Garante contro PornHub: cosa succederà e quali sono, attualmente, i rischi per gli utenti di PornHub?

Per capire meglio da dove è cominciata la vicenda della denuncia di #StopDataPorn – collettivo che ha fatto il reclamo dando il via alla protesta – abbiamo scelto di parlare con Alessandro Polidoro, attivista per i diritti digitali e avvocato responsabile di questa azione. Dai presupposti della protesta contro PornHub per le sue policies all’analisi di un business che somiglia – alla fine – a quello di tante altre Big Tech, proponiamo domande e risposte dell’intervista di Giornalettismo all’esperto.

LEGGI ANCHE >>> La denuncia degli attivisti italiani contro Pornhub: «Usa dati sensibili sull’orientamento e le preferenze sessuali»

Alessandro Polidoro sul reclamo al Garante per PornHub

Alessandro Polidoro, quali sono i presupposti della protesta che avete messo in piedi e quali i dati sensibili a rischio per gli utenti che usano Pornhub?

La campagna #StopDataPorn è stata lanciata qualche settimana fa con il deposito del nostro ultimo reclamo al Garante per la protezione dei dati personali italiano. Si tratta, però, di un progetto che va avanti già da diversi anni. I presupposti sono di vario genere, tutto è partito con un progetto di ricerca accademica condotto con il gruppo PornHub Tracking Exposed, il quale stava lavorando a uno studio del funzionamento della piattaforma PornHub e del suo algoritmo per individuare non tanto le violazioni commesse nel trattamento dei dati personali quanto i cosiddetti bias, i pregiudizi dell’algoritmo.

Più che violazioni di legge, in questo frangente, si provava ad indagare su problemi legati all’etica dell’algoritmo e al suo funzionamento nel recommender system. Lo studio ha individuato il bias dell’eteronormatività, il cosiddetto male gaze, il fatto che le raccomandazioni, i suggerimenti e le pubblicità che compaiono su PornHub – indipendentemente da quali siano realmente le preferenze di utilizzo di un soggetto, in questo caso dal punto di vista dell’orientamento sessuale – tendono comunque a favorire e protendere verso quelli che possono essere gli interessi di un maschio bianco etero cis.

Nel corso di questa ricerca, per andare a indagare i bias, si è palesato agli occhi dei ricercatori – quindi anche ai miei, quando mi sono unito al team – la presenza di una grossa quantità di violazioni della normativa in materia di protezione dei dati personali, che è ciò che noi abbiamo immediatamente documentato – mentre il paper stava venendo ultimato – e presentato l’8 marzo 2022 al Garante italiano con una segnalazione, che è differente da un reclamo, poiché la segnalazione non è prevista dal GDPR ma dal Codice privacy italiano. A differenza del reclamo ai sensi dell’articolo 77 del GDPR, questo è ai sensi dell’articolo 144 del Codice privacy ed è una procedura non vincolante per l’autorità.

L’abbiamo fatto immediatamente – prosegue Alessandro Polidoro – per poter beneficiare di questo procedimento più snello e più rapido e per potere subito informare il Garante dell’esistenza di ciò che avevamo notato. Abbiamo poi continuato a indagare e osservare, documentandole, le violazioni che avevamo individuato e ci siamo resi conto che quello che dovevamo fare era presentare un reclamo non tanto in Italia quanto a Cirpo, perché è lì che si trova il titolare del trattamento di PornHub, la società MG Freesites Ltd (dove MG sta per MindGeek, la grande società madre che al suo interno ha più di 170 società tra cui anche questa, che è una società satellite incaricata di gestire PornHub).

Il reclamo a Cipro è stato fatto nell’agosto 2022 e, sulle prime, abbiamo deciso di non pubblicare la notizia in modo eclatante perché la speranza era quella di avviare una collaborazione discreta sia col Garante italiano che con quello cipriota, sfruttando la riservatezza come vantaggio strategico. Col tempo ci siamo resi conto che la velocità alla quale si stava muovendo il caso non era particolarmente soddisfacente e che, in generale, il tema sembrava diventare sempre più scottante. Per dare un ultimo colpo, abbiamo scelto di replicare il reclamo che abbiamo fatto a Cipro anche in Italia – che è quello che è uscito pochi giorni fa – stavolta preoccupandoci di dare una copertura mediatica più sostanziosa e di fare comunicazione sulla questione.

Il 29 giugno abbiamo depositato il reclamo e siamo usciti con la nostra press release di cui abbiamo dato l’esclusiva a Wired.com e a La Stampa. Con #StopDataPorn vogliamo sottolineare una serie di rischi che dal punto di vista giuridico sono tanti (circa una decina quelli che abbiamo individuato, se non di più) ma per comodità li abbiamo raggruppati in tre categorie fondamentali.

