Lo scandalo di Cambridge Analytica, legato all’utilizzo dei dati personali ottenuti illecitamente da Facebook

 

Che cos’è Cambridge Analytica e di cosa si occupava?

Cambridge Analytica era una filiale della società britannica SCL Group (Group Strategic Communication Laboratories) ed è stata fondata nel 2013 con l’obiettivo di occuparsi delle strategie di comunicazione politica per finalità elettorali e per “affrontare il vuoto nel mercato politico repubblicano negli Stati Uniti[1].

La società SCL si occupa prevalentemente di big data[2] e di data mining[3].

Attraverso la raccolta di un enorme quantità di dati e informazioni è in grado di creare dei modelli comportamentali e psicologici che rispecchiano le diverse tipologie di utenti che navigano in rete.

Cambridge Analytica ha condotto numerose campagne elettorali in vari Paesi in via di sviluppo utilizzando nuove tecnologie e strategie; il suo primo incarico politico di spessore ha riguardato la campagna presidenziale del senatore repubblicano Ted Cruz.

Ma la vera svolta ci fu nel 2016, anno in cui si è occupata della campagna presidenziale di quello che sarebbe poi diventato il Presidente degli Stati Uniti d’America, Donald Trump.

Non solo: ha assunto un ruolo di spicco anche nella campagna della Brexit[4].

La società, a causa dello scandalo scoppiato nel marzo del 2018, ha poi dichiarato la chiusura il 2 maggio del 2018.

 

Quali sono le tecnologie utilizzate da Cambridge Analytica?

Il sistema che è stato utilizzato da Cambridge Analytica è il cosiddetto microtargeting psicografico. Quest’ultimo consiste nel valutare la personalità degli utenti online attraverso la raccolta delle impronte digitali che vengono lasciate da questi in Internet e successivamente di influenzarne le scelte e le opinioni mostrando agli stessi inserzioni pubblicitarie mirate e personalizzate.

Alla base vi è l’utilizzo di un algoritmo, un modello, elaborato dal ricercatore e psicologo Michal Kosinski. Kosinski, infatti, nel 2013 ha pubblicato un suo studio sulla rivista Pnas intitolato “Private traits and attributes are predictable from digital records of human behavior”[5], in cui ha mostrato la possibilità di predire le caratteristiche emotive e comportamentali di un utente, basandosi unicamente su un certo numero di “like” di Facebook.

Il ricercatore ha connesso i dati deviranti dai test di personalità con i “likes” del profilo social di un individuo, dimostrando che in media con 68 “mi piace”, è possibile predire il suo orientamento sessuale e la sua ideologia politica. Con circa 170 “mi piace” si possono invece essere determinare il grado di intelligenza, la religione, oppure l’uso di alcool e di sigarette.

Cambridge Analytica ha quindi sviluppato un sistema di microtargeting da offrire ai propri clienti: pensiamo ad esempio ad un politico che si rivolge alla società per curare la propria campagna elettorale.

La società, grazie alle informazioni in suo possesso, è in grado di influenzare le scelte di voto degli elettori indecisi, cosiddetti “influenzabili”, servendosi di annunci pubblicitari modulati sulla base delle loro personalità e messi in rete attraverso piattaforme come Facebook.

 

Quali sono i personaggi chiave del caso Cambridge Analytica?

I volti che si celano dietro alla società britannica sono vari. Primo fra tutti quello del fondatore e principale investitore Robert Mercer, il quale oltre ad aver collaborato, durante la campagna per la Brexit, con Nigel Farage[6], donando al suo partito servizi di analisi dei dati, ha sostenuto la campagna presidenziale di Trump.

Vi è poi Steve Bannon, un altro finanziatore che per diversi anni è stato il direttore di Breitbart New, un giornale digitale dell’estrema destra statunitense.

Infine, colui che ha convinto Mercer e Bannon a creare la società fu Alexander Nix, l’ex amministratore delegato[7] e leader dietro la nascita di Cambridge Analytica come mezzo per analizzare il comportamento e le abitudini degli elettori.

Altrettanto importante è invece il nome di colui che ha portato alla luce le attività di Cambridge Analytica e il suo legame con Facebook, ossia Christopher Wylie, ex dipendente e fonte principale delle inchieste del The Guardian, del New York Times e di Channel 4.

 

Breve ricostruzione dello scandalo

Nonostante vi fossero già da anni articoli giornalistici che denunciavano la raccolta illecita di dati personali da parte di Cambridge Analytica, lo scandalo è esploso solo nel marzo del 2018 in seguito alle dichiarazioni rese da Christopher Wylie.

Le sue rivelazioni vennero pubblicate sui quotidiani The Guardian e New York Times il 17 marzo 2018[8]:

Abbiamo sfruttato Facebook per raccogliere i profili di milioni di persone. E abbiamo costruito modelli per sfruttare ciò che sapevamo su di loro e mirare ai loro demoni interiori. È su questa base che l’intera società è stata costruita” ha dichiarato l’ex dipendente.

 

Qual è stato il ruolo di Facebook nella vicenda?

