Privacy o paradosso? Quando la legge tutela chi la viola

12 Novembre 2025
|In Tecnologia
|By Donato Paolino
Privacy o paradosso? Quando la legge tutela chi la viola
  1. Home
  2. Tecnologia
  3. Privacy o paradosso? Quando la legge tutela chi la viola

Come il consenso informato è diventato un meccanismo di legittimazione del potere digitale

Indice

1. Introduzione – Il paradosso della privacy

La parola privacy è entrata nel lessico comune come sinonimo di protezione, riservatezza, sicurezza personale. Tuttavia, nel mondo digitale contemporaneo, essa si è trasformata in un concetto ambiguo, dove la promessa di tutela coincide spesso con la possibilità, per i grandi attori tecnologici, di utilizzare legalmente i dati personali degli utenti.
La legge sulla privacy, nata per difendere il cittadino dal potere economico e statale, sembra oggi funzionare come un meccanismo di legittimazione del potere privato delle piattaforme digitali. L’utente clicca “Accetta tutto” non perché lo desideri, ma perché non ha alternative praticabili.
Questo è il cuore del paradosso: la norma che dovrebbe proteggere si è trasformata in uno strumento che giustifica la violazione, purché formalmente conforme alla legge.

In questa prospettiva, l’articolo analizza l’evoluzione della tutela dei dati personali in Europa e il modo in cui il Regolamento generale sulla protezione dei dati (GDPR – Reg. UE 2016/679) ha finito, in parte, per istituzionalizzare la burocrazia del consenso, più che il diritto alla libertà informativa. Attraverso i casi di Meta/WhatsAppGoogleTikTok e altri esempi concreti, verrà mostrato come la privacy sia oggi una forma di controllo asimmetrico mascherata da autodeterminazione.

2. Dal diritto alla protezione dei dati alla burocrazia del consenso

Il diritto alla privacy nasce nella dottrina anglosassone a fine Ottocento, con il celebre saggio di Samuel Warren e Louis Brandeis (“The Right to Privacy”, Harvard Law Review, 1890), che lo definiva come the right to be let alone, il diritto di essere lasciati in pace.
Con l’avvento dell’informatica e delle banche dati, l’idea si è trasformata in un diritto di controllo sulle informazioni personali, evolvendo fino al concetto di protezione dei dati personali.

L’Unione Europea ha consacrato tale principio con la Direttiva 95/46/CE e, successivamente, con il Regolamento (UE) 2016/679 (GDPR), entrato in vigore nel 2018.
Il GDPR ha introdotto strumenti di tutela più forti, come il diritto alla cancellazione (art. 17), il diritto alla portabilità dei dati (art. 20) e l’obbligo di consenso esplicito (art. 7). Tuttavia, nella pratica, l’effetto di queste norme è stato duplice: da un lato, hanno aumentato la trasparenza formale; dall’altro, hanno creato una complessa architettura burocratica che grava sull’utente più che sul titolare del trattamento.

L’utente medio non legge, né può leggere, le decine di pagine delle informative; si limita a cliccare per proseguire, perché la sua interazione con la piattaforma dipende da quel gesto. Il consenso informato, che nel diritto europeo rappresenta la massima espressione dell’autonomia individuale, diventa così una finzione giuridica, un automatismo che priva il consenso stesso di significato sostanziale.

3. Il GDPR e l’ideale del controllo individuale

Il Regolamento generale sulla protezione dei dati si fonda su un principio chiave: il controllo dei dati deve restare nelle mani dell’individuo.
L’art. 1 del GDPR afferma che lo scopo è “proteggere i diritti e le libertà fondamentali delle persone fisiche”, in particolare “il diritto alla protezione dei dati personali”.
Tuttavia, la realizzazione di questo principio incontra tre ostacoli strutturali:

  1. Asimmetria informativa: l’utente non è in grado di comprendere le reali implicazioni del consenso.
  2. Asimmetria tecnica: le piattaforme possiedono il know-how necessario per interpretare e sfruttare i dati in modi opachi.
  3. Asimmetria funzionale: l’uso dei servizi digitali è divenuto indispensabile per la vita sociale e lavorativa, rendendo il consenso una scelta priva di alternativa.

Ne risulta una condizione in cui la libertà di scelta è teoricamente piena ma praticamente inesistente.
Questo fenomeno è stato definito da studiosi come Shoshana Zuboff nel volume The Age of Surveillance Capitalism(2019) come capitalismo della sorveglianza: un sistema economico che trasforma i dati personali in materia prima per l’estrazione di valore predittivo e comportamentale.

