Siamo ormai abituati a sentire parlare di dati personali: nome, cognome, codice fiscale, e-mail, posizione GPS, preferenze. Tutto ciò che può ricondurre, direttamente o indirettamente, a una persona fisica rientra nell’ambito del GDPR e viene protetto da un quadro normativo preciso. Lo conosciamo, lo temiamo, lo gestiamo. Ma cosa succede con tutto il resto? Con quei dati che non parlano apparentemente di nessuno?

L'importanza della corretta gestione dei dati

I cosiddetti dati non personali sono informazioni che, prese da sole, non permettono di identificare una persona. Possono essere numeri di produzione, andamenti termici, consumi di macchinari, frequenze di vibrazione, coordinate geografiche di un trattore in campo, livelli di pressione rilevati da un sensore, performance aggregate di una linea industriale, oppure anche dati di mercato raccolti da fonti pubbliche o pseudonimizzate. In teoria, sono neutri. Nessuno dovrebbe poterne abusare. Non sono soggetti al GDPR. Eppure, nella realtà, le cose sono più complicate.

Approfondisci > Pseudonimizzazione dei dati: che cosa è, a che cosa serve

Viviamo in un’epoca in cui l’elaborazione automatizzata e l’incrocio di più fonti possono trasformare una semplice lettura termica in un’informazione sensibile. Se un dato rivela che un macchinario si accende sempre a una certa ora e, incrociandolo con il badge del manutentore, mostra chi era presente in quel momento, allora quel dato diventa personale. Se i consumi di corrente vengono tracciati insieme ai log di accesso degli operatori, si può ricostruire non solo cosa è successo, ma chi lo ha fatto.

Se la geolocalizzazione di un veicolo aziendale viene combinata con orari di consegna e turni di lavoro, si può identificare il dipendente in servizio. Il dato nasce non personale, ma può essere ricollegato all’identità di qualcuno. Ed è qui che iniziano i rischi. 

Potrebbe interessarti > Dati di geolocalizzazione: il dipendente ha diritto di accesso

Le aziende gestiscono una mole enorme di dati non personali. Li producono i PLC nelle linee di montaggio. Li archiviano i sistemi SCADA. Li elaborano le dashboard di business intelligence. Li ricevono le piattaforme IoT. Li analizzano i software di manutenzione predittiva. Li visualizzano i tool di marketing per analisi aggregate. Li importano da partner esterni, sensori, fonti open data. Ma quanti sono davvero protetti? Dove li conservano? Chi può accedervi? Come sono classificati?

Molto spesso, la risposta è una sola: non lo sappiamo.

Eppure, questi dati, anche se non ricadono formalmente nel perimetro del GDPR finché restano anonimi, sono a tutti gli effetti un asset aziendale strategico. Possono valere milioni. Possono rivelare il funzionamento di un processo industriale. Possono rappresentare un vantaggio competitivo ma anche essere oggetto di sottrazione, perdita, manipolazione.

Cosa accade in caso di data breach? Se i dati sono personali, il GDPR impone la notifica entro 72 ore. Ma se il data breach riguarda dati non personali, il danno può essere altrettanto grave. Non scattano solo responsabilità tecnologiche, ma anche legali e contrattuali. Si può violare un segreto industriale, un accordo di riservatezza, un obbligo verso clienti o fornitori. E si può compromettere la fiducia nel brand. Non esiste algoritmo affidabile se è stato addestrato su dataset compromessi. E non esiste reputazione che regga, se i nostri dati sono finiti nelle mani sbagliate.

Il GDPR garantisce la libera circolazione dei soli dati non personali, a patto che restino davvero tali. La Data Act, già in vigore e applicabile dal 12 settembre 2025, impone obblighi di trasparenza, disponibilità e condivisione dei dati generati da prodotti smart. Anche qui, si tratta in larga parte di dati non personali. Ma se non sappiamo dove sono, come li proteggiamo?

Vuoi saperne di più > Scopri il Data Act

L’unica risposta possibile è un modello di gestione unico per tutti i dati. Non basta dire “questo non è un dato personale, quindi non mi riguarda”. Ogni informazione che attraversa la nostra rete aziendale è potenzialmente preziosa, potenzialmente pericolosa, potenzialmente personale. Serve un’architettura chiara: mappatura dei flussi, sistemi di accesso controllato, tecniche di anonimizzazione robuste, audit regolari, formazione del personale, piani di emergenza in caso di incidente. Chi lavora con i dati non può più permettersi l’ingenuità di separarli in buoni e cattivi, personali e non. Deve gestirli tutti con metodo e con visione.

Conclusioni 

Non serlve una legge per sapere che un bene va protetto. Basta capire quanto vale. Ecco perché, da domani mattina, non ci serve una policy in più, ma una mentalità diversa.

Perché chi non sa cosa possiede, non può sapere cosa sta perdendo; e se non governi tu i tuoi dati, lo farà qualcun altro al posto tuo. In sintesi, la responsabilità non si delega. Vale per le decisioni, vale per il futuro, vale per i dati. E se ti accorgi del problema quando è già successo, è tardi. Troppo tardi.