi pubblicitari che agiscono per conto degli sponsor. Visto il potenziale insito in un uso improprio dei dati personali tramite il targeting, compreso il microtargeting e altre tecniche avanzate, tali tecniche possono costituire una minaccia particolare per legittimi interessi pubblici quali l’equità, le pari opportunità e la trasparenza del processo elettorale e i diritti fondamentali alla libertà di espressione, alla privacy e alla protezione dei dati personali e all’uguaglianza e alla non discriminazione e al diritto di essere informato in modo obiettivo, trasparente e pluralistico.”.
Non solo, dunque, la Commissione poteva e doveva sapere di agire da titolare di un trattamento di dati personali anche appartenenti a categorie particolari ma – ed è probabilmente ciò che rende più grave quanto accaduto – era perfettamente consapevole dei rischi elevatissimi legati a quel genere di trattamento tanto da aver provato a porvi rimedio proponendo una speciale disciplina volta proprio a rafforzare gli obblighi e le cautele di chiunque realizzi campagne di comunicazione proprio del genere cui appartiene quella all’origine di questa spiacevolissima vicenda.
È davvero una di quelle ipotesi nelle quali si da a pensare che regolamentazione e azione non vadano di pari passo e che passare dalle parole ai fatti sia drammaticamente difficile.
Perché certo che se, persino chi quelle regole ha, per prima, immaginato e scritto, inciampa poi nella loro applicazione, è almeno lecito dubitare cosa accadrà quando, tra un anno, decine di migliaia di soggetti in tutta Europa, dovranno rispettarle.
La liceità del trattamento posto in essere dalla Commissione UE
Come è noto, ai sensi della disciplina europea, ogni trattamento di dati personali deve, innanzitutto, essere lecito e tale può considerarsi solo se ricorre una delle condizioni previste dalla medesima disciplina.
Secondo la Commissione UE il trattamento nell’ambito del quale, come si è visto, ha agito da titolare avrebbe dovuto considerarsi lecito in quanto da essa posto in essere “per l’esecuzione di un compito di interesse pubblico”.
In particolare, stando a quanto riferito nel corso del procedimento e riassunto nel provvedimento dell’EDPS, “La Commissione sottolinea di avere un diritto generale di iniziativa sulle proposte legislative, come nel caso della proposta, ai sensi dell’articolo 17, paragrafo 2, del [TUE]. Essa ritiene che rientri nelle sue attività informare il pubblico sulle proposte legislative e sul loro contenuto e sostenere la necessità della legislazione proposta.”.
La Commissione, insomma, ha sostenuto che i trattamenti posti in essere – inclusi quelli di dati particolari strumentali all’identificazione del target di destinazione del messaggio – avrebbero trovato il proprio fondamento nei propri diritti-doveri di iniziativa legislativa e promozione delle proprie iniziative legislative.
“La Commissione ritiene – scrive l’EDPS – di poter organizzare campagne di comunicazione, anche sui social media, per perseguire i compiti che le sono affidati, come quello di proporre la legislazione dell’Unione basata sull’articolo 17, paragrafo 2, del TUE”.
Ma non è così.
E l’EDPS non ha dubbi al riguardo.
“Secondo la giurisprudenza, qualsiasi legislazione che comporti un’interferenza con i diritti individuali alla privacy e alla protezione dei dati personali deve essere costituita da norme chiare e precise che disciplinino la portata e l’applicazione della misura in questione. La legge deve soddisfare requisiti qualitativi: deve essere accessibile all’interessato e prevedibile per quanto riguarda i suoi effetti per garantire che la legge che consente un’interferenza con i diritti fondamentali sia compatibile con lo Stato di diritto e che gli individui siano protetti dall’arbitrarietà delle autorità pubbliche. Una base giuridica che consenta un’interferenza con i diritti fondamentali deve essere in grado di garantire la protezione degli individui.”.
Non basta, dunque, dire che un certo trattamento, per di più di dati particolari, è strumentale al perseguimento di un interesse pubblico in relazione al quale una qualche norma di legge attribuisce generiche competenze a questo o quel soggetto pubblico per renderlo lecito.
E la Commissione UE, nel caso di specie, scrivono gli uomini del Supervisor europeo, non ha indicato nessuna più specifica disposizione di legge capace di giustificare un trattamento come quello in questione e, soprattutto, di renderlo prevedibile agli interessati.
“Dato che il contenuto dell’articolo 17, paragrafo 2, del TUE è di natura molto generale e non fa chiaramente riferimento alle attività promozionali della Commissione nel contesto delle sue proposte di atti legislativi, il GEPD non ritiene che l’articolo 17, paragrafo 2, del TUE costituisca una base giuridica ‘chiara e precisa’ ai sensi dell’articolo 5, paragrafo 2, del regolamento e come ulteriormente descritto nel considerando 23, per il trattamento dei dati personali ai fini di una campagna pubblicitaria mirata per informare il pubblico destinatario di una proposta legislativa su una piattaforma di social media”.
