La norma, come è noto, non può avere l’ambizione di inseguire la tecnologia, altrimenti sarebbe destinata a uno scenario terribilmente somigliante al paradosso di Achille e la Tartaruga.

Soprattutto una normativa complessa e correlata all’evoluzione tecnologica come la protezione dei dati personali può dunque soffrire (e far soffrire) rilevanti incertezze quando dalle prescrizioni generali ed astratte deve derivare un precipitato operativo.

Ecco, dunque, che l’azione coordinata delle autorità di controllo, ma soprattutto gli interventi giurisdizionali da parte del Tribunale o della Corte di giustizia dell’Unione europea (CGUE) svolgono quel tuning utile per definire la corretta applicazione della norma.

Infatti, pur in assenza del vincolo dello stare decisis, la Corte opera con un elevato grado di coerenza e continuità consolidando orientamenti stabili.

Evenienza ricorrente soprattutto nelle questioni che riguardano i principi fondamentali e la declinazione della normativa in settori in rapida evoluzione come il legal tech.

Criteri orientativi per la data strategy

Dal momento che sia la dottrina sia le singole pronunce sono sistematicamente citate tanto dalle autorità di controllo che dall’EDPB come fonti per dirimere le questioni sottoposte alla loro attenzione, le sfumature interpretative fornite da parte della CGUE assumono un ruolo fondamentale nell’evoluzione del quadro normativo in materia di protezione dei dati personali.

Organizzazioni e professionisti sono di conseguenza chiamati a (ri)conoscere le implicazioni di particolare impatto derivanti da sentenza quali, ad esempio, le più recenti che hanno riguardato il concetto di dato personale, o il trasferimento dei dati negli Stati Uniti.

Non cogliere queste sfumature comporta che la data strategy sarà condotta senza un orientamento definito.

E quindi le uniche sfumature che si potranno apprendere sono quelle di orizzonti incerti.