La protezione dei dati, dunque, non può più essere intesa come una mera questione giuridica, ma come un problema politico ed economico. Le leggi — anche le più avanzate, come il GDPR — rischiano di fallire se ignorano la dimensione del potere strutturale esercitato dalle piattaforme globali.

4. Il consenso informato come forma di asimmetria digitale

L’art. 7 del GDPR stabilisce che il consenso deve essere “libero, specifico, informato e inequivocabile”.
Questa formulazione presuppone che l’individuo sia in grado di valutare le conseguenze della propria scelta e di poter rifiutare senza svantaggi.
Nella realtà, tuttavia, il consenso digitale è un consenso condizionato.

Un esempio evidente è quello di WhatsApp, che nel 2021 ha aggiornato i propri termini di servizio, prevedendo la condivisione obbligatoria dei dati con Meta Platforms Inc.. Chi non accettava, veniva escluso da alcune funzionalità, fino alla sospensione dell’account.
Il Garante europeo e diverse autorità nazionali, tra cui il Garante per la Protezione dei Dati Personali italiano, hanno avviato indagini (provv. n. 9699213/21), ma la sostanza è rimasta invariata: l’utente può formalmente scegliere, ma l’alternativa è non usare l’app, oggi strumento quotidiano di comunicazione, lavoro e relazioni personali.

In diritto, ciò costituisce un caso tipico di asimmetria contrattuale: la parte debole (l’utente) aderisce a condizioni predisposte unilateralmente dalla parte forte (la piattaforma). Tuttavia, poiché il consenso è espresso in forma attiva, la legge lo considera valido.
È una contraddizione strutturale che evidenzia come la privacy digitale sia, in realtà, una questione di potere più che di volontà.

Il giurista Evgeny Morozov ha descritto questo meccanismo come “una nuova forma di coercizione soft”, in cui la libertà di scelta esiste solo come illusione funzionale.
La retorica del consenso informato, anziché emancipare l’individuo, serve a proteggere la legittimità giuridica dei processi di sorveglianza.

5. I dark pattern e la manipolazione delle scelte

L’interfaccia grafica delle piattaforme digitali non è neutra.
Diversi studi dell’European Data Protection Board (EDPB) e dell’Osservatorio europeo sui dark pattern hanno evidenziato come le scelte di design vengano deliberatamente orientate per indurre l’utente a comportamenti conformi agli interessi aziendali.
Questo fenomeno, noto come dark pattern, consiste nell’utilizzo di interfacce persuasive che spingono verso l’accettazione dei cookie, la condivisione dei dati o l’iscrizione a servizi opzionali.

Un esempio pratico: durante l’installazione di un’app o la visita a un sito web, il pulsante “Accetta tutto” è grande, colorato, posizionato al centro; quello “Rifiuta” è grigio, nascosto in un menù secondario.
La Direttiva ePrivacy (2002/58/CE) e il GDPR vietano esplicitamente tali pratiche, ma le autorità di controllo faticano a intervenire in modo uniforme, anche per la rapidità con cui cambiano le interfacce e la complessità dei sistemi di tracciamento.

Un caso emblematico è quello di Google (2022), sanzionata dal CNIL francese con una multa di 150 milioni di euro per aver reso “più facile accettare che rifiutare i cookie”.
Il principio enunciato dal CNIL — “la libertà di rifiutare deve essere equivalente a quella di accettare” — rappresenta una pietra miliare nella giurisprudenza europea sulla materia.

Tuttavia, tali sanzioni non incidono realmente sul modello economico delle piattaforme, che continuano a basarsi sulla raccolta massiva di dati per la pubblicità personalizzata.
I dark pattern non sono incidenti di percorso, ma componenti strutturali del design comportamentale del capitalismo digitale.

6. Il caso Meta-WhatsApp: consenso obbligato e capitalismo relazionale

Il caso Meta-WhatsApp è forse il più emblematico del modo in cui la privacy venga usata come strumento di potere legale.
Nel 2021, WhatsApp ha modificato la propria informativa, introducendo la possibilità per Meta di utilizzare dati aggregati per “migliorare i propri servizi”.
In termini pratici, ciò significa che informazioni quali la frequenza di utilizzo, la rubrica telefonica, gli orari di connessione e i metadati delle conversazioni vengono analizzati e integrati con quelli raccolti da Facebook e Instagram.

