È un tema delicatissimo, all’ordine del giorno delle Autorità come dei board di grandi e piccole imprese, e, soprattutto, cruciale per il futuro pandigitale e metaversale che ci attende: si può concepire una valorizzazione economica dei dati personali – per esempio tramite profilazione comportamentale o marketing personalizzato – senza il consenso dell’interessato? O, perfino, senza fondare il trattamento su nessuna delle basi giuridiche indicate nell’articolo 6 del GDPR?

In questi giorni caldi di polemiche e di acceso dibattito sulla app nazionale di contact tracing c'è un aspetto sul quale è stato posto poco l'accento: la cessione di privacy che i lavoratori dovranno concedere alle loro aziende. Ammesso che l'app nazionale di contact tracing (Immuni) possa funzionare con efficacia, si dovrà comunque prevedere anche una strategia di controlli anti-Covid-19 tecnologici diffusi e distribuiti sul territorio. Solo grazie al controllo «decentralizzato», e quindi all'impegno proattivo, innovativo e coordinato di imprese, enti pubblici e parti sociali, si potranno adottare misure preventive adeguate e capillari.

Il Garante Privacy italiano in coda di mandato ha deciso una sanzione – 27,8 milioni di euro a Tim per il telemarketing – che ha permesso all’Italia di scalare di colpo la classifica delle sanzioni Gdpr, ora secondi solo al Regno Unito. Ma c’è poco da festeggiare. Il Gdpr ha introdotto elementi di incertezza del diritto che rischiano facilmente di collidere con i principi essenziali del potere sanzionatorio amministrativo: il Regolamento europeo per la protezione dei dati personali è insomma uno strumento sì prezioso, ma da usare con cautela.

Il 2020 inizia con una certezza che taluni spaesati ritardatari, ancora e purtroppo per loro, non hanno colto: il vento è cambiato, i diritti, doveri e obblighi dei dati – personali e non – hanno conquistato il mondo. Condivido allora tre brevi riflessioni con i lettori, a questo proposito.

I tempi sono cambiati, anche per l'amministrazione dello Stato, perfino per il fisco. Non si può più relegare la privacy a un perimetro marginale, formalistico, eventuale, perché tutto, ormai, è fatto di dati e regolato attraverso i dati. Ce lo ricorda il parere espresso dall'Autorità Garante per la protezione dei dati personali, con un avvertimento – severo – su due provvedimenti del Direttore dell'Agenzia delle Entrate: uno contenente regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche, e l'altro sulle modalità di conferimento e revoca delle deleghe per l'utilizzo dei servizi di fatturazione elettronica.