Il GDPR, dopo aver precisato nei primi articoli che la sua applicazione riguarda di fatto tutti coloro che trattano dati personali, all’articolo 4 fornisce una definizione chiara ed esaustiva di che cosa siano questi dati all’art. 4.1: per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Per gli operatori, titolari e responsabili, è una definizione che comporta non poche scelte e conseguenze, in quanto impone la scelta di linee operative rigorose nelle policy da adottare in un’azienda, applicando i principi di privacy by design e by default, vale a dire di personalizzazione, nonché della minimizzazione dei dati da raccogliere.

In concreto ogni azienda si trova quasi in una posizione di dover responsabilizzare il proprio cliente e fornitore non solo nel richiedere solo i dati indispensabili, ma anche nell’evitare che questi ne invii oltre il necessario per la tipologia di attività richiesta. Paradossalmente un’azienda, che ha necessità di conoscere quanti più dati possibili dei suoi clienti per customizzare i servizi, si trova nella posizione di non poterlo fare e, magari, deve invitare la sua utenza a limitarsi nell’esporli, compiendo quell’attività di promozione della cultura della protezione del dato che decisamente latita.

Ciò diventa oltremodo necessario se andiamo al successivo art. 9 del Regolamento, che indica quelli che vengono definiti dati particolari e che fin dal nascere della precedente normativa definiamo sensibili, vale a dire quelli rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, nonché quelli genetici e biometrici intesi a identificare in modo univoco una persona fisica, oltre a quelli relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Tutto ciò, paradossalmente, avviene in un contesto sociale in cui internet e gli strumenti di connessione che ormai governano il nostro quotidiano, inducono sempre più a esporre non solo i nostri dati più strettamente identificativi, ma anche quelli che rivelano la nostra personalità e i nostri gusti. Un esempio banale? Un gioco in cui decidere se il nemico debba essere di un determinato colore o etnia, o la app con cui ogni giorno scegliamo se mangiare carne o solo ed esclusivamente vegetali. Si tratta di piccoli particolari sui quali, purtroppo, non ci si sofferma nel momento in cui, con il tocco di un dito, rispondiamo “SI” alla domanda se abbiamo letto, compreso, e accettato, le condizioni e le clausole di navigazione sul sito e le relative policy di trattamento dati. Inutile dire che moltissimi siti, anche se aggiornati nella grafica e nei contenuti, portano ancora l’indicazione del D. Lgs. 196/03 e al suo articolo 13 abrogato nel 2018.

Non è un quadro di semplice lettura nel suo complesso e gli operatori non possono non considerare il sempre crescente rischio di attacchi informatici, oltremodo aumentati durante il periodo di emergenza per Covid 19. Non è notizia nuova che i dati personali sono un bene prezioso e sempre più ricercato: ne sanno qualcosa le aziende già sanzionate dal Garante e la stessa Facebook che ha dovuto togliere dalla propria schermata di accesso l’affermazione che l’iscrizione è gratuita: il TAR del Lazio ha stabilito che gli iscritti hanno pagato con i propri dati. Dati che il social mai ha protetto ed ha utilizzato; adesso a proteggerli toccherà alle imprese che li avranno ma, prima di tutto, agli utenti stessi.