Il GDPR, da strumento di protezione a fonte di legittimazione algoritmica

• Il punto di vista
• Martedì, 19 Agosto 2025 12:24

In principio sembrava fosse soltanto la protezione semplice. Il GDPR nacque nel 2016 con l’ambizione di riequilibrare il rapporto tra individui, operatori e sistemi informativi, ridando centralità alla persona nell’era dei dati. Un impianto che doveva garantire diritti, trasparenza e controllo.

Già da tempo era stata superata la visione secondo cui la protezione dei dati fosse solo una questione giuridica, fatta di articoli, commi e cavilli. La crescente monetizzazione dell’informazione personale, dalla pubblicità alla profilazione, aveva già reso evidente la natura economica del dato, richiamando l’urgenza di forme di tutela adeguate e di una maggiore consapevolezza da parte degli interessati.

È il pensiero già enunciato da Jeremy Rifkin che, nell’illustrare l’economia dell’accesso, aveva anticipato il cambio di paradigma: non si possiede più il bene, ma si gestiscono flussi informativi e comportamentali. E il dato è valore, risorsa, materia prima economica. La frase “Data is the new oil.”, che pare sia stata pronunciata al World Economic Forum nel 2011, è la sintesi perfetta di questo cambiamento.

Oggi, a quasi dieci anni dalla sua adozione, si impone una seconda lettura del GDPR, meno raccontata ma altrettanto coerente: quella di un algoritmo normativo, capace di legittimare l’automazione e la riutilizzabilità dei dati personali.

In modo ordinato, documentato, verificabile, ma più distante dalla retorica dell’opt-in e da una tutela paternalistica ormai inadeguata in un contesto in cui i trattamenti si moltiplicano, si interconnettono, e sono basati su logiche che l’utente non conosce né può controllare.

Siamo di fronte a una governance più matura e sistemica, in cui la vera protezione deriva dalla trasparenza, dalla documentazione e dalla responsabilità concreta di chi tratta i dati.

Nei settori ad alta intensità di dati – come la sanità digitale, la ricerca clinica, l’intelligenza artificiale – il Regolamento non è più soltanto uno scudo. È anche e soprattutto un motore regolato che consente la circolazione controllata del dato. Articoli come il 5.1.b (compatibilità dell’ulteriore trattamento), il 9.2.j (ricerca scientifica) o l’art. 89 (garanzie per i trattamenti particolari) permettono la costruzione di un impianto che, se rispettato, abilita il riuso senza consenso, purché con adeguate garanzie e finalità lecite.

A supporto di questa architettura, il Considerando 159 lo dice con chiarezza: “Il trattamento per finalità di ricerca scientifica deve essere inteso in senso ampio, comprendendo anche lo sviluppo tecnologico e la ricerca applicata, inclusa quella finanziata da soggetti privati.” È una legittimazione forte, strutturale, strategica.

In questa logica si colloca il metodo Cybermetrica, che considera il GDPR non un vincolo, ma un framework operativo: non un codice da rispettare passivamente, ma un cruscotto da usare attivamente per progettare, valutare, decidere. Attraverso strumenti come la pseudonimizzazione, la DPIA, la documentazione delle finalità compatibili, la Cybermetrica permette di mappare la filiera del trattamento, gestire il rischio e legittimare l’innovazione. Il GDPR diventa così una metrica di fiducia, in cui la responsabilità sostituisce l’autorizzazione, e la trasparenza sostituisce il consenso formale.

All’opposto, l’individuo medio, quello che definisco Homo Googlis, continua a vivere una narrazione diversa. Crede di esercitare controllo attraverso checkbox e informative, ignora la distinzione tra pseudonimizzazione e anonimizzazione, e spesso non sa nemmeno a chi ha effettivamente “affidato” i propri dati. Cliccando meccanicamente su “ho letto e accetto”, consente la creazione della propria identità virtuale che, una volta immessa in rete, diventa, grazie agli algoritmi, una machine-generated identity, a predictive version of ourselves.

Ma il sistema gira comunque, alimentato da basi giuridiche alternative, da flussi automatizzati e da decisioni algoritmiche che non chiedono più il permesso, ma documentano la conformità. La privacy, da diritto esercitabile, diventa condizione presunta, affidata alla bontà dell’infrastruttura.

Proprio qui si gioca la partita più delicata. Se il GDPR legittima, chi decide come e quando farlo? Chi stabilisce se una finalità è davvero compatibile? Chi verifica che l’equilibrio tra innovazione e libertà non venga travolto dall’efficienza?

Non nascondiamoci dietro un dito: sono le imprese, i titolari del trattamento, a definire in concreto come proteggere i dati, ma anche quale forma di valore trarne. Il che significa decidere cosa farne, per chi, e con quale impatto. Ma possono farlo solo dietro indicazione, consiglio, guida etica. Altrimenti, altro che far west dei call center: saremmo ben oltre.

Ecco che la palla passa in mano a giuristi, DPO, consulenti, progettisti e professionisti della privacy che operano dentro e fuori dall’infrastruttura. Perché la forza del GDPR, ed è questa la sua vera modernità, non risiede tanto nel divieto, quanto nella delega. Non vieta: responsabilizza. Non impone: chiede di argomentare. Lo abbiamo davvero capito?

Il principio di accountability è una delega in bianco, ma solo se viene esercitata senza coscienza. Se invece viene tradotta in un sistema di valori, è ciò che può tenere insieme libertà, impresa e dignità umana.

Il GDPR non è in crisi. È una legge da applicare, e altre nazioni andranno nella stessa direzione. Ma non è più solo protezione, perché può diventare architettura abilitante.

È, per dirla in modo tecnico, un sistema legale di computazione delle condizioni del trattamento. Una forma algoritmica del diritto, che ha i suoi if, then, else. Il suo vero valore si misura non nella rigidità del blocco, ma nella trasparenza della scelta, nella documentazione del perché si agisce in un modo e non in un altro.

La privacy del futuro non sarà quella che nega il trattamento, ma quella che sa perché lo consente. E lo dimostra, ogni giorno, con serietà e rigore.