Il Garante irlandese (DPC), autorità di riferimento per Meta in Europa, ha aperto un procedimento che si è concluso con una sanzione di 390 milioni di euro (gennaio 2023) per violazione dell’art. 6 del GDPR (mancanza di base giuridica per il trattamento dei dati).
Tuttavia, la stessa DPC ha consentito a Meta di continuare a trattare i dati basandosi sul “legittimo interesse”, trasformando così un illecito in un uso formalmente regolare.

Questo passaggio mostra come il sistema giuridico europeo, pur animato da principi di tutela, sia flessibile nei confronti dei soggetti dominanti.
L’interpretazione delle basi giuridiche — consenso, contratto, legittimo interesse — diventa uno spazio di manovra per le grandi aziende, capaci di adattarsi formalmente alla norma senza mutare la sostanza del proprio modello di business.

Il modello di capitalismo relazionale di Meta si fonda proprio su questo: la condivisione socializzata dei dati viene presentata come espressione di libertà individuale.
Ogni utente “sceglie” di condividere, ma lo fa all’interno di un ecosistema che trasforma la relazione in merce, e la trasparenza in una forma di sorveglianza volontaria.

7. Google e la filiera del tracciamento legale

Se Meta rappresenta il paradigma della sorveglianza relazionale, Google incarna quello della sorveglianza infrastrutturale.
Il suo ecosistema — motore di ricerca, Android, Gmail, Maps, Chrome, YouTube — consente di raccogliere e correlare dati su ogni aspetto della vita digitale.
Secondo il Transparency Report pubblicato da Google nel 2024, l’azienda gestisce oltre 80 trilioni di query annuali, un patrimonio informativo senza precedenti nella storia dell’umanità.

Gran parte di questa raccolta avviene legalmente, grazie al consenso espresso dagli utenti.
Ogni volta che si installa Android, si accettano automaticamente decine di permessi per il tracciamento, la localizzazione e la personalizzazione pubblicitaria.
Il problema non è la violazione formale della privacy, ma la normalizzazione della sorveglianza attraverso la legge stessa.

Il caso Google Spain (C-131/12) deciso dalla Corte di Giustizia dell’Unione Europea (CGUE) nel 2014, introdusse il diritto all’oblio come risposta all’eccessiva esposizione informativa, ma il principio è rimasto confinato al motore di ricerca, senza incidere sui meccanismi di raccolta dei dati.
Anzi, negli anni successivi Google ha ampliato la propria capacità di profilazione grazie ai servizi integrati di pubblicità comportamentale (Google AdsAdSenseDoubleClick).

Il modello è tecnicamente conforme al GDPR, perché basato su consenso esplicito e pseudonimizzazione dei dati; tuttavia, l’interconnessione delle piattaforme permette di ricostruire profili dettagliati anche senza identificatori diretti.
È un esempio perfetto di ciò che il filosofo Byung-Chul Han definisce “trasparenza coercitiva”: un sistema in cui la libertà coincide con l’obbligo di mostrarsi.

8. TikTok e i minori: la privacy come illusione pedagogica

Il caso TikTok rappresenta una frontiera critica nel rapporto tra tecnologia, minori e privacy. La piattaforma cinese di video brevi, con oltre 1,6 miliardi di utenti attivi mensili, è stata più volte oggetto di indagini da parte di autorità europee per la raccolta e il trattamento dei dati dei minori.

Nel 2023, il Garante per la protezione dei dati personali italiano ha imposto a TikTok un divieto temporaneo di trattamento dei dati relativi a utenti di età inferiore ai 13 anni, a seguito del tragico caso di una bambina di Palermo morta durante una “sfida social”.
L’indagine rivelò come il sistema di verifica dell’età fosse facilmente eludibile e che i dati degli utenti venivano impiegati per la profilazione pubblicitaria, in violazione dell’art. 8 del GDPR, che tutela i minori in relazione ai servizi della società dell’informazione.

Nonostante le sanzioni, TikTok ha continuato a fondarsi su un modello di dataficazione dell’identità giovanile.
Ogni interazione — like, commento, tempo di visione — diventa materiale di analisi per gli algoritmi di raccomandazione.
In apparenza, il sistema “impara” per offrire contenuti più affini ai gusti dell’utente; in realtà, produce una profilazione comportamentale che condiziona i desideri e le abitudini.

