Un’osservazione apparentemente banale, ma che forse a molti sfugge. Dopo ben 173 “considerata”, il primo articolo del GDPR pone un punto fermo fondamentale e testualmente recita “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati".

Potrebbe quasi apparire una semplice affermazione di principio, ma è una fondamentale statuizione a livello europeo, e non certo locale, con cui si certifica come al centro del sistema vi sia l’individuo in quanto persona e la protezione dei suoi dati. A differenza della precedente normativa nazionale non è più, quindi, la persona ad autorizzare genericamente al trattamento dati, firmando consensi che, talvolta, autorizzavano usi indiscriminati dei dati personali: dati che, in alcuni casi in maniera incosciente, venivano messi nella disponibilità non solo di chi li riceveva con un semplice click o una firma.

• A Tutela del singolo cittadino

Pertanto se ci dovessimo chiedere da chi devono essere difesi gli utenti, consumatori, persone fisiche o aziende che mettono nella disponibilità di altri i propri dati personali, la risposta ben potrebbe essere che si cerca di proteggerli non solo da abusi nell’uso di questi dati da parte di chi li riceve, ma anche e principalmente da se stessi. Non esiste purtroppo, ancora, una cultura della protezione del dato nel nostro paese; si parla ancora, impropriamente di privacy, ritenendo che le due cose coincidano, in ciò fuorviati anche dall’attribuzione di una denominazione impropria per il garante che, forse, più opportunamente doveva chiamarsi ”della protezione dati personali e della riservatezza". Troppo lungo, ma questo è il concetto che deve essere diffuso. Non solo per fare chiarezza, ma anche per far comprendere come il GDPR sia uno strumento messo in mano a utenti spesso inconsapevoli delle conseguenze che possono derivare da un utilizzo improprio, illecito o comunque non autorizzato dei loro dati personali.

E non vogliamo riferirci solo a chi, per un obbligo di legge o per la conclusione di un contratto, deve necessariamente comunicare i propri dati, ma anche al popolo della rete. Questa moltitudine di naviganti è, in ogni momento della giornata, connesso con dispositivi esposti ad attacchi da parte di hacker e ladri di identità, ma anche al pericolo che i gestori della più semplice app possano usare i loro dati per attività di marketing, profilazione o, peggio ancora, uso illecito in una sede elettorale. Logico corollario di ciò, rendere edotto l’interessato dei suoi diritti, ben definiti nel testo della norma e che devono poi essere inseriti in informative chiare ed esaustive di cui il Titolare del trattamento deve accertarsi che siano sufficientemente comprese al fine di ottenere un valido consenso che, diversamente, non legittimerebbe l’attività di trattamento.

• Utile strumento per le aziende

Oltre che per ogni privato, tuttavia, il GDPR dovrebbe essere visto come un importante elemento dell’organizzazione e di migliore gestione da parte delle aziende, che dovranno obbligatoriamente adottarlo. Purtroppo per quasi tutte, e in particolar modo quelle di piccole dimensioni e per i singoli professionisti, si tratta solo di un costo e una maggiore attività burocratica da porre in essere. Un altro ulteriore balzello da pagare ad un’Europa vista più che mai come nemica. Non è così. Non deve essere così.  A parte per evitare pesanti e gravose sanzioni e provvedimenti di accertamento, il GDPR può benissimo porsi come valido strumento per incrementare la sicurezza, la protezione e, non solo di riflesso, la produttività, ma anche un efficace mezzo per conoscere i propri clienti, ottimizzare in maniera mirata la raccolta dati e, in non ultima sintesi, dare un’immagine estremamente positiva in un mercato globale in cui il dato del cliente è importante patrimonio di ogni azienda.

Ancora manca questa cultura; il report di Ernst & Young sulla security per il 2018-2019 offre dati sconcertanti: il 97% delle aziende italiane non destina risorse adeguate e sufficienti alla protezione dati nonostante ben il 62,5% delle imprese italiane abbia registrato almeno un incidente informatico significativo. Il numero delle segnalazioni al Garante è in aumento, e non potrà che alzarsi se si pensa che le comunicazioni di violazioni possono essere presentate da “chiunque”, ivi comprese associazioni di consumatori o simili. Quello verso la cultura della protezione del dato è un percorso ancora lungo. Il timore è che in molti lo intraprendano quando sarà troppo tardi: dopo una sanzione.