Occorre innanzitutto tornare al 2014, anno in cui Aleksandr Kogan, un ricercatore dell’Università di Cambridge, sviluppò l’applicazione “this is your digital life.

Quest’app permetteva agli utenti di ottenere profili psicologici e previsionali del proprio comportamento sottoponendosi a dei quiz. Per poterla utilizzare bisognava solamente registrarsi utilizzando il Facebook Login. Una volta effettuato il login tramite Facebook, si accettava che il sito ottenesse alcuni dei dati personali tra i quali: nome, cognome, email, sesso ed età. Ma non solo, anche i dati riguardanti la rete delle amicizie sulla piattaforma.

Attraverso tale applicazione, la società di Kogan, la Global Science Research (GSR), nel 2015 ha raccolto oltre 270.000 iscrizioni e dati di più di 50 milioni di utenti del social.

 

Ma se tutto ciò era lecito, perché si grida allo scandalo?

Come anticipato, furono le dichiarazioni di Wylie a fare scalpore.

I problemi sono sorti nel momento in cui Kogan condivise i dati degli utenti di Facebook, raccolti lecitamente, con Cambridge Analytica, violando di conseguenza i termini d’ uso di Facebook.

L’ex dipendente di Cambridge Analytica, ha tra l’altro sostenuto che Facebook fosse a conoscenza di tale violazione da addirittura due anni, senza intervenire in alcun modo.

In base al nuovo Regolamento europeo in materia di protezione dei dati personali 2016/679/UE[9], tale omissione avrebbe integrato una grave violazione della normativa in quanto non sarebbe stato rispettato uno degli obblighi previsti a carico del titolare del trattamento[10] (Facebook).

In particolare, il titolare, deve comunicare l’evento all’autorità di controllo, a meno che “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche“. Tale comunicazione deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza“.

Solo il 16 marzo 2018 Facebook sospese l’account della società e di Kogan, dichiarando di aver ricevuto delle segnalazioni sull’uso impropri di alcuni dati raccolti sulla piattaforma[11].

Il passaggio di informazioni dall’applicazione a Cambridge Analytica era avvenuto, tra l’altro, senza che gli utenti fossero stati informati circa l’utilizzo che si sarebbe fatto dei loro dati e senza che avessero prestato il proprio consenso.

 

La campagna elettorale di Donald Trump e i dati (provenienti da Facebook) in possesso di Cambridge Analytica

Nel 2016, come noto, il comitato di Donald Trump affidò a Cambridge Analytica la raccolta dei dati per la sua campagna presidenziale[12].

Le indagini condotte fino a oggi hanno accertato che nel corso della campagna elettorale di Trump furono utilizzati numerosi account fake e bot col fine di diffondere fake news e altri contenuti finalizzati a screditare Hillary Clinton, avversaria di Donald Trump.

In un video pubblicato da Channel 4, lo stesso Nix spiega a un potenziale cliente (in realtà un giornalista) come sia possibile incastrare un politico confezionando uno scandalo ad hoc[13].

 

La linea difensiva di Cambridge Analytica

Nonostante quanto emerso dall’inchiesta, il CEO di Cambridge Analytica ha continuato ad affermare che non possedeva né utilizzava dati personali illecitamente acquisiti da Facebook.

Tuttavia, tali dichiarazioni furono contraddette da Wylie, il quale ha mostrato un ampio dossier contenente prove come e-mail, fatture, contratti e trasferimenti bancari che rivelavano come oltre 50 milioni di dati, perlopiù appartenenti ad elettori statunitensi, erano stati estratti dalla piattaforma Facebook.

Tuttavia, malgrado le evidenze probatorie innumerevoli, la vicenda si è conclusa con una dichiarazione di Cambridge Analytica con la quale afferma che in ogni caso nessuno dei dati in suo possesso è stato utilizzato al fine di realizzare un microtargeting politico.

 

La linea difensiva di Facebook

Durante la sua testimonianza al Congresso statunitense del 10 aprile del 2018, Zuckerberg si è scusato per la violazione dei dati: “è stato un mio errore, e ne sono dispiaciuto. Io ho creato Facebook, io lo mando avanti, e sono io il responsabile di ciò che accade”.

Ha inoltre dichiarato che solo nel 2015 venne a sapere che le informazioni degli utenti erano state condivise da Kogan con Cambridge Analytica e aveva poi chiesto a quest’ultima di cancellarle. Solo grazie al The Guardian, al The New York Times e a Channel 4, scoprì che in realtà quei dati non erano mai stati eliminati.

Zuckerberg è stato poi chiamato a comparire anche davanti al Parlamento Europeo, il 22 maggio 2018. In quell’occasione ha nuovamente posto le sue scuse per non aver saputo gestire e arginare il fenomeno che ha portato alla violazione dei dati di milioni di utenti della piattaforma.

 

Sanzioni comminate a Facebook

Il Garante italiano per la protezione dei dati personali ha applicato a Facebook una sanzione di un milione di euro per gli illeciti compiuti nell’ambito del caso “Cambridge Analytica”[14].