Questo processo, pur criticabile dal punto di vista etico, è formalmente legittimo, poiché sostenuto da una serie di consensi “accettati” al momento della registrazione.
Il meccanismo della privacy come tutela dei minori si capovolge: le norme esistono, ma servono più a costruire un’apparenza di sicurezza che una protezione reale.

Il sociologo Manuel Castells ha definito questa condizione come società della rete senza infanzia: un ambiente in cui la connessione permanente dissolve le barriere dell’età e del giudizio critico.
La privacy, in questo contesto, diventa una pedagogia mancata: promette consapevolezza, ma produce dipendenza.

9. Il capitalismo dei dati e la trasformazione della libertà

Dietro i casi concreti di Meta, Google o TikTok si cela una logica sistemica più ampia, quella del data capitalism, o capitalismo dei dati.
Secondo Nick Srnicek (Platform Capitalism, 2017), il dato personale è oggi la principale risorsa economica del capitalismo contemporaneo, in quanto consente di prevedere e influenzare i comportamenti futuri.

Nel modello classico, l’impresa produce merci per soddisfare bisogni; nel capitalismo dei dati, invece, produce bisogni attraverso i dati.
Ogni azione dell’utente — una ricerca su Google, un messaggio su WhatsApp, un acquisto su Amazon — diventa input per un sistema di machine learning che modella la realtà in funzione dell’efficienza predittiva.

Il giurista austriaco Max Schrems, protagonista delle sentenze Schrems I (C-362/14) e Schrems II (C-311/18) della Corte di Giustizia dell’Unione Europea, ha denunciato come questo sistema globale renda impossibile per l’utente europeo sapere dove finiscano i propri dati.
Le sue battaglie contro il trasferimento di dati verso gli Stati Uniti hanno portato all’invalidazione dei meccanismi di “Safe Harbor” e “Privacy Shield”, evidenziando che il diritto europeo alla protezione dei dati non può coesistere con la logica statunitense di sorveglianza commerciale e governativa.

Il capitalismo dei dati non si fonda sulla violazione della legge, ma sulla sua cattura funzionale.
Ogni consenso firmato, ogni spunta data, ogni clic su “Accetta tutto” rappresenta una legittimazione del processo di estrazione informativa.
È un paradosso perfetto: la libertà formale diventa il presupposto della subordinazione sostanziale.

Come ha scritto Luciano Floridi nel suo The Ethics of Information (2013), viviamo in una “infosfera” in cui l’essere umano è contemporaneamente soggetto e oggetto informazionale.
L’identità digitale non è più un riflesso di quella reale: è un suo duplicato operativo, manipolabile, vendibile, regolato da algoritmi che agiscono con logiche proprietarie.
Il diritto alla privacy, in questo quadro, appare insufficiente, perché non protegge dall’uso legittimo, ma solo dall’abuso formale dei dati.

10. Le falle strutturali della governance digitale europea

Nonostante il suo ruolo di avanguardia normativa, l’Europa mostra limiti evidenti nella governance dei dati.
Il GDPR, pur avanzato, è una norma reattiva: agisce dopo che il danno si è prodotto, non prima.
Le autorità garanti, pur indipendenti, soffrono di una frammentazione amministrativa che rallenta le sanzioni e ne riduce l’impatto deterrente.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha più volte richiamato la necessità di armonizzare l’applicazione del regolamento, ma i grandi gruppi tecnologici hanno imparato a sfruttare la competenza territoriale a proprio vantaggio.
Meta, ad esempio, ha stabilito la sede europea in Irlanda, dove l’autorità nazionale adotta tradizionalmente un approccio “collaborativo” con le imprese.
Il risultato è una asimmetria giuridica: i cittadini europei hanno gli stessi diritti, ma le loro tutele dipendono dal Paese dove ha sede il titolare del trattamento.

La recente proposta di AI Act e di Data Act, approvati tra il 2023 e il 2024, tenta di introdurre una visione più ampia della sovranità informativa, regolando non solo la protezione dei dati ma anche la loro circolazione, trasparenza e accessibilità.
Tuttavia, queste norme rischiano di restare strumenti di compliance formale, se non accompagnate da un cambiamento culturale e politico: passare da una visione difensiva a una visione attiva della cittadinanza digitale.

