Maggio è tradizionalmente il mese delle rose ma, per chi si occupa di diritto e innovazione, ha anche il profumo della privacy, considerato che nei giorni scorsi abbiamo festeggiato un nuovo compleanno del GDPR, che formalmente nasce in Europa nel 2016 e muove i primi passi dal 25 maggio 2018 con la sua piena applicabilità.
Quale occasione migliore per fermarsi a riflettere su ciò che è cambiato – e soprattutto su ciò che ancora deve cambiare?
Nei primi anni, il tema della protezione dei dati personali è stato vissuto da molte aziende come un adempimento prevalentemente documentale e per alcuni un’ulteriore stratificazione burocratica, spesso sospesa a mezz’aria tra forma e sostanza, non sempre realmente integrata nella vita dell’organizzazione. Col tempo, però, e oggi forse più che nel 2018, abbiamo iniziato a comprendere davvero cosa rappresentasse quel regolamento. Perché il GDPR non parlava soltanto di privacy. Parlava di civiltà digitale.
In questo mese di maggio, allora, forse il modo migliore per fare idealmente gli auguri al GDPR è tornare a una delle riflessioni più lucide e visionarie elaborate in Europa sul futuro della società digitale: Privacy 2030, il manifesto lasciato da Giovanni Buttarelli, magistrato italiano, docente universitario e Garante europeo della protezione dei dati dal 2014 fino alla sua scomparsa.
A distanza di anni, molte delle sue intuizioni appaiono oggi quasi profetiche a cominciare da quanto soleva ripetere spesso: “Porre la dignità al centro dello sviluppo tecnologico significa definire i valori del futuro”. Nel suo pensiero, la protezione dei dati personali non è mai stata concepita come una disciplina esclusivamente tecnica o burocratica, ma piuttosto come una risorsa, uno strumento abile per la difesa della dignità umana in un ecosistema tecnologico sempre più pervasivo che può pesare sull’identità, sulla libertà decisionale, sulla costruzione dell’opinione, sull’autenticità delle relazioni sociali e perfino sulla qualità democratica dello spazio pubblico digitale.
Ed è impossibile non cogliere oggi l’attualità e la gravità di quella visione.
È significativo che proprio il nostro Garante Privacy, nelle sue più recenti riflessioni, abbia richiamato il tema della “collaborazione proattiva delle aziende” nella lotta contro deepfake e disinformazione. Un passaggio di grande impatto, perché introduce un principio destinato a ridefinire profondamente il concetto moderno di compliance: le imprese non possono più limitarsi al rispetto formale delle norme, ma sono chiamate ad assumere una responsabilità attiva nella tutela dell’ecosistema digitale.
Oggi sappiamo bene che la compliance non si esaurisce nel solo GDPR e che la responsabilità dell’impresa non coincide più con il semplice adempimento normativo. La crescente capacità delle tecnologie digitali — e il rischio di un loro utilizzo distorto — sta modificando rapidamente il concetto stesso di rischio aziendale. Eppure, proprio in questo scenario, il GDPR appare meno “vecchio” di quanto molti immaginassero.
Anche il principio di accountability, principale novità e pilastro del GDPR, assume oggi un significato ulteriore.
Non vuol dire soltanto dimostrare di aver adottato misure tecniche o predisposto policy interne su misura, ma vuol dire anche dimostrare di aver compreso il rischio umano, sociale e democratico connesso all’uso delle tecnologie. Non si tratta più soltanto di stringere l’obiettivo su software, cybersecurity o infrastrutture digitali, ma si tratta della capacità di interpretare le conseguenze che le nuove tecnologie producono sulla responsabilità delle imprese, sulla reputazione, sulla libertà delle persone, sulla validità delle decisioni e sulla fiducia collettiva.
È questa la lettura più profonda del GDPR che l’indimenticato Prof. Giovanni Buttarelli aveva intuito prima di molti altri: il futuro della privacy non avrebbe riguardato esclusivamente i dati personali, ma la qualità stessa della convivenza digitale.
Rileggere oggi, in occasione di questo anniversario del GDPR, il suo “decalogo per una privacy sostenibile” significa concedersi non solo una fotografia ancora straordinariamente attuale del presente, ma anche una delle immagini più autentiche e credibili del nostro futuro digitale.
In conclusione, ricordo che il bilancio sul decennale del GDPR è stato al centro di un importante webinar che ha visto coinvolti alcuni consulenti dello Studio Legale Lisi e che si può liberamente rivedere su DIGEAT TV. L’incontro ha offerto numerosi spunti di riflessione grazie al confronto tra gli Avv.ti Andrea Lisi e Sarah Ungaro e autorevoli rappresentanti dell’Autorità Garante per la protezione dei dati personali e dell’ACN che consiglio a chiunque voglia approfondire il tema.