“Inoltre, il GEPD ritiene che l’applicazione dell’articolo 17, paragrafo 2, del TUE come base giuridica per il trattamento dei dati personali ai fini della pubblicità mirata su una piattaforma di social media non possa essere considerata prevedibile per l’interessato ai sensi del considerando 23 del regolamento. Il GEPD ritiene che gli interessati non possano ragionevolmente aspettarsi che questa disposizione autorizzi interferenze con i loro diritti fondamentali alla privacy e alla protezione dei dati. In effetti, se non si può obiettare che la legislazione adottata sulla base delle proposte presentate dalla Commissione ai sensi dell’articolo 17, paragrafo 2, possa prevedere interferenze con i diritti fondamentali alle condizioni di cui all’articolo 52, paragrafo 1, della Carta, ciò non può implicare che il diritto di iniziativa della Commissione in quanto tale comporti il tipo di interferenza consistente nel trattamento mirato dei dati personali al fine di promuovere tali iniziative.”
Il trattamento, pertanto, deve considerarsi semplicemente privo di un’adeguata base giuridica e, quindi, illecito.
Punto e a capo.
La peggiore delle conclusioni possibili per il Governo dell’Unione europea.
L’alfiere globale della privacy è inciampato sull’ABC del diritto del quale l’Unione europea è culla e la Commissione nutrice.
Illecito trattamento di dati particolari
Tanto basterebbe a rendere la vicenda una brutta gatta da pelare per la nuova Commissione europea appena insediatasi e chiamata a attuare, negli anni che verranno, un insieme di regole delle quali proprio i principi di protezione dei dati personali protagonisti della decisione dell’EDPS sono indiscussi protagonisti dal Digital Service Act che addirittura vieta il trattamento di dati particolari per ogni genere di profilazione commerciale al già richiamato nuovo Regolamento proprio in materia di pubblicità politica targettizzata.
Ma nel caso di specie si è andati oltre.
I dati personali trattati illecitamente dalla Commissione, infatti, hanno natura particolare, quella dei più sensibili nell’universo dei dati, quella dei più difficili da maneggiare.
E alla Commissione UE che nelle sue difese da l’impressione di non essersene avveduta, aggiungendo che se tanto è accaduto deve essersi trattato di un terribile errore dovuto a scarsa comunicazione dei fornitori di servizi dei quali si è avvalsa, il Supervisor europeo dei dati spiega in maniera quasi didascalica come stanno effettivamente le cose e perché, quindi, che si sia trattato o meno di un errore, l’errore non è scusabile e la violazione delle regole è grave, anzi gravissima.
“Nel contesto della campagna pubblicitaria, X, agendo secondo le istruzioni della Commissione, ha indirizzato la campagna pubblicitaria ad alcuni suoi utenti specifici, includendo ed escludendo gli utenti che avevano interagito con post contenenti parole chiave specifiche stabilite dalla Commissione. Alcune di queste parole chiave facevano riferimento a determinati partiti politici, politici, opinioni politiche euroscettiche e/o nazionalistiche e a credenze religiose. Inoltre, X ha applicato i parametri condivisi dalla Commissione in base alla sua ‘strategia di somiglianza’, rivolgendosi a utenti con interessi simili agli account chiave condivisi dalla Commissione. X indirizza gli annunci pubblicitari a utenti specifici sulla base di informazioni quali post, click sui link, like, risposte e ricerche che dimostrano l’impegno o l’interazione con post contenenti le parole chiave specifiche impostate dall’utente del servizio”.
“Il GEPD rileva che se un fornitore di social media o un’entità che utilizza tale servizio ai fini di una pubblicità mirata utilizza i dati osservati per classificare le persone come aventi determinate convinzioni religiose, filosofiche o politiche, tale categorizzazione delle persone deve essere considerata come un trattamento di categorie particolari di dati personali in questo contesto”.
“Inoltre, se i dati forniti dall’utente, una volta compilati, indicano una certa opinione politica o un credo religioso, anche quando non viene fornita alcuna dichiarazione esplicita su tale opinione o credo, tali dati devono essere considerati come appartenenti a una categoria speciale di dati personali.”.
E, come è noto, il trattamento dei dati particolari deve considerarsi di norma vietato salvo che ricorrano le eccezioni previste dalla disciplina vigente, eccezioni che, tuttavia, la Commissione europea non ha neppure provato a sostenere che nella vicenda in questione sussistessero e che, comunque, non sussistevano.
Inutile dedicare alla questione ulteriori parole: la Commissione UE avrebbe dovuto astenersi dal trattare e far trattare dati particolari nell’ambito della propria campagna di comunicazione a nulla rilevando la bontà o meno del fine perseguito.
Conclusioni e lezioni da imparare
Tante, troppe per un solo articolo come questo, le conclusioni da trarre e le lezioni da imparare.