11. Sovranità digitale e libertà sostanziale

Il concetto di sovranità digitale nasce come reazione alla dipendenza tecnologica dell’Europa dalle piattaforme statunitensi e cinesi.
Ma la sovranità non può essere intesa solo come autonomia infrastrutturale o capacità produttiva: deve tradursi in sovranità dell’individuo sui propri dati.
In altre parole, ogni cittadino dovrebbe poter decidere, in modo semplice e reversibile, chi può utilizzare i propri dati, per quanto tempo e a quale scopo.

Questo approccio, teorizzato da diversi studiosi di diritto dell’informazione, tra cui Stefano Rodotà, implica un passaggio radicale: dalla privacy come “diritto di essere lasciati soli” alla privacy come potere di autodeterminazione informativa.
Rodotà sosteneva che “la libertà non consiste nel sottrarsi al potere, ma nel poterlo controllare”.

Perché ciò accada, occorrono tre condizioni:

  1. Trasparenza algoritmica: gli utenti devono poter comprendere come i propri dati influenzano le decisioni automatizzate.
  2. Interoperabilità delle piattaforme: il diritto alla portabilità (art. 20 GDPR) deve diventare effettivo, consentendo di migrare facilmente tra servizi senza perdere dati o relazioni.
  3. Educazione digitale diffusa: la privacy deve essere insegnata come competenza civica, non solo come obbligo legale.

Senza questi tre pilastri, la sovranità digitale resterà una formula retorica.
Le grandi piattaforme continueranno a esercitare un potere para-statale, fondato sulla legittimità giuridica del consenso e sull’ineguaglianza tecnologica.

12. Conclusione – Dalla privacy alla libertà digitale sostanziale

La parabola della privacy nel XXI secolo mostra una trasformazione inquietante: da diritto fondamentale a rito burocratico.
Cliccare su “Accetta tutto” è diventato un gesto automatico, la soglia obbligata per accedere al mondo digitale.
Il consenso informato, invece di emancipare, certifica l’assoggettamento.

Le leggi sulla privacy non sono inefficaci per mancanza di principi, ma per eccesso di formalismo.
Proteggono il processo, non la persona. Difendono l’atto di consenso, non la sostanza della scelta.

Il futuro della libertà digitale non può basarsi sulla somma di regolamenti e informative: deve fondarsi su un nuovo patto sociale dell’informazione, in cui l’essere umano non sia una fonte di dati, ma un soggetto dotato di diritti cognitivi e informazionali.
Serve una rivoluzione di senso: passare dal paradigma della protezione passiva a quello della partecipazione consapevole.

Come scriveva Rodotà, “la privacy non è un rifugio, ma una condizione di libertà nella società dell’informazione”.
In questo senso, la sfida del nostro tempo non è difendere la privacy da chi la viola, ma liberarla da chi la usa per dominarci legalmente.

Riferimenti principali (citati nel testo)

  • Regolamento (UE) 2016/679 – GDPR, art. 1, 6, 7, 8, 17, 20.
  • Direttiva 2002/58/CE (ePrivacy).
  • Corte di Giustizia UE, Google Spain, C-131/12, 2014.
  • Corte di Giustizia UE, Schrems I, C-362/14, 2015.
  • Corte di Giustizia UE, Schrems II, C-311/18, 2020.
  • CNIL, Decisione su Google, 6 gennaio 2022.
  • DPC Irlanda, Meta Platforms Ireland, gennaio 2023.
  • Rodotà S., Tecnopolitica. La democrazia e le nuove tecnologie della comunicazione, 2004.
  • Zuboff S., The Age of Surveillance Capitalism, 2019.
  • Srnicek N., Platform Capitalism, 2017.
  • Floridi L., The Ethics of Information, 2013.
  • Han B.-C., La società della trasparenza, 2012.
  • Morozov E., To Save Everything, Click Here, 2013.

This post is also available in: English (Inglese)

Privacy online

Donato Paolino

Ciao! Sono Donato Paolino. Nella vita mi occupo di digital marketing (sì, quello che fa sembrare tutto più complicato di quanto sia), ma qui no: questo è il mio angolo libero, dove parlo di quello che mi fa stare bene — cucina, musica, scrittura, tecnologia e un pizzico di spiritualità. In pratica, tutto ciò che non puoi mettere in un report di Google Ads.

Aggiungi un commento

© 2025 Donato Paolino Blog. Tutti i diritti riservati – Digital Marketing by Dopstart

Privacy Preference Center

Privacy Preferences