Assistiamo oggi alla corsa all’estrazione e allo sfruttamento di una risorsa precedentemente lasciata intatta: i nostri dati personali. I ritorni economici di questo bene sono così grandi che gli esperti si sono affrettati a soprannominarlo “nuovo petrolio”. Ma anziché attingendo ai resti di antiche alghe e zooplancton, lo produciamo utilizzando social network come Facebook e TikTok. Lo trasudiamo quando navighiamo in internet, attivando “cookie” di tracciamento elettronico che gli inserzionisti hanno abilmente disseminato sul web. Lo pompiamo coi nostri muscoli non appena allacciamo uno smartwatch Fitbit o attiviamo un servizio di orientamento mentre camminiamo o guidiamo verso il lavoro o la scuola. E, sempre di più, sgorgherà da dispositivi “intelligenti” collegati a case, quartieri e città, molti dei quali con la capacità di geolocalizzare e tenere traccia delle nostre azioni e abitudini.
I dati personali derivati da queste fonti, e poi aggregati, vengono utilizzati per addestrare strumenti di machine learning, e quindi offrire previsioni su precise fette demografiche e anche su specifiche persone. Raggruppati nel loro insieme, i dati personali diventano una risorsa di valore commerciale. Circolano tra data brokers e inserzionisti, in campagne politiche e persino in Stati stranieri come prezioso carburante che alimenta interventi predittivi. Nel 2019, ad esempio, il solo settore dell’intermediazione di dati negli Stati Uniti valeva più di 200 miliardi di dollari. Allo stesso tempo, quei dati comportano nuovi rischi, come gli effetti divisivi e radicalizzanti della progettazione dell’algoritmo di Facebook e le gravi perdite finanziarie e in termini di privacy ai danni dei singoli che si verificano quando vengono violate le banche dati di un’azienda.
I grandi rischi di questo “nuovo petrolio” richiedono forme di governance radicalmente nuove. Il Regolamento generale sulla protezione dei dati approvato dall’Unione Europea (GDPR) è un passo in questa direzione. Ma resta una questione aperta se il regime dei diritti individuali contenuto in quel regolamento sarà sufficiente ad affrontare la sfida. E molti (me compreso) hanno sollevato dubbi sul fatto che il GDPR abbia implementato diritti efficaci solo se i loro titolari sanno come impiegarli e hanno le risorse per farlo. Quando né l’una né l’altra cosa possono essere date per scontate nel contesto dei dati personali. Cos’altro si può fare, quindi, per integrare misure come il GDPR?
La risposta implica una domanda troppo spesso elusa: chi possiede i dati personali? E c’è un modello di proprietà dei dati che riconosca l’interesse collettivo esistente nel modo in cui questi dati vengono utilizzati, che eviti i costi dello sfruttamento privato a ruota libera da parte delle singole imprese e che non scivoli in forme autoritarie di controllo statale?
Penso di sì: esso si concentra non sulla privacy, ma sull’idea più basilare di proprietà, e implica il riconoscimento che i dati generati attraverso le nostre interazioni sono fondamentalmente nostri in modo collettivo. I dati personali generati in una determinata giurisdizione possono essere considerati per legge “public trust” di quella giurisdizione[1]. Sarebbero quindi soggetti a vincoli e tasse d’uso e ad altre regole generate da un organismo democratico. Lo scopo di tale vincolo sarebbe ricompensare coloro che quei dati li creano, evitare usi dannosi e promuovere importanti beni pubblici. Allo stesso tempo, sarebbe proibito lo sfruttamento malevolo da parte dello Stato. I dati, cioè, rimarrebbero sui server di società private – nessun funzionario statale avrebbe accesso diretto a essi – ma il suo proprietario beneficiario sarebbe il pubblico e il suo utilizzo sarebbe soggetto a deliberazione e giudizio democratici.
Avvisaglie di un simile sistema già si intravedono in alcun…
