Tra i sempre più numerosi provvedimenti del Garante troviamo aziende di ogni dimensione, settore e livello di notorietà. Non c’è distinzione geografica, giuridica o dimensionale che tenga: dai comuni alle multinazionali, nessuno può più dire “non lo sapevo”. Eppure, molti fanno finta di crederci.

Il caso 

Siamo al paradosso per cui una PMI che investe in social media e automazione non ha mai sentito parlare seriamente di accountability. E intanto i provvedimenti si accumulano. Postel S.p.A. è stata sanzionata per 900.000 euro dopo aver ignorato una vulnerabilità informatica nota, lasciando che un attacco ransomware colpisse al cuore un archivio contenente dati personali e sensibili – salute, appartenenze sindacali, informazioni che oggi, in epoca di profilazione digitale, valgono più del bilancio. Ma il vero problema è la filosofia: l’inerzia di chi pensa che “prima o poi lo sistemiamo”, come se la sicurezza fosse un’estensione della burocrazia. Invece è una responsabilità. E non di poco conto.

Un’altra azienda, sempre nel 2024, ha ricevuto una sanzione da 80.000 euro per aver effettuato backup delle mail aziendali durante il rapporto di lavoro, accedendo liberamente ai contenuti. Controllare i dipendenti senza trasparenza o base legale non è solo una leggerezza, è una violazione sistematica della fiducia. E chi lavora con la paura di essere osservato non lavora meglio: lavora meno, lavora male, si difende invece di collaborare.

Nel settore pubblico la situazione non è più rosea. Il Comune di Treviso ha pensato di mettere a disposizione dei cittadini un’app chiamata “TrevisoSicura” senza prevedere adeguate misure di protezione dei dati. Si potevano inserire segnalazioni in testo libero, senza alcun controllo su ciò che veniva trasmesso, né sulle conseguenze di eventuali rivelazioni. La sicurezza – in questo caso – era solo nel nome dell’applicazione. Madignano, invece, installava telecamere in biblioteca come si appenderebbero quadri in ufficio: senza valutazione d’impatto, senza informativa, senza riflettere che anche leggere un libro in silenzio può essere un atto privato.

Ora, si potrebbe pensare che questi siano episodi isolati. Che riguardino realtà impreparate, marginali. Ma il punto non è questo. Il punto è che il Garante – italiano o europeo – non guarda e basta. Vede. Registra. Controlla. E quando interviene, non lo fa per ammonire con bonomia, ma per sanzionare con decisione. La disinformazione diffusa all’interno delle imprese è un problema strutturale.

Il DPO viene spesso nominato perché “così si fa”, senza che nessuno si preoccupi di ascoltarlo davvero. Le informative vengono copiate da Internet. I registri dei trattamenti sono scheletri di Word compilati a metà. Il personale non riceve formazione, ma magari ha l’adesivo GDPR sul monitor. È una commedia, se non fosse una tragedia per i bilanci.

Nel frattempo, l’Europa si muove. La CNIL francese è in prima linea con interventi su big tech e pubblica amministrazione. I Garanti tedeschi agiscono con rigore svizzero. E l’Irlanda, sede legale di molti colossi digitali, ha dovuto svegliarsi dopo anni di sonnolenza regolatoria. Il messaggio è chiaro: l’epoca dell’indifferenza è finita. O ti adegui, o paghi. E se oggi hai evitato il controllo, non è perché sei stato furbo, ma solo fortunato. E la fortuna, lo diceva anche Napoleone, non è una strategia.

Serve un cambio di paradigma. I dati non sono numeri. Sono persone. Sono identità. Ogni trattamento è un’interazione, ogni database è un frammento di vita altrui. Non esistono situazioni “tipiche” e “atipiche”: ogni dato può essere neutro o devastante, a seconda del contesto. E il contesto cambia, sempre. È tempo che le imprese smettano di cercare il minimo sindacale della compliance e inizino a vivere la protezione dei dati come cultura aziendale. Il GDPR è il punto di partenza, non di arrivo.

L’AI Act aggiungerà nuovi obblighi, nuovi rischi, nuove responsabilità. Ma anche qui, la risposta non può essere “adattiamo un paio di documenti”. Servono valutazioni d’impatto, supervisione umana, formazione costante, dialogo interno tra legale, IT, marketing e direzione. È governance, non reazione.

Potrebbe interessarti > L’Unione Europea ha pubblicato in Gazzetta Ufficiale l’AI Act, il regolamento che stabilisce le prime regole al mondo sull'intelligenza artificiale

Approfondisci > La portata dell’AI Act

Conclusioni 

Chi ancora crede che basti un’informativa ben scritta per mettersi al riparo, si prepari a un brusco risveglio. Perché il Garante non si annuncia con una telefonata di cortesia. Arriva. E quando arriva, non chiede come stai. Chiede come tratti i dati. Come proteggi le persone. Come hai implementato la normativa. E se la risposta è vaga, ti presenta il conto. In euro, ma anche in reputazione.

E allora il punto è questo, semplice quanto implacabile: il prossimo potresti essere tu. Potresti scoprire che la tua compliance non è così perfetta come pensavi. Che quell’incarico a un consulente non aggiornato, quella valutazione saltata, quella mail inviata con troppa leggerezza, sono l’inizio di un percorso che ti porterà a leggere il tuo nome – o quello della tua azienda – tra i provvedimenti del Garante. E non sarà un buon giorno.