Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

gdpr

Quando il dato viaggia chiuso: la non responsabilità del servizio di recapito

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Nel caso dei servizi di recapito, si osserva che il GDPR non attribuisce ruoli e obblighi a chi trasporta informazioni senza poter incidere sul loro contenuto, ma individua tali ruoli e obblighi in capo a chi determina finalità, modalità e destino. La responsabilità non nasce dalla prossimità fisica al dato, ma dal potere di governarlo

Pubblicato il 19 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Interazione DSA GDPR_shutterstock_2573650401; Quando il dato viaggia chiuso: perché il corriere non è né titolare né responsabile del trattamento

Nel dibattito sulla compliance al GDPR (Regolamento europeo sulla protezione dei dati personali) e sulla responsabilità dei soggetti coinvolti nei flussi informativi, uno degli equivoci più ricorrenti riguarda i servizi di recapito, perché si continua a confondere il contatto materiale con la responsabilità giuridica.

Questa confusione genera interpretazioni semplicistiche e un’idea distorta del General Data Protection Regulation come norma che segue gli oggetti invece delle decisioni.
Ecco un principio cardine della protezione dei dati personali: la responsabilità non nasce dalla prossimità fisica al dato, ma dal potere di governarlo.

Attraverso il caso emblematico dei servizi di recapito, vediamo come il GDPR non attribuisce ruoli e obblighi a chi trasporta informazioni senza poter incidere sul loro contenuto, ma individui tali ruoli e obblighi in capo a chi ne determina finalità, modalità e destino.

Comprendere questa logica significa compiere un salto di maturità nella compliance perché consente di passare da una visione meccanica e difensiva a una lettura autenticamente giuridica, organizzativa e responsabile della protezione dei dati.

La responsabilità proattiva nel GDPR e nella NIS 2: una nuova grammatica del diritto

Il GDPR non segue le mani che toccano i dati ma il potere che li governa

Nel dibattito quotidiano sulla compliance talvolta si sente dire che “chiunque tocchi un dato assume una responsabilità”.

È una semplificazione che rassicura perché offre un confine netto e apparentemente facile da comprendere, ma proprio per questo, però, secondo me, è fuorviante.

La protezione dei dati personali non nasce dal contatto materiale né dalla vicinanza fisica al supporto che li contiene. Il suo fondamento è più profondo e riguarda il controllo informativo cioè il potere effettivo di decidere:

  • che cosa accade a quel dato;
  • perché viene utilizzato, in che modo e con quali conseguenze per i soggetti interessati.

È qui che il diritto della protezione dei dati colloca la responsabilità: non nel gesto meccanico del “toccare” ma nella capacità di incidere sul destino dell’informazione.

Per questo motivo, è essenziale tenere a mente un principio che spesso si perde nel rumore della pratica quotidiana: il GDPR non è una norma che governa gli oggetti o i contenitori, ma una disciplina che regola le relazioni di potere che si instaurano intorno ai dati personali.

Una compliance matura

Comprendere questo passaggio significa cambiare prospettiva e quindi smettere di guardare ai dati come a cose che passano di mano e iniziare a leggerli come informazioni che generano responsabilità solo laddove qualcuno ne assume davvero il controllo.

È da qui che prende forma una compliance matura, capace di distinguere il gesto materiale dal governo sostanziale del dato e di collocare correttamente obblighi e responsabilità.

Il possesso non è trattamento

Quando si parla di dati personali, uno degli equivoci più frequenti nasce dall’osservazione del gesto e non della sostanza.

Così, se si vede qualcuno che trasporta un documento all’interno di una busta
chiusa, che lo tiene materialmente tra le mani, si potrebbe essere portati a pensare che quel semplice possesso faccia scattare automaticamente una responsabilità sul contenuto.

In realtà, il diritto della protezione dei dati segue un’altra logica molto più rigorosa e al tempo stesso più concreta.

Si pensi a un servizio di consegna che riceve una busta sigillata contenente cartelle cliniche, fascicoli giudiziari o altre informazioni di estrema delicatezza. Quella busta viaggia, passa di mano in mano, ma resta chiusa. Non può essere aperta, né letta né alterata. Quindi il contenuto informativo rimane inaccessibile.

In questa situazione il corriere non entra mai in relazione con il dato in quanto tale: trasporta un involucro ma non governa un’informazione.

Ed è proprio qui che si colloca il discrimine giuridico.

Il GDPR parla di trattamento solo quando esiste una relazione effettiva con il dato personale cioè una possibilità concreta di accedervi, di utilizzarlo, di influenzarne il percorso o il significato.

Senza questa relazione, il trattamento non prende forma e il semplice trasporto fisico di un contenitore, per quanto carico di informazioni sensibili, non crea di per sé quel legame che la normativa richiede per far nascere obblighi e responsabilità.

Comprendere questo passaggio significa spostare lo sguardo dal gesto materiale al rapporto reale con l’informazione ed è uno dei passaggi più importanti per leggere correttamente la logica del Regolamento europeo sulla protezione dei dati personali.

Il corriere come semplice canale di trasmissione

Per comprendere davvero il ruolo del servizio di recapito è utile fermarsi un momento e osservare la sua funzione per ciò che è, senza sovrapporvi categorie che non gli appartengono.

Il corriere si colloca lungo il percorso che un’informazione compie dal mittente al destinatario, ma resta sempre esterno al significato di ciò che trasporta.

