AlbertoC’è una scena che ho visto ripetersi tante volte, anche di recente: un consulente privacy, un DPO, o una figura interna all’organizzazione che, brandendo il GDPR come fosse un’arma contundente, stronca sul nascere qualunque iniziativa. “Non si può fare”, “è illegale”, “il Garante vi sanzionerà”, e così via.
Eppure, il Regolamento Generale sulla Protezione dei Dati non è nato per bloccare l’innovazione o per terrorizzare le organizzazioni con il fantasma della sanzione. La sua funzione primaria non è nemmeno la “privacy” nel senso stretto del termine, ma la libera circolazione dei dati all’interno dell’Unione Europea, riducendo al minimo l’impatto sui diritti degli interessati.
La parola chiave, il cuore di tutto, è accountability. Non un sistema prescrittivo, fatto di regole rigide e immutabili, ma un impianto normativo che chiede alle organizzazioni di dimostrare la correttezza delle proprie scelte. In altre parole, non è importante solo stabilire un limite (quanto a lungo conservare un dato, per esempio), ma essere in grado di spiegare perché quel limite ha senso, in quel contesto, per quella finalità.
Eppure, troppo spesso vedo un approccio dogmatico e difensivo, in cui il GDPR diventa un ostacolo a prescindere, invece che una guida per trattare i dati in modo responsabile, ragionevole e proporzionato.
C’è un termine che descrive bene questo atteggiamento: arroganza epistemica. È il rifiuto di mettersi in discussione, la convinzione che il proprio sapere sia definitivo e indiscutibile. E così, invece di aiutare le organizzazioni a interpretare la norma con buon senso e responsabilità, si impongono diktat e divieti assoluti che non fanno altro che paralizzare le attività.
Forse un approccio più corretto al GDPR sarebbe intuitivo—nel senso etimologico del termine: “intuire” come “entrare dentro”, comprendere. Ovvero, chiedersi non solo cosa sia formalmente consentito o vietato, ma cosa sia giusto per le persone i cui dati trattiamo. Come vorremmo che fossero trattati i nostri dati?
Alla fine, semplificare la possibilità di scegliere – di ricevere o meno una comunicazione, di accedere o meno a un servizio – è molto più importante che fissare rigidi limiti temporali o vincoli astratti.
Forse il GDPR non dovrebbe essere visto come una clava, ma come una bussola.
Voi che cosa ne pensate? Qual è la vostra esperienza con l’applicazione della normativa?
Original Linkedin Post: https://www.linkedin.com/posts/almagio_il-gdpr-non-%C3%A8-una-clava-c%C3%A8-una-scena-che-activity-7298257623458471936-kqgm