In questi giorni l’argomento protezione dati personali o “la privacy”, come normalmente viene denominato in tono quasi dispregiativo, è sotto i riflettori per due motivi completamente diversi, ma in un certo senso convergenti.

Il primo è la bufera che si è scatenata sul Garante italiano, dove il segretario generale, uno dei massimi esponenti dell’autorità, pare abbia cercato di aggirare le stesse norme sulle quali è chiamato a vigilare, tentando di violare i dati dei dipendenti dell’autorità stessa per scovare la presunta talpa che avrebbe rivelato alla stampa nazionale particolari scomodi relativi all’autorità Garante. Senza entrare nel merito della richiesta e delle motivazioni su cui era basata, ben venga la risposta secca e corretta dell’amministratore di sistema che non ha fornito i dati richiesti, ma ha implicitamente ammesso che tali dati (decenni di mail interne) sono ancora registrati sui sistemi informatici e il Garante, pronto a sanzionare le aziende per data retention troppo estese o non documentate, pare essere esso stesso caduto nella consuetudine del “tenere tutto”… perché potrebbe sempre servire (con buona pace dei 21 giorni concessi alle aziende per mantenere i meta dati delle mail…).

Il secondo motivo che porta attualità ad ampio raggio sul GDPR, ma anche su intelligenza artificiale, cookie ecc. è il “decreto digital omnibus” europeo il quale, prendendo spunto dai timori del rapporto “Draghi” sulla scarsa competitività dell’Europa a causa della troppa burocratizzazione e protezione dell’utente, tenta di ritoccare simultaneamente GDPR, AI Act, direttiva E-privacy, NIS2 ed altre norme neanche ancora pienamente operative, con l’intento di ridurre i costi amministrativi delle PMI e renderle quindi più redditizie e competitive. Ad una prima lettura (il testo non è ancora definitivo), si rischia solo di abbassare la guardia e limitare i diritti dei cittadini, scaricando ulteriori responsabilità sulle PMI che devono decidere in autonomia e documentare le scelte effettuate su  cosa sia possibile fare o non fare con i dati personali, favorendo al tempo stesso i soliti “big data” stranieri, avallando l’impiego di informazioni solo fittiziamente anonime per una profilazione automatizzata ed esasperata dei cittadini europei.

Il finale d’anno rischia di rivelarsi burrascoso e dagli esiti estremamente incerti, in piena linea con gli avvenimenti geopolitici attuali tutt’altro che rassicuranti.

Fabrizio Bongiovanni - Pentha S.r.l. (pubblicato su La Guida - n.54/2025)

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

Marketing ed effetto boomerang

Quando ignorare la privacy può portare ad accuse di concorrenza sleale

Sì all’uso dell’indirizzo mail per scopi di marketing diretto

La corte UE conferma la non necessità del consenso se il destinatario è già cliente e se le comunicazioni riguardano beni e servizi analoghi

I fragili confini della protezione dei dati

Quando il pericolo si nasconde e si confonde nei sistemi di sicurezza informatici