Il primo tema, il più palese che chiunque aprendo la piattaforma può osservare, è quello della totale mancanza di consenso per il trattamento dei dati degli utenti. PornHub non lo chiede, e questa è una cosa assurda. Se pensiamo che nel 2023, faccio un esempio, una piattaforma come Youtube – alla sua prima apertura – presenta un enorme banner che impedisce l’utilizzo senza che Google raccolga il consenso. Se Google può tracciare, per esempio, quale è il mio disco preferito di Bob Dylan, nel caso di PornHub la questione è più delicata perché tracciano le preferenze sessuali, l’orientamento sessuale, la vita sessuale del data subject. Sono i cosiddetti dati particolari protetti dall’articolo 9 del GDPR, la base giuridica stessa del trattamento deve essere il GDPR e questa è una lotta che va avanti da cinque anni, da quando il GDPR è entrato in vigore: le grandi piattaforme dicono che la base giuridica per il loro trattamento è il legittimo interesse, quello di portare avanti il loro business, mentre invece gli attivisti per i diritti digitali e tutta la comunità giuridica cercano di spingere per spiegare che la base giuridica deve essere il consenso.

In pratica – spiega Alessandro Polidoro – c’è un braccio di ferro tra legittimo interesse e consenso che le piattaforme stanno sistematicamente perdendo (si vedano le recenti decisioni contro Meta). Si tratta anche di un discorso di competizione, concorrenza sul mercato e di comportamenti di chi fa business: se anche uno non vuole vedere – e non è necessario vederla – una malafede della piattaforma, ciò che è certo è che non chiedendo il consenso, quindi non mettendo questo famoso banner, PornHub sa di aver un traffico maggiore sulla piattaforma. Il punto è: se apro PornHub e mi ritrovo davanti la finestrella “acconsenti oppure no”, c’è la possibilità che io dica no e decida di non andare più sulla piattaforma. Quindi, per tutto il tempo in cui loro non chiedono questo consenso, aumentano il loro fatturato. Questo è un modo per trarre profitto dal mancato rispetto della legge.

Il secondo tema e il terzo tema sono probabilmente più allarmanti e rischiosi per gli utenti: il secondo riguarda il fatto che questi dati, una volta raccolti senza consenso, vengono distribuiti chissà dove.  Come dicevo, PornHub appartiene a questo enorme gruppo di società, MindGeek, che quest’anno è stato comprato da un’altra società che si chiama Ethical Partners. Per quanto riguarda il passaggio dei dati all’interno di questo grosso insieme di società, anche facendo richieste secondo l’articolo 15 del GDPR, la società è rimasta completamente silente, non ci ha voluto dire cosa sta succedendo con questi dati.

Quello che sappiamo è che dovunque, in ogni luogo dove PornHub.com viene utilizzato, loro raccolgono questi dati dandoli poi ad alcune terze parti, alcune che vengono dichiarate e raccontate, molte altre che vengono completamente taciute e che potrebbero essere il numero più grande perché – ricordiamolo – nell’ambito dell’industria pornografica esistono moltissime compagnie che svolgono funzioni simili a quelle, per esempio, di Google Analytics o di Amazon Web Service ma che sono molto meno famose.

Il rischio, in questo caso, è che una volta che PornHub ha preso le preferenze sessuali, a chi le va a raccontare? Per molti di noi, che ci troviamo in un Paese dove certi diritti civili e certe libertà sono garantite, non è un gran problema. Immaginiamo, però, tutti quei Paesi in cui l’omosessualità è stigmatizzata o illegale. Magari in questi Paesi l’accesso alla pornografia stesso non è legale, ma con una VPN spesso e volentieri si può scavalcare questo limite. Cosa succederebbe se, per esempio, PornHub fosse in grado di riconoscere i cittadini di un Paese sulla base delle preferenze, capendo quali di questi è omosessuale e avendo una lista di questi cittadini? È inquietante.

Il terzo punto è che raccolta e interpretazione delle preferenze sessuali avvengono non manualmente ma in modo automatico, con degli algoritmi. Fughiamo il primo dubbio: se non mi registro, cancello la cronologia e non accetto i cookie come fa la piattaforma a tracciarmi? Abbiamo osservato – ed è stato replicato anche dai giornalisti di Wired – che quando si naviga su PornHub, anche se non si è registrati, la piattaforma salva degli identificativi numerici dentro una porzione del computer di ciascun utente (si chiama local storage) e qui si aggiunge, per ogni video visualizzato, un codice identificativo univoco relativo a quel video. Di conseguenza è nel computer stesso dell’utente, anche senza un profilo, che viene salvata una cronologia parallela di tutti i video visualizzati e questa cronologia in particolare non viene normalmente cancellata quando si fa una pulizia di cookie, deve essere inizializzato (riportato alle condizioni predefinite n.d.R.) lo stesso browser; un’operazione con cui molti utenti non sono molto familiari.