Ciascuna meriterebbe un intero libro.
Vale però la pena provare almeno a scrivere l’indice delle principali.
La prima
Uno.
Prima Elon Musk, patron di X, tira la volata di Donald Trump nelle elezioni americane e si aggiudica una poltrona alla Casa Bianca, poi la Corte Costituzionale rumena si vede costretta, addirittura, a annullare le elezioni presidenziali a seguito di un processo di manipolazione algoritmica di massa a mezzo socialnetwork dell’opinione pubblica nel pieno del processo elettorale e, ora, salta fuori che, addirittura la Commissione europea ha fatto ricorso al potere degli algoritmi e dei socialmedia nel tentativo di persuadere le persone della bontà di una certa posizione politica.
Dire che la democrazia globale è in pericolo o, forse, addirittura sotto attacco e che a esporla a rischi sempre più elevati sono le dinamiche di utilizzo e funzionamento rispettivamente di algoritmi e socialnetwork, davanti a episodi come questi potrebbe persino sembrare banale.
Bisogna correre ai ripari e bisogna farlo senza perder tempo anche perché tutto suggerisce che non si sia davanti a singoli episodi eccezionali ma, semplicemente, alla punta emersa di un iceberg sommerso nel quale così fan tutti o, almeno, così fanno in tanti.
Difficile, infatti, credere che a cedere – poco conta se per malizia o superficialità – alla tentazione di utilizzare il potere di algoritmi di profilazione e socialmedia per finalità politiche siano stati solo un candidato alle elezioni rumene e la Commissione europea.
La seconda
Due.
La circostanza che persino la Commissione europea, dopo aver progettato e implementato un intero sistema di regole finalizzato a scongiurare il rischio che i dati personali di milioni di persone venissero utilizzati per intervenire sulle loro coscienze e sulle dinamiche democratiche si sia ritrovata a violare le regole in questione, suggerisce che queste regole o sono molto meno conosciute di quanto dovrebbero o sono difficilmente rispettabili.
In un caso e nell’altro abbiamo un enorme problema di effettività di una disciplina che, pure, appartiene ormai da decenni al patrimonio genetico europeo e che, anzi, l’Unione europea ha letteralmente esportato in tutto il mondo.
Anche sotto questo profilo bisogna correre ai ripari e bisogna farlo in fretta.
Chissà, infatti, cosa staranno pensando nel resto del mondo, magari in quei Paesi che dall’Europa abbiamo sin qui indicato come campioni negativi dell’anti-privacy di quanto appena accertato dall’EDPB.
C’è bisogno di un urgente esame di coscienza, di un sano post-mortem alla ricerca di solide spiegazioni circa quanto accaduto e, quindi, di agire di conseguenza, a seconda dei casi, investendo enormemente di più nell’educazione al diritto alla privacy e/o nella semplificazione di regole che neppure chi le ha scritte è poi riuscita a rispettare.
La terza
Tre.
La Commissione UE ha appena scritto all’Italia a proposito del disegno di legge nazionale sull’intelligenza artificiale, tra l’altro, per richiamare l’attenzione del nostro Governo sulla circostanza che le Autorità di vigilanza sia o siano effettivamente indipendenti.
Parole importanti e preziose.
E, però, quelle stesse indicazioni devono valere anche a Bruxelles.
La Commissione, nella vicenda oggetto del provvedimento dell’EDPB, ha, sfortunatamente, dimostrato – a prescindere dalle ragioni – di non esser stata in condizione di resister alla tentazione di anteporre il rispetto delle regole al raggiungimento del fine politico perseguito.
Il fine, insomma, ha finito con il giustificare i mezzi.
Un diritto fondamentale come il diritto alla privacy è finito con l’essere immolato sull’altare del perseguimento di un obiettivo politico non importa quanto nobile e condivisibile.
Tutto questo, forse, dovrebbe suggerire una lezione: la protezione e promozione dei diritti e delle libertà fondamentali, anche a Bruxelles, dovrebbero essere affidate a soggetti indipendenti almeno quanto l’EDPS, magari addirittura di più.
Non è un fatto di fiducia o sfiducia nei singoli, nelle persone, nei vertici di Istituzioni che non hanno niente da dimostrare in fatto di serietà, indipendenza e capacità di combattere epiche battaglie globali per i diritti e le libertà di tutti noi ma, semplicemente, un fatto legato all’antico principio caro a Montesquieu della separazione dei poteri: guai a mettere insieme, in una forma qualsiasi, il potere legislativo, quello esecutivo e quello giudiziario, quello di chi scrive le leggi, quello di chi guida un Paese e quello di chi le leggi deve far rispettare.
Altrimenti, è sempre solo questione di tempo ma, in un modo o nell’altro, un cortocircuito si verifica e, normalmente, a pagarne le spese sono le persone, la loro dignità, i diritti, le libertà e la democrazia nel suo complesso.