Il Social Network ha invece patteggiato con la Federal Trade Commission americana: dovrà pagare due sanzioni, rispettivamente di cento milioni e cinque miliardi di dollari agli enti federali e impegnarsi a sottostare a normative molto più rigide riguardanti la protezione della privacy degli utenti, che saranno regolate da un comitato indipendente, con un funzionario nominato direttamente dalla FTC.

 

Conclusione

Tale inchiesta giornalistica ha sicuramente messo in luce come le potenzialità dei big data a livello economico e sociale siano enorme ma, anche, quali siano i rischi legati alla diffusione dei dati personali, per la privacy, per i diritti di libertà e per il futuro della democrazia.

È impossibile sapere con certezza quale sia stato l’impatto effettivo che l’attività svolta da Cambridge Analytica abbia avuto sulle elezioni americane e quale sia stata l’importanza del processo di targeting applicato agli utenti Facebook, tuttavia vi sono diversi temi su cui riflettere.

Il GDPR ha sicuramente oggi posto attenzione sulla responsabilizzazione del titolare del trattamento.

Gli obblighi posti a carico dei titolari sono infatti numerosi, a titolo esemplificativo e non esaustivo:

  • trattare i dati in modo lecito, corretto e trasparente;
  • acquisire il consenso dall’interessato nei casi previsti;
  • divieto di trattamento dei dati ex art. 9[15]salvi i casi di esenzione;
  • dare un’informazione corretta e trasparente agli interessati;
  • garantire il rispetto dei diritti degli interessati;
  • adottare le misure tecniche e organizzative adeguate per garantire la tutela dei diritti degli interessati e per garantire che i dati non siano smarriti, modificati, cancellati o trattati illecitamente;
  • non usare, comunicare o diffondere i dati al di fuori del trattamento;
  • tenere il registro di trattamenti;
  • documentare le violazioni dei dati personali, comunicarle all’autorità di controllo e agli interessati nei casi previsti;
  • cooperare con l’autorità di controllo quando richiesto;
  • redigere le valutazioni di impatto nei casi previsti.

 

In particolare, Facebook sarebbe stata costretta ad indicare in maniera trasparente l’esistenza di finalità diverse, a richiedere forme di consensi differenziati, a mettere a disposizione tecniche specifiche di acquisizione del consenso ovvero di opposizione al trattamento automatizzato.

Sicuramente, l’applicazione delle nuove regole nell’ambito del trattamento dei dati personali avrebbe garantito una maggiore sicurezza a favore degli utenti iscritti a Facebook.

Informazioni

A. Azzalini, B. Scarpa, Analisi dei dati e data mining, Springer, 2004

OCSE, Exploring the economics of personal data: a Survey of Methodologies for Mesauring Monetary Value, in http://www.oecdilibrary.org/science-and-technology/exploring-the-economics-of-personal-data_5k486qtxldmq-en , p. 7.

Regolamento UE 2016/679

Su richiesta della Commissione europea e delle autorità di tutela dei consumatori, Facebook modifica le proprie condizioni d’uso e chiarisce (europa.eu) – https://ec.europa.eu/commission/presscorner/detail/it/IP_19_2048

www.garanteprivacy.it

ww.nytimes.com

www.theguardian.com

[1] Così ha dichiarato Alexander Nix, ex CEO di Cambridge Analytica, in un’intervista.

[2] Per big data si intendono, secondo la descrizione fornita dall’OCSE, tutti i contenuti generati dagli utenti in Rete.

[3] Con questo termine si indicano le attività di elaborazione di grandi raccolte o flussi di dati con lo scopo di estrarre informazioni utili a chi detiene i dati stessi.

[4] Anche se la società nega un suo coinvolgimento, Arron Banks (uno dei leader del leave) ha dichiarato il contrario.

[5] “I tratti e gli attributi personali sono prevedibili attraverso le impronte digitali del comportamento umano”.

[6] Ex leader del United Kingdom Indipendence Party.

[7] Il 20 marzo 2018, la società ha annunciato di aver sospeso Nix.

[8] https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

[9] Definitivamente applicabile in via diretta in tutti i Paesi Membri dell’Unione a partire dal 25 maggio 2018.

[10] Per un approfondimento sul tema si rimanda a https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/ e a  https://www.dirittoconsenso.it/2021/11/26/il-gdpr/

[11] Sospensione di Cambridge Analytica e SCL Group da Facebook | Meta (fb.com) – Link: https://about.fb.com/news/2018/03/suspending-cambridge-analytica/

[12] A metà del 2016 è infatti nato il “Progetto Alamo”, ideato da Brad Parscale con il fine di gestire la campagna elettorale di Donald Trump online.

[13] https://www.youtube.com/watch?v=mpbeOCKZFfQ

[14] Il Garante ha accertato che 57 italiani avevano scaricato l’app This is your digital life attraverso la funzione Facebook Login e che, in base alla possibilità consentita da questa funzione di condividere i dati degli “amici”, l’applicazione aveva poi acquisito i dati di ulteriori 214.077 utenti italiani.

[15]È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.