Cronologia e dati rimangono lì, quindi, e questo dato – presente nel browser o, se il c’è un profilo registrato, presente sul profilo stesso – viene dato in pasto a questo algoritmo. Come sappiamo, gli algoritmi che profilano non lavorano solo sui dati raccolti, ci sono anche i dati inferiti oppure i dati che vengono reperiti da altri data center, i dati aggregati. Questi, insieme, permettono di creare a tutti gli effetti un ID di un soggetto. A questo punto, è del tutto verosimile immaginare che quando PornHub vede un utente navigare sulla piattaforma può associare a dei dati che già ha – che vengono distribuiti dai data broker – il fatto che quel device solitamente è utilizzato da certe persone o una sola persona in particolare (e questo credo sia il caso più classico, solitamente utilizziamo i device in maniera personale ed esclusiva). Tutto questo avviene in maniera automatizzata e già, di per sé, questa cosa è inquietante – il fatto che un algoritmo, dopo che vedo due o tre video, si ricorda cosa mi piace e ne deduce la preferenza sessuale -.

Oltre a questo, ed è questa la parte più sconcertante, prima di tutto questa attribuzione di una preferenza sessuale all’utente non viene segnalata in nessuno modo e – anche quando viene chiesto chiarimento a riguardo – la piattaforma nega. Nega e dice che, per un vantaggio competitivo, non è intenzionata in alcun modo ad informare i data subject rispetto alla questione. In sostanza, viene assegnata una preferenza sessuale automaticamente e all’oscuro dell’utente e cittadino e, siccome uno non sa che l’algoritmo ha deciso che è eterosessuale, omosessuale o che gli piacciono gli scoiattoli, non può neanche contestare questa decisione.

Proprio così si crea e alimenta il fenomeno della bolla: un utente inesperto delle dinamiche all’interno delle piattaforme si vede presentare sempre contenuti dello stesso tipo e pensa sia perché a tutti piacciano tantissimo determinati tipi di video e, quindi, inizia a vedere sempre più video di questo tipo. C’è quindi una sorta di ritorno per cui, alla fine, ci si ritrova nella nicchia (o ancora meglio, una prospettiva della sessualità legata all’eteronormatività che non tiene conto e non rispetta altre forme di sessualità) che l’algoritmo ha deciso di attribuire al soggetto.

Come si configura, allo stato attuale delle cose, il trasferimento dei dati di Pornhub in Canada secondo te?

Mi piacerebbe conoscere la risposta quanto prima. Il tema è che MindGeek (che controlla la società che gestisce PornHub al 100%), anche prima di essere acquistato da Ethical Partners – complicando ulteriormente le cose -, ha la sede legale in Lussemburgo ma la gran parte degli uffici e l’effettivo quartier generale operativo in Canada. Per questo ha senso chiedersi cosa e come arrivi in Canada, perché sicuramente qualcosa ci arriva.

Poi però vediamo che PornHub, in particolare, ha il titolare del trattamento – ovvero la società responsabile che dovrebbe essere in grado di controllare tutte le operazioni relative al trattamento dati personali – si trova a Cipro. Facciamo questi salti sul mappamondo, cosa molto comune quando si parla di questi giganti tech. Il punto è che noi non possiamo sapere, dall’esterno e in maniera legale, che cosa succede ai dati una volta che vengono raccolti.

La sola cosa che possiamo fare è chiedere, tramite gli strumenti del GDPR, alla piattaforma. Abbiamo mandato tantissime richieste e la piattaforma è sempre stata molto evasiva, molto reticente a fornire informazioni e a dirci che cosa accade a questi dati. E noi, ovviamente, possiamo vedere solo la superficie di ciò che accade a questi dati. Che arrivino in Canada è del tutto realistico, ma cosa arrivi e come arrivi è del tutto da verificare e sarà possibile solo con il potere dell’autorità del Garante, in questo caso cipriota, con il supporto del Garante italiano.

Alessandro Polidoro, quali sono i rischi concreti per l’utente che naviga su Pornhub, i cui dati personali potrebbero essere trattati illecitamente?

Sicuramente il primo rischio, che è quello peggiore, è quello della profilazione di soggetti che – per l’orientamento sessuale – possono essere sottoposti a discriminazioni e maltrattamenti. Esistono poi altri rischi. Il Garante nel suo comunicato ne elencava alcuni, uno è un po’ il suo cavallo di battaglia – ed è assolutamente pertinente – il tema dell’accesso alla piattaforma da parte dei minori. Di base, va da sé, i soggetti minori non dovrebbero accedere perché PornHub è un sito per adulti.

