In questi giorni l’argomento protezione dati personali o “la privacy”, come normalmente viene denominato in tono quasi dispregiativo, è sotto i riflettori per due motivi completamente diversi, ma in un certo senso convergenti.

Il primo è la bufera che si è scatenata sul Garante italiano, dove il segretario generale, uno dei massimi esponenti dell’autorità, pare abbia cercato di aggirare le stesse norme sulle quali è chiamato a vigilare, tentando di violare i dati dei dipendenti dell’autorità stessa per scovare la presunta talpa che avrebbe rivelato alla stampa nazionale particolari scomodi relativi all’autorità Garante. Senza entrare nel merito della richiesta e delle motivazioni su cui era basata, ben venga la risposta secca e corretta dell’amministratore di sistema che non ha fornito i dati richiesti, ma ha implicitamente ammesso che tali dati (decenni di mail interne) sono ancora registrati sui sistemi informatici e il Garante, pronto a sanzionare le aziende per data retention troppo estese o non documentate, pare essere esso stesso caduto nella consuetudine del “tenere tutto”… perché potrebbe sempre servire (con buona pace dei 21 giorni concessi alle aziende per mantenere i meta dati delle mail…).

Il secondo motivo che porta attualità ad ampio raggio sul GDPR, ma anche su intelligenza artificiale, cookie ecc. è il “decreto digital omnibus” europeo il quale, prendendo spunto dai timori del rapporto “Draghi” sulla scarsa competitività dell’Europa a causa della troppa burocratizzazione e protezione dell’utente, tenta di ritoccare simultaneamente GDPR, AI Act, direttiva E-privacy, NIS2 ed altre norme neanche ancora pienamente operative, con l’intento di ridurre i costi amministrativi delle PMI e renderle quindi più redditizie e competitive. Ad una prima lettura (il testo non è ancora definitivo), si rischia solo di abbassare la guardia e limitare i diritti dei cittadini, scaricando ulteriori responsabilità sulle PMI che devono decidere in autonomia e documentare le scelte effettuate su  cosa sia possibile fare o non fare con i dati personali, favorendo al tempo stesso i soliti “big data” stranieri, avallando l’impiego di informazioni solo fittiziamente anonime per una profilazione automatizzata ed esasperata dei cittadini europei.

Il finale d’anno rischia di rivelarsi burrascoso e dagli esiti estremamente incerti, in piena linea con gli avvenimenti geopolitici attuali tutt’altro che rassicuranti.

Fabrizio Bongiovanni - Pentha S.r.l. (pubblicato su La Guida - n.54/2025)

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

La corretta impostazione dei siti di e-commerce

L’utente deve essere libero di fare acquisti anche senza registrare un account

Valutare la sicurezza e l’affidabilità delle APP da utilizzare per scopi lavorativi

Regola fondamentale soprattutto per le aziende soggette a NIS2

Corso di formazione organizzato da Pentha S.r.l. sul Whistleblowing

La corretta impostazione del canale di segnalazione e delle relative procedure, aspetti normativi e adempimenti privacy