bilanciare innovazione e diritti fondamentali

Quello che, nondimeno, si presenta a prima vista come una virtuosa iniziativa di semplificazione amministrativa, potrebbe tuttavia celare insidie ben più profonde.

Nel pieno dell’era digitale, in cui lo scraping delle informazioni personali avviene su scala industriale e l’intimità individuale è quotidianamente violata da algoritmi sempre più precisi nella profilazione e nella categorizzazione delle persone, l’idea di ridimensionare un sistema di garanzie che ha fatto scuola a livello globale, non può che sollevare interrogativi.

Dalla trasparenza alla responsabilizzazione: i principi non negoziabili del GDPR

Il GDPR, in vigore dal 25 maggio 2018, si fonda su pilastri normativi solidi e ben articolati, già a partire dai “Considerando”, e in particolare dal n. 39, che sottolinea come qualsiasi trattamento di dati personali debba essere lecito, corretto e trasparente nei confronti dell’interessato. Tale affermazione, tutt’altro che retorica, si concretizza nei sei principi elencati all’art. 5 del Regolamento (UE) 2016/679, che definiscono la sostanza giuridica della protezione dei dati personali:

•  Liceità, correttezza e trasparenza
•  Limitazione della finalità
•  Minimizzazione dei dati
•  Esattezza
•  Limitazione della conservazione
•  Integrità e riservatezza

A questi si aggiunge, quasi in forma di sintesi, il principio di responsabilizzazione (accountability, art. 5, par. 2), secondo cui è il titolare del trattamento a dover dimostrare la conformità a tutti i requisiti previsti.

Questi principi rappresentano molto più che un decalogo burocratico: sono la declinazione giuridica di un’idea di società in cui l’individuo conserva il controllo sulle proprie informazioni e, di riflesso, sulla propria libertà.

PMI e GDPR: un binomio davvero incompatibile?

Non è un mistero che molte piccole e medie imprese percepiscano il GDPR come un fardello pesante e poco “commisurato” alla loro realtà. Moduli, informative, registro dei trattamenti, valutazioni d’impatto, designazione di un DPO: l’apparato regolatorio, se mal gestito, può effettivamente trasformarsi in una sovrastruttura difficile da interpretare, e più ancora da applicare.

É bene ricordare, inoltre, che il legislatore europeo non ha mai ignorato le specificità delle PMI. Il Considerando 13 del GDPR afferma chiaramente che le misure previste devono essere proporzionate ai rischi e alla natura del trattamento, mentre l’art. 30, par. 5 esonera le imprese con meno di 250 dipendenti dal tenere un registro dei trattamenti, salvo che il trattamento:

• possa presentare un rischio per i diritti e le libertà degli interessati;
• non sia occasionale;
• includa categorie particolari di dati o dati relativi a condanne penali e reati.

Ciò che manca, semmai, è un supporto strutturato e una maggiore diffusione della cultura digitale nelle imprese, più che un’ulteriore deroga alla disciplina.

I rischi di una riforma Gdpr non ben calibrata

Se la semplificazione si traducesse in un indebolimento dei diritti dell’interessato, allora il rischio non sarebbe solo giuridico, ma anche sociale e democratico. Come sottolineato nel Considerando 4 del GDPR, “il diritto alla protezione dei dati personali non è una prerogativa assoluta”, ma va considerato alla luce della sua funzione sociale e del rispetto di altri diritti fondamentali.

Ciò non implica, tuttavia, che debba essere ridimensionato in nome dell’efficienza o della competitività. Soprattutto in un contesto dominato da piattaforme e dispositivi che trattano miliardi di dati in modo automatizzato, e in cui le decisioni automatizzate possono incidere significativamente sulla vita delle persone (art. 22 GDPR), la protezione dei dati si configura come presidio essenziale di libertà.

Rinunciare a questo presidio significherebbe esporsi alla possibilità di derive autoritarie, manipolazioni commerciali, controllo sociale e sorveglianza di massa. Non a caso, il GDPR è considerato uno degli strumenti più robusti al mondo per la tutela della persona nell’ambiente digitale.

L’illusione della leggerezza normativa

Alcune proposte circolate informalmente parlano di un possibile abbattimento di obblighi documentali per le PMI, di riduzione dei requisiti di informativa e semplificazione degli adempimenti in fase di raccolta dati. Ma davvero possiamo pensare che il problema della competitività europea risieda nell’art. 13 del GDPR o nell’obbligo di designare un DPO in determinate situazioni?

Occorrerebbe, piuttosto, interrogarsi sul grado di maturità digitale del tessuto imprenditoriale europeo, sul ritardo nelle infrastrutture, sulla scarsa integrazione tra innovazione e diritti fondamentali. In questo quadro, la protezione dei dati non è un ostacolo, ma una leva strategicaper costruire fiducia nei servizi digitali, promuovere la trasparenza e garantire sicurezza giuridica.

Conclusioni: modernizzare senza smantellare

La riflessione sulla semplificazione del GDPR è necessaria. Dopo sette anni di applicazione, alcune aree del Regolamento richiedono maggiore chiarezza, altre potrebbero essere adattate meglio al contesto tecnologico attuale, soprattutto con l’emergere dell’intelligenza artificiale e del trattamento predittivo dei dati.

Semplificare non può e non deve significare diluire i principi fondanti. L’eventuale riforma dovrà, a mio avviso, mantenere intatta l’ossatura del GDPR, a partire dall’art. 5, che rappresenta la carta etica e giuridica del trattamento dei dati in Europa.

Semplificare sì, dunque, ma con cautela e ponderazione saggia e attenta degli interessi in gioco perché la tutela dei dati non è un orpello giuridico ma l’architrave di una società digitale che voglia definirsi veramente democratica.