Le prime tre immagini sono screenshot delle pagine istituzionali di comuni italiani di cui si può leggere il nome: Cerveteri e Ladispoli, in provincia di Roma, e Vibo Valentia. Il Quarto è preso dalla pagina di una società che offre servizi legali. L’ultimo screen, è ancora più emblematico in quanto si tratta di quello del comune di Marentino, già salito alle cronache quando, durante il lockdown, un cryptoLoker aveva permesso a dei criminali informatici di impossessarsi dei dati dell’anagrafe.

Basta poco per rendersi conto di come non vi sia stata, nelle realtà istituzionali di Cerveteri, Ladispoli e Vibo Valentia, alcuna attenzione o interesse nei confronti di una normativa cogente a livello europeo. Non vi è stato rispetto neppure verso il cittadino, che ben potrebbero rivolgersi al garante. L’informativa per il trattamento dati è ferma al D. Lgs. 196/2003 con tutte le possibili conseguenze: viene da sperare che almeno i sistemi siano stati comunque messi a norma ma, sicuramente, anche un eventuale DPO nominato ha prestato scarsa attenzione ad un aspetto fondamentale della disciplina. Nel caso di Marentino si confida che sia stata solo leggerezza quella di mantenere nell’intestazione della pagina sulla privacy il riferimento all’articolo 13, che disciplinava il consenso nella precedente disciplina e abrogato dal successivo D. Lgs. 101/2018. Forse qualcuno ha pensato che, nel dubbio, fosse meglio abbondare e che nel più ci sta il meno; ma leggere sulla ufficiale di una pubblica amministrazione norme abrogate, non è certo un’immagine ideale.

Peggiore ancora il caso dell’azienda che, oltretutto fornendo servizi legali, non solo sembra si sia limitata a raccogliere in rete una delle tante policy prestampate, ma non si è neppure curata di andare a leggere che cosa stava pubblicando. A ulteriore dimostrazione del disinteresse dell’imprenditore e dell’ignoranza di chi ha realizzato l’informativa, il Titolare del Trattamento è l’azienda in persona del suo legale rappresentante: non si può inserire una figura a caso.

In non poche realtà sono stati nominati titolari del trattamento, ma anche DPO, gli amministratori di sistema, le segretarie, un dipendente scelto tra chi era più bravo con la tastiera. Andando a cercare in rete, di casi del genere se ne possono trovare decine anche in contesti importanti; alcuni Tribunali, pur avendo messo a norma almeno le pagine web, usano al loro interno modulistica con l’indicazione ancora della vecchia normativa. Speriamo si tratti solo di smaltimento di scorte pregresse per non aggravare di costi la già martoriata Giustizia.

Da queste e da altre situazioni emerge come ci sia ancora molto da fare sulla strada della protezione del dato in Italia: probabilmente, fino a quando non arriveranno le prime salate sanzioni da parte del Garante, la maggior parte delle aziende e, a quanto pare anche alcune pubbliche amministrazioni, continueranno a prendere il problema con grave negligenza, magari confidando che l’attenzione del Garante sia rivolta solo a situazioni più importanti o che trattano enormi quantitativi di dati. Tutto ciò lo vediamo anche quando un social ci rimanda alle pagine aziendali di un inserzionista o di un sito utilizzato per promuovere un’attività: troppo spesso per continuare la navigazione sono chiesti dati ulteriori e non pertinenti. Richieste di telefono e indirizzo che non possono essere lasciate in bianco per chi volesse ottenere un E-book gratuito o iscriversi ad una mailing list; spesso anche l’indicazione dell’orario per essere contattati telefonicamente.

Dall’altro lato, quello dell’utenza, peraltro, si sente sempre più invocare un’esigenza di privacy che si assume violata, citata spesso fuori luogo e confusa con la protezione del dato personale. Sarà un duro percorso.