Qualcuno dovrebbe creare un wiki dedicato alla decifrazione dei ‘Privacy Responses’ delle multinazionali. Perché quando cerchi semplicemente di esercitare un tuo diritto fondamentale, ti ritrovi di fronte a un labirinto di ‘data controller’, ‘service provider’ e ‘contractual obligations’ che sembrerebbero scritti da un robot alimentato solo da citazioni legali e caffè freddo.
Il caso è questo: un utente ha provato a fare ciò che dovrebbe essere un atto semplice, quasi automatico, per un cittadino informato: inviare una richiesta di cancellazione dei dati (CCPA style) a Flock Safety, un sistema che utilizza telecamere e Lettori di Targhe (LPR) per la sicurezza. Ebbene, l’azienda ha risposto con un capolavoro di elusività corporativa.
In sintesi, la richiesta di cancellazione non può essere eseguita direttamente da Flock, perché «il cliente» (il proprietario del sistema di sorveglianza) è l’unico vero *data controller*. Flock, in questo schema, è solo un *processor* che si limita a fare quello che gli ordina il suo cliente. Un muro legale di delegazione. È incredibile quanto possa essere spessa la nebbia del gergo aziendale.
Cosa significa tutto questo per noi che amiamo smontare le cose fino al transistor? Significa che non stiamo solo parlando di un problema di sicurezza, ma di un problema di *ownership* dei dati e di potere. Le grandi piattaforme e i servizi di monitoraggio non sono solo tecnologicamente complessi, sono *legalmente* complessi, e quella complessità è un cuscinetto perfetto per farci credere che i nostri dati siano in qualche modo “non nostri”.
Questo è il trionfo del *vendor lock-in*, non solo tecnico, ma istituzionale. Ti fanno sentire così piccolo e sprovvisto di contesto che anche quando chiedi solo la cancellazione del tuo numero di targa, ti trovi a litigare su chi ha il diritto di compilare il modulo per farlo.
E qui sta il nostro punto da maker. Noi siamo quelli che ci piace mettere le mani nella piastra madre, non solo i chip, ma anche i meccanismi di governance. Questa storia ci ricorda che non possiamo basare la nostra privacy solo sulla fede nei sistemi di grandi corporation. Dobbiamo continuare a guardare alle alternative open, ai sistemi locali, ai protocolli che noi stessi possiamo controllare. Se la soluzione è un sistema che richiede un consulente legale per capire come disattivarlo, è già sbagliata.
Per noi nerd, l’approccio è chiaro: se un sistema non è trasparente, non è controllabile, non è open source, probabilmente è un punto cieco per i tuoi diritti. Piuttosto che affidarci di nuovo a sistemi centralizzati di ‘sicurezza’ che ci ricombinanano in pile di *data points* legalmente ostici, concentriamoci su cosa possiamo costruire noi, localmente, che ci dia il controllo fisico e digitale sul nostro ambiente. La vera libertà non si comprata con un NDA, ma con un Arduino e un po’ di determinazione.
Spero che la prossima volta che il Tech Corp si difenderà con il CCPA, io possa rispondere solo con lo schema di elettricità che alimenta i loro server. (E, se posso permettermi, un ghigno soddisfatto.)
Source: I wrote to Flock's privacy contact to opt out of their domestic spying program