È un passaggio non un nodo decisionale è un tramite materiale che consente lo spostamento dell’informazione senza mai entrare nel governo del contenuto.

Chi affida una busta a un servizio di consegna ha già deciso perché quei dati devono essere inviati e a chi e ha anche già stabilito il contesto, la finalità, l’uso che ne verrà fatto una volta arrivati a destinazione.

Il corriere non prende parte a nessuna di queste scelte. Non orienta il trattamento, non lo modifica, non ne influenza gli esiti, ma si limita a garantire che l’involucro arrivi da un punto all’altro, restando estraneo al valore informativo che quel contenuto racchiude.

È per questo che, nel linguaggio giuridico, il servizio di recapito viene descritto come un “mere conduit”, un semplice canale di trasmissione.

Almeno, così lo definisce l’ICO (Information Commissioner’s Office) Autorità di controllo Britannica, nelle sue Linee Guida sull’individuazione dei ruoli di “controller” e “processor”.

Il ruolo della responsabilità nel diritto della protezione dei dati

Mancando qualsiasi controllo sulle finalità e sui mezzi del trattamento, viene meno il presupposto stesso per attribuire al corriere un ruolo di titolare o di responsabile del trattamento.

La responsabilità, nel diritto della protezione dei dati, segue sempre il potere di decidere e di incidere sull’informazione.

Quindi appare evidente che laddove questo potere non esiste non può nascere neppure il ruolo privacy previsto dal GDPR.

La responsabilità segue il potere, non la vicinanza

Si è detto che nel sistema della protezione dei dati la responsabilità non nasce dal semplice contatto, ma dalla possibilità concreta di incidere sull’informazione.

Ora, attribuire gli obblighi stabiliti dal GDPR a un soggetto come il corriere che non può verificare l’esattezza dei dati, non può aggiornarli né ridurli al necessario o stabilirne i tempi di conservazione, significherebbe chiedergli l’impossibile.

Sarebbe una forzatura concettuale prima ancora che giuridica.

La data protection funziona solo se resta ancorata al potere decisionale perché è lì che si esercita il controllo reale sul dato.

Quindi non avrebbe alcun senso pretendere da un servizio di recapito il rispetto dei principi di protezione dei dati rispetto al contenuto delle lettere che trasporta perché quel contenuto, per definizione, resta fuori dalla sua sfera di governo e quindi fuori dalla sua responsabilità.

Lo smarrimento come esito di una scelta organizzativa e della connessa valutazione del rischio

Quando un plico contenente dati personali viene smarrito durante il trasporto, la responsabilità non si dissolve lungo il percorso né si trasferisce automaticamente a chi lo stava materialmente consegnando, ma resta in capo al titolare del trattamento che ha deciso di utilizzare quel mezzo di trasmissione. Ogni scelta organizzativa incorpora una valutazione del rischio e produce conseguenze.

Se la sicurezza del dato era un requisito essenziale, spettava al titolare adottare modalità di invio coerenti con quel livello di sensibilità.

In questa prospettiva, la perdita del plico non interrompe la catena della responsabilità, ma la riporta semplicemente al punto in cui il trattamento viene davvero governato.

Quando il corriere diventa titolare a pieno titolo

Il servizio di recapito non è estraneo al GDPR in senso assoluto, perché anche esso tratta dati personali. La differenza sta nel perimetro di questo trattamento.
Il corriere diventa titolare quando gestisce i dati necessari a organizzare e svolgere la propria attività: i nominativi dei mittenti e dei destinatari, gli indirizzi, le informazioni di tracciamento, i dati del personale.

In questo spazio, il controllo esiste davvero, le decisioni vengono prese e il trattamento è pienamente consapevole.

È qui che nasce la responsabilità giuridica, in modo coerente con la logica del sistema.
Il confine è netto: la responsabilità emerge solo dove il dato smette di essere un contenuto ignoto e diventa un’informazione governata.

La lezione da trarre dal caso del corriere e GDPR

Alla fine di questa riflessione sul corriere, il punto fermo è uno solo: nel GDPR la responsabilità non segue il dato come un’ombra, ma si ancora saldamente al potere che lo governa.

Dove non esiste la possibilità di decidere, orientare, utilizzare o modificare un’informazione non può esistere neppure una responsabilità in senso proprio.

Questa consapevolezza libera la protezione dei dati da molte ambiguità e restituisce al sistema la sua coerenza originaria.

Il GDPR non è una normativa che punisce il passaggio materiale delle informazioni, ma una disciplina che chiede conto delle scelte, delle valutazioni di rischio e delle decisioni organizzative.

È lì che si misura la responsabilità ed è lì che si colloca la vera compliance.

Quando si smette di inseguire i dati come oggetti che cambiano mano, la protezione dei dati diventa ciò che deve essere: una pratica di responsabilità consapevole e un presidio concreto a tutela delle persone.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Meme4Cyber360: Il rischio delle analisi dei rischi

  • meme della settimana

    Il rischio delle analisi dei rischi

    14 Ago 2025

    di Redazione Cybersecurity360.it

    Condividi
  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • cybersecurity 2025 clusit

  • Dati e analisi

    Il cybercrime cresce ai danni delle nostre aziende: il report Clusit 2025

    25 Feb 2025

    di Federico Parravicini

    Condividi
0
Lascia un commento, la tua opinione conta.x