In molte organizzazioni il GDPR viene frequentemente interpretato come una normativa in materia di privacy o, al più, come una disciplina di natura tecnica relativa alla gestione dei dati personali.

Questa lettura è riduttiva e impedisce di cogliere la natura più profonda di questa fondamentale normativa.

Il Regolamento, in realtà, costruisce un vero e proprio sistema di governo del potere informativo, stabilendo, in relazione al trattamento di dati personali, chi può decidere, su quali basi, con quali limiti e con quali responsabilità.

Ecco perché il Regolamento va visto come architettura del potere informativo, perché il trattamento di dati personali non è mai neutro e perché la protezione dei diritti fondamentali passa attraverso il controllo delle decisioni che quei dati rendono possibili.

Dove c’è potere, serve governo

Ogni volta che un’organizzazione raccoglie, utilizza o mette in relazione dati personali, esercita una forma di potere.

Si tratta di un potere concreto e quotidiano che apre o chiude possibilità, accelera o rallenta percorsi e orienta opportunità che toccano direttamente gli esseri umani.

Per molto tempo, però, questo potere è passato inosservato perché si è presentato sotto altre sembianze:

• si è fatto chiamare tecnologia;
• si è giustificato come efficienza.

In questo travestimento ha potuto crescere senza essere realmente governato, fino a diventare opaco persino a chi lo esercitava.

Il GDPR è stato concepito esattamente in questo punto al fine di rendere visibile e governabile un potere che aveva smesso di mostrarsi come tale.

Quindi non è stato adottato per bloccare o demonizzare quel potere ma per riportarlo dentro una cornice di regole, limiti e responsabilità, perché dove c’è potere, serve governo.

I dati personali come leve decisionali

Un passaggio decisivo per comprendere questo quadro che sto descrivendo riguarda il modo in cui vengono percepiti i dati personali.

Spesso i dati vengono trattati come semplici informazioni, cioè elementi tecnici fatti di numeri, campi e record.

In questa rappresentazione sembrano oggetti neutri, privi di conseguenze proprie.
In realtà, i dati personali svolgono una funzione molto diversa perché sono la materia prima delle decisioni.

Attraverso i trattamenti di dati personali:

• gli esseri umani vengono classificati;
• i comportamenti vengono previsti;
• le priorità vengono stabilite;
• le scelte vengono automatizzate.

Così, ogni dato personale, preso singolarmente o combinato con altri, può trasformarsi in una leva capace di incidere sulla vita concreta di qualcuno.

È in questo punto che il diritto entra in gioco.

Il GDPR interviene perché il trattamento dei dati personali produce effetti reali sulle persone.

La protezione, quindi, non riguarda il dato come oggetto ma la persona come destinataria delle decisioni che quel dato rende possibili.

Governare i dati significa, in ultima analisi, governare il potere che attraverso di essi viene esercitato.

Questo è il baricentro dell’ecosistema disegnato dal GDPR.

Il GDPR come risposta a un’asimmetria di potere

Il punto di partenza del GDPR è una constatazione semplice ma decisiva: tra chi tratta i dati e chi ne subisce gli effetti esiste una distanza strutturale.

Le organizzazioni dispongono di tecnologia, competenze e capacità di aggregazione che consentono loro di raccogliere informazioni, di combinarle e trasformarle in decisioni.

Le persone, dall’altra parte, spesso non vedono ciò che accade, non comprendono i meccanismi e non hanno strumenti per controllare come e perché quei dati vengano utilizzati.

Questa distanza non nasce da un abuso intenzionale; è il risultato naturale dei sistemi complessi.

Proprio per questo il GDPR interviene e lo fa non per cancellare l’asimmetria – il che sarebbe illusorio – ma per renderla governabile.

Il Regolamento introduce una logica di responsabilità che costringe chi esercita il potere informativo a riconoscerlo come tale e a gestirlo secondo regole condivise.

