La decisione del governo del governo del Nepal di oscurare ventisei piattaforme e, di colpo e migliaia di giovani in piazza. Ma cosa chiedono davvero i giovani nepalesi? In superficie hanno chiesto di riaprire Facebook, Instagram, YouTube. È stata la miccia. Ma in realtà, dietro quella richiesta immediata, c’è un’urgenza più profonda.

In principio sembrava fosse soltanto la protezione semplice. Il GDPR nacque nel 2016 con l’ambizione di riequilibrare il rapporto tra individui, operatori e sistemi informativi, ridando centralità alla persona nell’era dei dati. Un impianto che doveva garantire diritti, trasparenza e controllo.

All’inizio si pensava che la protezione dei dati e la privacy fossero solo una noiosa questione da giuristi e che bastasse una password. Successivamente ci siamo accorti che la materia era più complessa per quanto riguardava il lato tecnico e che i dati sono un prezioso valore economico. E la prova è che sono il bene più rubato di sempre.

Nella governance dei dati aziendali serve un salto di qualità, che è prima culturale e poi operativo. Serve capire che il giurista d’impresa non è più un garante del regolamento, ma un architetto della resilienza. Serve qualcuno che sappia tradurre una norma in azione, che sappia leggere un algoritmo, che conosca le responsabilità in solido e quelle da delega.

Sebbene possa sembrare di essere davanti ad una scelta libera, e anche alla luce della crisi profonda che attraversa la stampa in questa lunga stagione di infodemia, il modello “Pay or OK” pone serie criticità giuridiche e sistemiche rispetto al Regolamento Generale sulla Protezione dei Dati.

L’articolo 2086 del Codice Civile, nella sua nuova versione a seguito della riforma del Codice della crisi d’impresa, impone all’imprenditore l’obbligo di adottare un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, compreso tutto ciò che riguarda la protezione dei dati personali.

Non è un esercizio di stile filosofico, né un esperimento sociologico. È la realtà con cui ogni professionista della protezione dei dati deve fare i conti: oggi, ogni essere umano ha almeno tre identità. E tutte ruotano intorno ai dati, più o meno protetti, più o meno consapevolmente generati e messi a disposizione del web.

Il riconoscimento facciale è, oggi, una delle forme più invasive di sorveglianza e profilazione. Non si limita a identificarci: ci osserva, ci interpreta, ci classifica. Silenziosamente, e spesso senza il nostro consenso. Eppure, lo accettiamo ogni giorno.

Possiamo dire che, oggi, la Direttiva NIS2 e il GDPR rappresentano due pilastri normativi dell'Unione Europea per la sicurezza informatica e la protezione dei dati personali. Sebbene abbiano obiettivi differenti, le due normative si intersecano in diversi ambiti, rendendo imprescindibile un approccio integrato che coinvolga sia le competenze tecniche sia quelle legali.