C’è una cosa che in Italia facciamo meglio di tutti: sorprenderci di problemi che ci erano stati annunciati con mesi di anticipo. Ogni volta che il Garante pubblica un provvedimento, si levano commenti indignati: «Ma come?», «Chi poteva prevederlo?», «È assurdo!». In realtà, lo aveva previsto chiunque. Soprattutto il Garante. E anche noi, da anni.

Il punto è semplice: la privacy non è una seccatura, è gestione aziendale. Chi la tratta come burocrazia fa sempre la stessa fine: errori ripetuti, danni evitabili, figure imbarazzanti. Ecco i cinque più frequenti, quelli che nel 2025 non dovremmo più vedere e che invece ritroviamo come il panettone a gennaio.

1. Usare i dati senza sapere davvero chi li tratta

In teoria tutti hanno un registro dei trattamenti. In teoria. Poi li guardi e scopri fornitori mai valutati, piattaforme prese “perché ce l’hanno tutti”, personale che accede a tutto “per comodità”. Il risultato? Un ginepraio di responsabilità che nessuno governa. E quando arriva un’ispezione, l’azienda scopre che – sorpresa – non sa chi tratti cosa. Lo dice da anni il Garante: “controllare i fornitori non è un’opzione. È il minimo sindacale.” 

2. Pensare che l’informativa standard valga per qualsiasi cosa

In Italia si fa così: si prende un testo trovato online, lo si incolla ovunque e si pensa di essere a posto. Sito web, newsletter, videosorveglianza, personale, clienti, tutti con la stessa informativa. Peccato che siano trattamenti completamente diversi. Il Garante l’ha ripetuto infinite volte: «La privacy non è un copia-incolla». E ogni mese ne arriva la conferma in forma di sanzione.

3. Confondere marketing, gestione clienti e stalking digitale

Per molte aziende italiane il marketing funziona così: se uno ti dà la mail, lo contatti fino alla fine dei suoi giorni. Senza consenso, senza profilazione chiara, senza un CRM che separi chi ha detto sì da chi ha detto no. Poi qualcuno invia una email sbagliata a cento persone in copia visibile, parte la segnalazione e l’azienda scopre che “i dati personali non sono un gioco”. Il Garante lo scrive da anni: “Il marketing è lecito, ma non il far west.” 

4. Avere database che somigliano più a cantine che a sistemi informativi

Le aziende accumulate dati come si accumulano vecchi mobili: «Non si sa mai». Risultato: archivi pieni di informazioni inutili, duplicati, file dimenticati, vecchi backup mai cancellati. È il trionfo dell’entropia digitale. Quando avviene una violazione, il Garante lo fa notare con la pazienza di un professore di liceo: «La minimizzazione non è un’opinione. È un obbligo.» E se si violano dati che l’azienda non avrebbe nemmeno dovuto conservare, la figuraccia è doppia.

5. Trattare l’AI come un giocattolo da laboratorio

L’AI spunta ovunque: nelle risorse umane, nel marketing, nelle decisioni aziendali. Tutti la usano, pochi la controllano. Regole? Valutazioni di rischio? DPIA? Tracciabilità? “Vediamo più avanti”. Poi arriva un provvedimento, e l’azienda si accorge che il suo m odello prevedeva, profilava, decideva… senza alcun controllo. Da mesi il Garante ripete che l’AI è un trattamento di dati, non un passatempo per smanettoni. Chi continua a ignorarlo si è già messo nei guai senza saperlo.

La verità è semplice: questi non sono capricci europei o rigidità normative. Sono regole di buon senso per evitare errori che costano tempo, soldi e reputazione. Il Garante lo ripete da anni. Noi lo ripetiamo da anni. Ma una parte delle aziende continua a stupirsi quando arriva la sanzione, come se fosse piovuta dal cielo. A questo punto la frase più onesta sarebbe una sola: “Ve l’avevamo detto.” E ora ve lo dice anche il Garante, CONTINUAMENTE, in Gazzetta.