Dal telefono o dal computer è un attimo fornire i nostri dati alle molte società che li chiedono. Ma una volta concesse, queste informazioni rimbalzano in una compravendita che arriva ai Paesi extra Ue. Profilazioni con nomi, indirizzi, preferenze… Cedute di mano in mano, per un «riciclaggio» molto proficuo.
All’improvviso, mentre si sta navigando online, si apre un «pop up» automatico, una finestra che si presenta di sua iniziativa all’attenzione dell’utente. L’impostazione grafica è esplicita. E anche il messaggio: «Vinci un iPhone». Per partecipare non viene richiesto un pagamento. È sufficiente offrire il consenso al trattamento dei propri dati personali. «Il concorso è molto semplice. Basta collegarsi al sito, compilare il modulo con i dati personali, risolvere un semplice gioco e aspettare la sorte», assicura il sito web.
La società, quasi sempre con sede in Stati extra Ue, di solito si appoggia a un partner italiano o di un Paese europeo che, regolamento sulla protezione dei dati alla mano (il Gdpr), avvisa l’utente con informative lunghissime (in uno dei casi verificati da Panorama ci sono voluti sei minuti per leggerlo senza prestare molta attenzione e undici minuti per comprendere con precisione dove sarebbero finiti i dati) e spesso con consensi obbligatori oppure per finalità diverse. Acquisiti i consensi, non sempre propriamente liberi, il gioco è fatto. I dati vengono trasferiti all’azienda che organizza il concorso e da lì prendono altre strade. «Le società che li comprano mettono in campo due operazioni» spiega a Panorama un broker di dati che si muove nell’area milanese, «o li commercializzano così come sono, oppure li elaborano, perfezionandoli con una profilazione che comprende i gusti commerciali dell’utente, la capacità di spesa online, l’utilizzo o meno di wallet per i pagamenti. Ma si arriva perfino a inserire informazioni sulla salute». Ovviamente i prezzi cambiano. E un’azienda che si occupa di marketing può scegliere il dato grezzo a un costo minore oppure un dato elaborato a un prezzo ovviamente più alto. Ma quanto frutta questa operazione che, per chi ha acquisito il dato personale spesso con una pseudo autorizzazione dell’ignaro utente, è a costo zero?
«Si stima che i dati generati dagli utenti attraverso ricerca, social network e intrattenimento gratuito abbiano un valore annuo che oscilla tra i 10 e i 40 euro per utente». Lo svela uno studio dell’Agcom passato sotto traccia. Fin qui la raccolta. Poi la matassa si fa sempre più ingarbugliata. E bisogna ricapitolare tutte le tappe già affrontate per comprendere fino in fondo la girandola che fa ogni dato inserito da chi ha la speranza di vincere un telefonino (ma ci sono concorsi con in palio uno scooter, un’automobile o una vacanza): la società che acquisisce il consenso cede le informazioni alla società extra Ue che organizza il concorso, questa a sua volta vende il pacchetto ad aziende che si occupano di marketing che vendono il dato grezzo oppure lo elaborano profilandolo. Basta fare una piccola ricerca sul web per passare da un’azienda all’altra. In alcuni dei casi analizzati si è arrivati in Georgia o in Moldavia. Finisce tutto nei grandi archivi delle società di profilazione.
I servizi offerti: si va dalle liste di cittadini con banca dati telefonica a un elenco di numeri ai quali inviare sms «su database» che vengono garantiti come «autorizzati». Sempre che l’utente sia consapevole delle ripetute cessioni. Ma si possono trovare anche elenchi specifici, come le liste di telemarketing per l’energia, con tanto di Pod, un dato che neppure il titolare spesso conosce. È il codice che individua con precisione un’utenza. «Ne abbiamo per tutta Italia» dice una operatrice. I costi? «Invio una mail con un preventivo». Che arriva poco dopo. Per 5.500 contatti con Pod il costo è 495 euro. Iva esclusa, visto che la società ha sede in Moldavia.
«Il database» ci spiega per esempio la Besteast Srl, sede a Chisinau (capitale della Moldavia) «è formato da circa 13,5 milioni di dati per campagne nel settore dell’energia e gas». E di mega archivi ce ne sono per tutte le esigenze. Come le liste di dipendenti pubblici e privati per proporre prestiti personali o cessione del quinto. «Siamo in grado» pubblicizza sempre la Besteast «di fornire oltre all’anagrafica completa anche l’indicazione della classe di spesa del cliente». Con questa specificazione: «Alto spendente, medio spendente, basso spendente». Le informative sulla privacy, stando alla policy presente sul sito, presentano molteplici finalità, comprese quelle per la cessione a terzi dei dati e per la partecipazione a giochi a premi, presentate in un modo difficile da comprendere con una sola lettura. Inoltre, non sembra essere presente, almeno online, l’indicazione del rappresentante nominato nell’Unione europea obbligatorio per le organizzazioni extra Ue che trattano dati di soggetti presenti sul territorio del Vecchio continente. Ma non è possibile escludere che questa informazione venga fornita al momento dell’acquisto.
«Si possono filtrare i dati per sesso, per operatore telefonico, per regione», si legge nelle proposte di Mxt international Ltd con sede a Malta, che sostiene di disporre di ben 9 milioni di nominativi privati. «Un’azienda di telemarketing può spendere da circa 10 euro per un elenco di mille nominativi con numeri di cellulare fino a 150 per uno più completo», spiega l’amministratore di una società che gestisce un call center in Italia. A questo punto, però, può innescarsi un ulteriore passaggio di mano: l’azienda che gestisce il call center vende l’elenco a sua volta, oppure lo scambia con un altro che non possiede. Basta estorcere il consenso con un piccolo passaggio durante ogni telefonata. Per questo i tecnici della privacy parlano di riciclaggio di dati. «Quando la filiera è lunga, eventuali trattamenti illeciti si possono ripercuotere fino all’ultimo utilizzatore» sostiene Marco Trombadore, data protection Officer per importanti società italiane. «In primo luogo è essenziale che il list provider abbia raccolto consensi specifici, liberi e comprovabili per ogni finalità».
Ma non è l’unica condizione necessaria: «Chi acquista le liste» aggiunge Trombadore «ha un dovere di controllo delle stesse. E per constatare che i consensi siano effettivamente genuini non è sufficiente che il fornitore dichiari che “i dati sono raccolti a norma di legge”. Inoltre, si devono fare i conti anche con il pubblico registro delle opposizioni». E se si riscontrano violazioni? «È prevista l’applicazione di sanzioni amministrative fino a 20 milioni di euro o fino al 4 per cento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore», ammonisce l’esperto di protezione dei dati. Alla fine la gran parte dei «raccoglitori di identità» si limita a inserire una dicitura molto succinta: «Le informazioni potranno essere cedute per finalità promozionali a soggetti operanti nel settore degli annunci online, di email marketing, di social media e sms marketing, oltre che a operatori del settore energetico». E lo spamming può cominciare.