Il “caso Zhenhua” , l’azienda cinese accusata di avere creato l’Oversea Key Information DataBase (Okid) per catalogare dati provenienti da fonti pubbliche relativi a persone di milioni di individui è stato presentato come l’ennesima azione ostile della Cina verso il resto del mondo. In realtà, tuttavia, Okid non è diverso dai suoi equivalenti occidentali che, perlomeno in Italia, potrebbero essere vietati dal Testo unico delle leggi di pubblica sicurezza.

La questione Okid, dunque, pone un problema che potrebbe andare ben oltre il ruolo e i limiti della open source intelligence e mettere in crisi l’intero ecosistema della data-economy occidentale. Come ha fatto notare il prof. Caligiuri su Formiche.net la raccolta e analisi di dati provenienti da fonti aperte sono tecniche ampiamente praticate in ogni parte del mondo, da soggetti pubblici e privati. Il fatto, dunque, che un’azienda cinese con legami più o meno forti con il governo sia coinvolta in un’attività del genere non dovrebbe stupire.

D’altra parte, l’intero ecosistema delle big tech statunitensi (e dei tanti soggetti che, altrove, cercano di replicarne i risultati) è basato esattamente sulla stessa attività. È illuminante, per esempio, la lettura di The Victory Lab, il libro di Sasha Issenberg che analizza le sofisticate e costose tecniche di profilazione utilizzate dallo staff di Barack Obama. Oppure, più mondamente ma altrettanto istruttivo, è studiare il modo in cui le grandi società di profilazione commerciale creano i profili di merito creditizio: non si limitano a raccogliere dati dati provenienti dai tradizionali bollettini dei protesti, dal registro delle imprese o dalle centrali rischi pubbliche, ma, specie per la profilazione del soggetto privato, attingono anche a “fonti aperte”. Infine, approfondendo le pratiche di quella che eufemisticamente si chiama business intelligence si scopre che dietro una definizione asettica si celano potentissimi strumenti di raccolta e analisi di dati non diversi, molto probabilmente, da quelli messi appunto dall’azienda cinese.

Sul piano della pura attività di intelligence Okid e i suoi omologhi occidentali non presentano particolari problemi. Sono un elemento del continuum del processo di raccolta informativa a disposizione di uno Stato e vengono spontaneamente alimentati dalla enorme quantità di informazioni personali che ciascuno di noi spontaneamente (e spesso inutilmente) rende disponibile tramite piattaforme di blogging o social networking. Dal punto di vista normativo, invece, è opportuno fare qualche riflessione.

Quando ci si occupa di analisi informativa su persone fisiche la prima norma che balza all’attenzione è sicuramente il Regolamento generale sulla protezione dei dati personali (Gdpr) il cui obiettivo è tutelare i diritti e le libertà fondamentali delle persone fisiche dai mal-trattamenti di dati personali. Per quanto paradossale possa sembrare, tuttavia, nel caso dei vari Okid il Gdpr offre una tutela meno forte di quanto ci si potrebbe aspettare. I dati raccolti sono stati resi pubblici o dal diretto interessato o per obblighi di legge e quindi non si pone un problema di accesso a informazioni confidenziali.

Astrattamente si potrebbe ragionare sul fatto che incrociando dati di persone non direttamente collegate si potrebbe arrivare ad ottenere “qualcosa in più” e dunque ottenere una “somma informativa” che è maggiore delle singole parti. Ma allora occidentalissime piattaforme di analisi come Maltego o quelle dovrebbero essere altrettanto “criticabili” di Okid.

Un discorso diverso vale per l’articolo 134 del Testo unico delle leggi pubblica sicurezza secondo il quale “Senza licenza del prefetto è vietato ad enti o privati … di eseguire investigazioni o ricerche o di raccogliere informazioni per conto di privati”. Benché tradizionalmente applicata alle attività di investigazione privata e informazioni commerciali, la norma non è limitata a questi ambiti e può essere applicata anche alla profilazione per finalità di open source intelligence e addirittura di digital marketing.

L’articolo 134 del Tulsp, infatti, si riferisce genericamente alla “raccolta di informazioni” senza qualificarle ulteriormente. Dal punto di vista della pubblica sicurezza un raggio d’azione così ampio è largamente comprensibile: il dossieraggio privato, infatti, è la base di qualsiasi attività eversiva o comunque diretta alla destabilizzazione dell’ordine pubblico. Poco importa se il dossieraggio è la risultante di attività astrattamente legittime come, appunto, il data-brokerage o la profilazione commerciali. Ciò che conta è che, in un modo o nell’altro, può essere utilizzato in funzione di contrasto agli interessi nazionali. Questa è, parzialmente, la stessa logica seguita dalla Corte di giustizia europea con la sentenza Schrems II emanata il 16 luglio 2020 che ha affermato il diritto dei cittadini europei di essere protetti dalle “intrusioni istituzionali” nei loro dati (anche) pubblici trattati negli USA dalle varie piattaforme.

La sentenza Schrems II e l’articolo 134 del Tulsp, dunque, rappresentano due limiti insuperabili per l’esecuzione di attività di raccolta informativa su cittadini italiani, e se la violazione di norme in materia di pubblica sicurezza fosse effettivamente configurabile, consentirebbe azioni immediate non solo all’Autorità garante per la protezione dei dati personali, ma anche alle prefetture e alle questure nei confronti di tutti i soggetti che, a vario titolo fanno open source intelligence senza l’autorizzazione prefettizia.
Se un merito ha avuto il caso Zhenhua, dunque, è stato quello di porre il problema del (non) rispetto delle esigenze di tutela della pubblica sicurezza da parte di un enorme comparto industriale, quello della data-economy e della inevitabile difficoltà nell’intervenire, oramai in ritardo, nel settore della privatizzazione dell’intelligence in Europa e negli Usa.

Ci si potrebbe chiedere che senso abbia chiedere una licenza prefettizia per svolgere attività di digital marketing, considerando del tutto antistorica una prescrizione del genere. In realtà non è così perché il controllo sulla circolazione di informazioni personali classificate e incrociate dovunque si trovino e comunque siano state realizzate è un fattore critico per la sicurezza nazionale.

Tanto è vero questo, che con il Cloud Act le autorità degli Stati Uniti possono accedere ai dati ovunque detenuti dalle loro aziende a fronte di un eventuale e controllo giurisdizionale non automatico e limitato al “rispetto della privacy” ma non, per esempio, alle garanzie processuali.
Riconoscere che la “profilazione commerciale” rientra nell’ambito dell’articolo 134 del Tulsp significherebbe, nello stesso tempo, incrementare il livello di tutela giuridica degli individui e contribuire ad incrementare, per le Istituzioni, la possibilità di controllare utilizzi non conformi dell’enorme patrimonio informativo gestito, sostanzialmente in autonomia, da soggetti privati.