Non soltanto la piattaforma non ha predisposto in Italia neanche il minimo sindacale per evitare questa cosa: non avendolo fatto, realisticamente, è in grado di tracciare questo tipo di preferenze qua. Sul tema, nel Regno Unito, è stato scoperto – per quanto riguarda Youtube – della capacità degli algoritmi di riconoscere quando un utente è un bambino, potendolo tracciare anche senza che l’età sia stata dichiarata.

Il fatto molto interessante è che, sul tema dei minori, si può vedere – chiunque può verificarlo – che PornHub sta conducendo degli esperimento di mercato in Europa, sui cittadini europei. Sui minori è palese perché se noi accediamo a PornHub dall’Italia (quindi con il sotto dominio italiano) la prima cosa che vediamo è direttamente l’homepage. Facendo la stessa cosa con il sotto dominio tedesco di PornHub la prima pagina che compare non è l’homepage di PornHub bensì una prepagina, una sorta di banne, che afferma “Attenzione, stai accedendo a un sito per adulti. Per andare avanti devi dichiarare di avere 18 anni” cliccando.

Questo viene detto, in gergo tecnico, AB Testig. Quello che fanno è cercare di misurare e prevedere le differenze di utilizzo della piattaforma – le differenze di traffico sulla piattaforma – con e senza questa finestrella per gli utenti minorenni. Che, però, non dovrebbe essere un’opzione o un esperimento ma un requisito legale e stringente che loro avrebbero già dovuto implementare da lunghissimo tempo e che, invece, in Italia e Svezia – per esempio – non c’è. Questa cosa è assurda se si pensa che, in ambito europeo – in Francia ma anche nel Regno Unito – i garanti stanno facendo un lavoro enorme per prevenire l’accesso alle piattaforme pornografiche ai minori.

In America c’è grande scalpore, con una protesta in atto, negli stati – come ad esempio la Louisiana – che hanno imposto l’obbligo di utilizzo della carta di identità per l’accesso a questi siti proprio per essere sicuri che l’utente sia maggiorenne. Si tratta di un problema che esiste e che, in maniera assurda, in Italia PornHub ignora.

C’è poi un rischio legato ai quasi monopoli, agli oligopoli dei tech giant che saturano il mercato: PornHub ne ha fatto un grande vanto della competizione, di essere tra questi colossi bravissimi con dietro qualche genio del business – come spesso si sente dire -. Questa è una possibilità ma sta emergendo che, molto più probabilmente, l’ingrediente segreto è il mancato rispetto delle regole. Nessuna altra realtà che vorrebbe lanciarsi nel settore potrebbe arrivare a quel livello, non potrebbe mai esserci una competizione leale. La nostra speranza, con la campagna #StopDataPorn, è quella di creare giurisprudenza innovativa nell’ambito rivoluzionando un settore che oggi soffre degli abusi e dei soprusi di queste mega multinazionali tecnologiche.

Eome dovrebbe rispondere Pornhub alla richiesta del Garante? Potrebbe configurarsi un altro caso OpenAI? 

Non è realistico immaginare che la piattaforma venga chiusa, se non per sua stessa volontà. Queste piattaforme non solo gestiscono i loro business nei modi che abbiamo descritto ma si sono rivelate, in più di un caso, molto capricciose. Facevo prima l’esempio dell’America e della verifica dell’età, lì le piattaforme hanno deciso di autocensurarsi quasi per ripicca: se l’autorità non ci tratta come vogliamo essere trattati, noi facciamo una serrata. Ci chiudiamo e poi vediamo come fare.

Vedo difficile che il Garante dia l’ordine di inibire il trattamento di dati personali di PornHub, decidendo di oscurarlo in Italia, ma a giudicare da come si sono comportate le piattaforme stesse si questi temi, non è da escludere che la PornHub decida di fare una mossa del genere come segno di protesta. Noi qui lavoriamo in termini di legge, di diritti, talvolta di etica e morale; lì lavorano in termini di business, di reputation e di messaggi, della comunicazione che arriva al pubblico.

Per quanto riguarda le possibili risposte da PornHub al Garante, aspetteremo i venti giorni per la risposta della piattaforma e gli ulteriori quindici che avremo a disposizione per controbattere. Non sono in grado di prevedere le risposte, ma sono molto curioso di leggere perché sarà veramente interessante capire in che modo possano trovare una giustificazione, un argomento giuridico valido, al fatto di non chiedere il consenso nel 2023 quando tutti gli altri lo fanno. Per ora non sappiamo neanche quali siano gli avvocati che stanno seguendo il caso di PornHub.