Siamo a ridosso del periodo estivo, un momento ottimale per tirare alcune somme legate a questa prima parte del 2025, con uno sguardo critico e mai banale.
Dati personali
Abbiamo un deficit culturale sui dati personali che può essere considerato quantomeno “grave”. Ne è un recente esempio il caso di Chiara Poggi, in cui giornali, televisioni, canali YouTube hanno iniziato a divulgare immagini di ogni tipo fino a spingere il Garante per la Protezione dei Dati ad emettere un provvedimento urgente (il numero 10149350) seguito da un comunicato stampa che riporta la frase:
anche in considerazione della violenza esercitata nei confronti della vittima – lederebbe in modo gravissimo la sua dignità e quella dei suoi familiari.
Ecco, quel “lederebbe in modo gravissimo la sua dignità e quella dei suoi familiari” è l’oggetto della discussione. Un nota rubrica televisiva mattutina, durante una puntata nella quale cercava di darsi un tono giornalistico e d’inchiesta, mostrava l’interno dell’abitazione inquadrando con dovizia e ingrandimenti ogni singola traccia di sangue. Sangue sul pavimento, sangue sulle pareti, sangue sul telefono e lo zoom della telecamera ingrandiva fino ad ingigantire ognuna di quelle macchie proiettandole nelle case degli spettatori italiani. Questo fenomeno ha molti nomi, uno dei più diffusi è “televisione del dolore“, a parer di chi scrive si chiama semplicemente “squallore” ed il Garante ha ragione: la dignità della famiglia Poggi è stata già lesionata e grandemente.
Abbiamo dimostrato — ancora una volta — di non aver minimamente compreso la gestione dei dati personali ma non nel senso giuridico bensì in quello sociale. Chi si è lamentato del GDPR fin dal principio non ha capito che la questione legata alla gestione dei dati personali è proprio su quest’ultimo piano; tradendo il fattore “dignità” si commette un danno molto più esteso della mera inosservanza della norma. Ma la preservazione della dignità interessa a pochi ed i risultati ormai li troviamo proiettati quotidianamente sui social network.
Cybersecurity
In questo sito era stato già ampiamente trattato il tema della NIS2, dei pregi e dei difetti, dei successi e degli insuccessi della Direttiva ma forse vale la pena chiarire bene il quadro. Ad oggi molte organizzazioni pubbliche e private impattate dalla NIS2 sono state oggetto di attacchi hacker e, nella maggior parte dei casi, tali attacchi non presentavano grandi novità rispetto a quelli del passato. Ne consegue che le aziende, anche a mesi di distanza dall’entrata in vigore della Direttiva, hanno continuato a preferire l’accumulo del capitale all’investimento in cybersecurity. Tra queste, ad esempio, abbiamo aziende che si occupano di produrre sistemi d’arma, industrie di prodotti chimici, la filiera del cibo per esseri umani e per animali, la produzione industriale è stata attaccata più volte. In molti casi sui siti web delle aziende colpite campeggiano i loghi degli standard internazionali e allora si leggono sigle come ISO 9001, ISO27001, ISO 27005, tanto decantate e apparentemente garanti di qualità e sicurezza.
Le certificazioni decantate dalle aziende, tra l’altro, si sono dimostrate pienamente non osservate dall’analisi delle risultanze degli attacchi. In molti casi i file venivano gestiti in modo così tanto rozzo e becero, che decadevano le più comuni regole di igiene informatica. La cosa però che ha forse sorpreso di più è stato il senso di disinteresse manifestato da alcuni target: ci sono stati casi in cui pubbliche amministrazioni, in piena violazione del GDPR, anche a distanza di mesi, si sono rifiutati di pubblicare avvisi di data breach, per pubblicizzare invece eventi sportivi. Gli stessi giornalisti, a domande specifiche, non hanno ricevuto notizie. La realtà dei fatti è quindi questa, per molte aziende la cybersecurity è un grimaldello per generare profitto e niente più.
Così non funziona.
Si punta sempre il dito contro la normativa ma il problema siamo noi: è il nostro rapporto con questi dati perché non riusciamo a sentirne l’importanza, il valore. Parlando metaforicamente, s’immagini di mettere in una provetta di liquido trasparente e di dire ad una persona di trasportarla da una stanza all’altra: lo farà velocemente e senza problemi. Si provi invece a dire che si tratta di nitroglicerina, difficilmente la persona trasporterà la provetta con la stessa tranquillità; quando si ha la consapevolezza del valore di ciò che deve essere trattato, la percezione e l’atteggiamento cambiano profondamente. Questo cambiamento, tuttavia, non è facile e deve esser ricercato e voluto.
Anche le istituzioni hanno la loro responsabilità. Il 2025 è stato l’anno in cui l’Agenzia di Cybersicurezza Nazionale, ha fornito risposte inappropriate ad un cittadino che segnalava un data breach ai danni di esponenti della politica e di altri soggetti pubblici. Dimostrando, in quell’occasione, una forte inadeguatezza a rappresentare un settore così importante che merita le giuste attenzioni, e soprattutto tradendo un rapporto istituzionale con il cittadino. Un episodio grave che, fino a quel momento, non si era mai verificato.
Di recente c’è stato modo di approfondire il lavoro dell’Osservatorio sul Diritto delle Nuove Tecnologie che, ad esempio, sviluppa progetti per di alfabetizzare e rendere consapevoli la fascia di popolazione più giovane (ad esempio gli studenti degli ITIS) allo scopo di metterli a contatto con le problematiche sociali ed imprenditoriali derivanti dal tradimento di quelle norme (ma soprattutto di quei valori) di cui è stato scritto sopra.
Conclusioni
Ciò che non si riesce — o non si vuole — capire è che il GDPR è una norma complessa e profonda perché si snoda su diversi piani e non su un semplice “se succede questo, fai questo“. È una questione di piani di applicazione in cui ogni caso è differente e deve essere analizzato prima di poter essere adottato. Questa riflessione richiede tempo e volontà, due aspetti molto poco considerati in una società che corre per accaparrarsi primati di dubbia utilità.
Fino a quando la sicurezza informatica, i dati personali e tutto ciò che ruota intorno a questi mondi, saranno intesi come “obblighi da assolvere”, non si riuscirà mai ad ottenere una risposta di protezione adeguata.