I principi che emergono da questo impianto parlano tutti la stessa lingua: quella del governo consapevole e non della burocrazia difensiva.

Dal “posso farlo” al “posso giustificarlo”

Da questa impostazione discende una delle trasformazioni più profonde introdotte dal GDPR: il modo stesso di prendere decisioni.

Per lungo tempo, nelle organizzazioni ha dominato una logica semplice e apparentemente efficiente: se qualcosa non era vietato, poteva essere fatto.

La normativa unionale ha ribaltato questo schema, introducendo uno schema operativo diverso e più esigente secondo il quale ogni scelta relativa al trattamento di dati personali richiede una capacità di spiegazione.

Chi decide ha l’obbligo di:

• sapere cosa sta facendo;
• comprenderne le ragioni;
• valutarne gli effetti;
• e deve essere pronto ad assumersi la responsabilità delle conseguenze.

Il GDPR, quindi, richiede di pensare prima di agire.

Accountability come grammatica del potere legittimo

Dentro questo cambio di prospettiva si colloca il concetto di accountability, spesso ridotto a un problema di documentazione o di adempimenti.

In realtà, il suo senso è immediato.

L’accountability implica rispondere delle decisioni assunte ed essere in grado di dimostrare che:

• le scelte sono state ponderate;
• il rischio è stato valutato con attenzione;
• i diritti delle persone sono stati presi in considerazione;
• le misure adottate sono coerenti con gli effetti prodotti.

Nel GDPR l’accountability diventa la grammatica del potere legittimo e sposta l’attenzione dal dato in quanto oggetto al processo decisionale che quel dato rende possibile.

È in questo spostamento che il Regolamento rivela la sua natura autentica: non parla più di privacy come limite formale ma di governo del potere informativo come responsabilità concreta.

In questo passaggio, il GDPR integra gli obblighi in una logica di responsabilità dimostrabile (accountability).

Il GDPR come fattore di solidità organizzativa

Il GDPR non tutela solo le persone esterne all’organizzazione; rafforza anche l’organizzazione stessa.

Quando una struttura conosce davvero i propri trattamenti, governa i flussi informativi, valuta i rischi e motiva le scelte, costruisce basi più solide per il proprio funzionamento.

In questo assetto, l’organizzazione smette di muoversi per improvvisazione e riduce il rischio di scelte opache che talvolta non sono comprese nemmeno da chi le ha prese.

Quindi, se applicato con serietà, il GDPR:

• rafforza la credibilità;
• migliora la resilienza;
• rende l’azione più difendibile nel tempo.

La protezione dei diritti diventa così anche una forma di protezione dall’errore inconsapevole.

Il governo del potere come condizione di equilibrio

Un potere che cresce senza governo tende a trasformarsi in abuso, anche quando viene attribuito con intenzioni legittime.

Per questo motivo, il GDPR non è stato concepito per complicare il lavoro di chi utilizza i dati, ma per evitare che un potere enorme si eserciti senza controllo, senza consapevolezza né responsabilità.

In tale quadro, finché la norma continuerà a essere letta attraverso una lente riduttiva, come mera disciplina della privacy o come regolazione tecnica della gestione dei dati personali, il suo senso resterà in larga parte opaco.

Quando invece viene compresa come sistema di governo del potere informativo, molte tensioni si ricompongono e molte resistenze diventano leggibili.

Resta però una domanda decisiva, che apre il passaggio successivo del percorso.
Se il GDPR protegge diritti fondamentali così rilevanti, perché queste protezioni talvolta non vengono percepite come urgenti, necessarie, vitali? Perché la violazione dei diritti resta spesso tollerata o minimizzata?

Nel prossimo capitolo della pentalogia entreremo proprio qui, nel rapporto tra cervello, rischio e percezione del danno.

È un passaggio fondamentale per comprendere perché la protezione delle persone, ancora oggi, in molte organizzazioni, sia pubbliche sia private, fatichi a essere presa sul serio.