Data broker e privacy: cosa manca all’Europa che la California ha già

Quando si parla di privacy, l’attenzione pubblica si concentra quasi sempre sui grandi nomi del digitale: social network, motori di ricerca, piattaforme di e-commerce. Eppure una parte enorme dell’ecosistema che alimenta pubblicità, profilazione, scoring e “people search” si muove in un’area molto meno visibile: quella dei data broker.

Con il termine data broker si fa riferimento alle imprese che raccolgono, aggregano, arricchiscono e rivendono (o rendono disponibili a pagamento) dati personali su persone fisiche. Il dato può provenire da fonti diversissime: dataset acquistati da altri operatori, partnership commerciali, registri pubblici, attività online tracciate e ricondotte a profili, elenchi e mailing list, fino a forme di raccolta massiva che sfruttano fonti “apparentemente pubbliche”. Il risultato non è solo un elenco di contatti: spesso è un profilo probabilistico che include inferenze su interessi, reddito, propensione all’acquisto, salute, orientamenti e vulnerabilità.

Come fanno i data browser a non violare la privacy

Per non violare le disposizioni a tutela della privacy, almeno formalmente, i data broker agiscono su tre leve.

• La prima è la filiera: il broker raramente raccoglie i dati dalla persona fisica; li riceve “a valle” da altri titolari o da mercati di dati.
• La seconda è la base giuridica: dove il consenso non è praticabile, molti trattamenti si appoggiano al legittimo interesse (quando invocabile) o a costruzioni contrattuali tra aziende.
• La terza è la trasparenza “di facciata”: l’obbligo di informare l’interessato esiste, ma quando i dati non sono ottenuti direttamente dalla persona in questione, in Europa entra in gioco l’articolo 14 del GDPR, che prevede l’informativa e al tempo stesso contempla eccezioni e condizioni operative che, su larga scala, rendono la trasparenza difficile da trasformare in un’esperienza che vada realmente a vantaggio del cittadino.

Qui sta il paradosso europeo: diritti molto forti sulla carta, ma spesso poco azionabili nella pratica, perché manca il prerequisito essenziale: sapere chi possiede i nostri dati.

Europa: il GDPR tutela i diritti, ma non rende “visibile” il mercato dei data broker

Nell’Unione Europea la disciplina chiave resta il GDPR, che non crea una categoria giuridica autonoma “data broker”, ma li inquadra come titolari del trattamento. Da qui discendono diritti noti (accesso, cancellazione, opposizione) e obblighi (limitazione della finalità, minimizzazione, sicurezza, accountability).

I diritti dei cittadini ci sono: sono ampi e dettagliati. Il problema è che il modello europeo è costruito in modo prevalentemente reattivo: il cittadino può esercitare i diritti se individua il titolare. E nel caso dei data broker, spesso non riesce a individuarlo.

L’Unione Europea ha introdotto con il Data Governance Act (DGA) un impianto che include anche un registro dei servizi di intermediazione di dati notificati, con logiche e garanzie specifiche.

Tuttavia, questa categoria non coincide automaticamente con quella dei data broker commerciali in senso classico e non risolve, da sola, l’opacità del mercato dei profili personali.

Insomma, l’Europa regola bene il trattamento quando l’interessato riesce a identificarlo, ma non ha ancora costruito un meccanismo “di mercato” che dica con chiarezza: chi fa intermediazione e rivendita di dati personali deve dichiararsi, farsi trovare, e rendere semplice l’opt-out.

California: dal diritto astratto alla leva sistemica (registro + piattaforma unica)

La California ha imboccato una strada più “ingegneristica”: non solo diritti individuali, ma un’infrastruttura pubblica che rende quei diritti davvero applicabili su larga scala. Qui il riferimento è il DELETE Act e l’azione della California Privacy Protection Agency (CPPA / CalPrivacy), l’Autorità che si occupa della tutela dei dati personali.

Il punto di partenza è l’obbligo di registrazione annuale per i data broker, con una scadenza precisa (31 gennaio di ogni anno). In pratica, l’ordinamento californiano crea un presupposto che in Europa ancora manca: un elenco operativo dei soggetti da monitorare e, soprattutto, da raggiungere quando il cittadino intende esercitare i suoi diritti.

La stessa CPPA ricorda che la California è fra gli Stati che richiedono la registrazione dei data broker.

DROP: la svolta (un’unica richiesta per cancellarsi da oltre 500 broker)

Dal 1° gennaio 2026 la California ha avviato la Delete Request and Opt-out Platform (DROP): un portale pubblico che consente di inviare una sola richiesta che viene inoltrata a centinaia di data broker registrati.

Secondo la pagina ufficiale, DROP consente di predisporre una richiesta di rimozione dati unica verso oltre 500 data broker registrati e definisce anche un calendario di efficacia con obblighi di cancellazione che scattano con finestre temporali specifiche.

Qui c’è la differenza che, per il cittadino, vale più di mille dichiarazioni di principio: non serve sapere chi ha i tuoi dati. È lo Stato che costruisce il canale e lo impone al mercato.

Le differenze tra Europa e California per un problema comune

Cancellare i propri dati dai data broker non è un gesto simbolico né una fissazione “da paranoici della privacy”. È un’azione che può avere effetti concreti, misurabili e cumulativi sulla vita di un cittadino, spesso invisibili nel breve periodo ma rilevanti nel medio-lungo termine.

Un’operazione del genere significa ridurre la profilazione invisibile che incide su prezzi, offerte, valutazioni e messaggi ricevuti, spesso senza che il cittadino ne sia consapevole. Ha un impatto diretto anche sulla riduzione di chiamate spam, phishing e truffe mirate, perché limita la circolazione di numeri di telefono, email e profili di vulnerabilità. Meno dati personali in circolazione vuol dire meno esposizione, meno manipolazione e più controllo reale sulla propria vita digitale.

In Europa l’onere è spesso sul cittadino: identificare il soggetto, contattarlo, gestire risposte parziali, inseguire sub-responsabili e acquirenti del dataset. In California l’onere è spostato sul sistema con una registrazione obbligatoria per i data broker e una piattaforma unica.

Come l’Europa potrebbe mettere i cittadini nelle condizioni di esercitare i loro diritti nei confronti dei data broker

Se l’Unione Europea volesse colmare il gap senza snaturare il GDPR, non servirebbe riscrivere tutto: basterebbe introdurre alcune leve sistemiche che oggi mancano.

Innanzi tutto un registro europeo obbligatorio per chi svolge attività di compravendita di dati personali a fini commerciali (con definizioni chiare e criteri oggettivi). Senza una mappa del mercato, i diritti restano difficilmente esercitabili.

Per secondo, una piattaforma unica europea per la cancellazione/opposizione verso i soggetti registrati, come meccanismo di applicazione dei diritti su richiesta degli interessati. L’idea chiave è invertire l’onere: non più “trova tu chi ti profila”, ma “se mi profili, devi essere raggiungibile in modo standard”.

In terza battuta, si dovrebbe rafforzare la trasparenza nei trattamenti indiretti: l’articolo 14 del GDPR già esiste, ma nella pratica servirebbero standard tecnici e obblighi verificabili su come si informa l’interessato quando la comunicazione individuale non è semplice (ad esempio registri consultabili, notifiche interoperabili, auditing).