Oggi, 28 Gennaio, celebriamo la Giornata Mondiale della Protezione dei Dati.
Ma sapete perché proprio oggi?
Dobbiamo tornare al 28 Gennaio 1981.
In quel giorno veniva aperta alla firma la Convenzione 108 del Consiglio d'Europa.
Fu una rivoluzione silenziosa: il primo strumento internazionale legalmente vincolante per proteggere le persone dall’ uso improprio dei dati automatizzati.
Spesso dimenticata dai non addetti ai lavori, fu in realtà una rivoluzione silenziosa. Per la prima volta nella storia, il legislatore non guardava più solo ai documenti cartacei chiusi in un archivio, ma alzava lo sguardo verso il futuro: l’informatica.
Oltre i confini nazionali: Fu il primo strumento internazionale legalmente vincolante. Stabilì che la protezione della vita privata non poteva fermarsi alla frontiera di uno Stato, specialmente in un mondo che iniziava a connettersi.
La persona al centro, non il computer: Introdusse un concetto allora d’avanguardia: l’individuo deve avere il controllo sull'uso improprio dei dati automatizzati. Non era più solo "privacy" (intesa come diritto a essere lasciati soli), ma "protezione dei dati" (diritto a sapere come vengono usati).
I principi cardine: Già nel 1981 si parlava di dati "esatti", "conservati per scopi determinati" e "non eccedenti rispetto alle finalità". In pratica, il DNA del nostro attuale GDPR è stato scritto allora.
Se nel 1981 la sfida era regolamentare i primi grandi database governativi, oggi quella sfida si è spostata nei data center dei giganti del web. Quella "rivoluzione silenziosa" iniziata 45 anni fa trova oggi la sua massima espressione nelle aule di giustizia.
Mai come oggi, infatti, commemorando questa giornata, il rapporto tra grandi piattaforme digitali e utenti ha appena vissuto un momento di svolta.
Il legame tra il 1981 e oggi non è solo simbolico. Se la Convenzione 108 ha piantato il seme, la recente sentenza 6 Ob 189/24y della Corte Suprema austriaca ne rappresenta il frutto più maturo.
Non si tratta solo dell'ennesimo capitolo del contenzioso tra l'attivista Max Schrems e Meta, ma di un chiarimento che ridefinisce i confini del potere delle grandi piattaforme.
La decisione affronta tre pilastri del GDPR che impattano direttamente sulla gestione quotidiana dei dati nelle organizzazioni moderne.
Uno dei punti più innovativi riguarda l’Articolo 15 del GDPR.
Spesso, le aziende rispondono alle richieste di accesso ai dati fornendo report standardizzati o parziali.
La Corte Suprema ha stabilito che l'accesso deve essere pieno e sostanziale.
Il titolare del trattamento non può limitarsi a mostrare ciò che ritiene rilevante: l'utente ha il diritto di conoscere l'origine esatta dei dati, le finalità specifiche e i destinatari.
Il messaggio è chiaro: la trasparenza non è un gesto di cortesia, ma un obbligo di precisione informativa.
Per anni si è discusso se la pubblicità personalizzata potesse essere considerata "parte integrante" del contratto di servizio di un social network.
I giudici austriaci, seguendo la scia della Corte di Giustizia UE, hanno risposto negativamente: la profilazione commerciale non è indispensabile per fornire il servizio.
Si tratta di un interesse economico del fornitore che, per essere lecito, richiede una base giuridica diversa (come il consenso esplicito) e non può essere imposto come clausola contrattuale necessaria.
Un altro aspetto delicatissimo riguarda i dati raccolti tramite plugin e pixel su siti terzi.
La Corte ha chiarito che il semplice fatto di visitare un sito (ad esempio un portale legato alla salute o alla politica) non significa che l'utente stia "rendendo manifestamente pubblici" i propri dati sensibili. Senza un consenso specifico e inequivocabile, il trattamento di queste informazioni che possono rivelare l'orientamento politico, religioso o lo stato di salute rimane vietato.
Questa pronuncia ci insegna che il GDPR sta evolvendo verso una tutela sostanziale e non solo formale.
Le aziende e i professionisti sono chiamati a una riflessione profonda:
In un panorama giuridico in cui il "giudice nazionale opera come giudice europeo", queste sentenze diventano rapidamente standard operativi anche in Italia.
Comprendere queste dinamiche permette di gestire il patrimonio informativo non come un peso burocratico, ma come un asset basato sulla fiducia.
La protezione dei dati, in ultima analisi, non è altro che la protezione della fiducia che i clienti e gli utenti ripongono nelle organizzazioni.
La complessità di queste normative richiede un aggiornamento costante e una visione d'insieme che unisca l'aspetto legale a quello tecnologico.
La sfida del futuro non sarà solo "essere a norma", ma essere capaci di spiegare con chiarezza come e perché trattiamo i dati che ci vengono affidati.
Qual è la tua opinione sul diritto di accesso integrale? Ritieni che le attuali procedure aziendali siano già pronte per questa totale trasparenza?
