Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’analisi

Il GDPR come sistema di governo del potere informativo

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il GDPR costruisce un sistema di governo del potere informativo stabilendo, in relazione al trattamento di dati personali, chi può decidere, su quali basi, con quali limiti e responsabilità. Ecco perché il trattamento non è mai neutro e la protezione dei diritti fondamentali passa attraverso il controllo delle decisioni rese possibili da quei dati

Pubblicato il 6 feb 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi; Il GDPR come sistema di governo del potere informativo

In molte organizzazioni il GDPR viene frequentemente interpretato come una normativa in materia di privacy o, al più, come una disciplina di natura tecnica relativa alla gestione dei dati personali.

Questa lettura è riduttiva e impedisce di cogliere la natura più profonda di questa fondamentale normativa.

Il Regolamento, in realtà, costruisce un vero e proprio sistema di governo del potere informativo, stabilendo, in relazione al trattamento di dati personali, chi può decidere, su quali basi, con quali limiti e con quali responsabilità.

Ecco perché il Regolamento va visto come architettura del potere informativo, perché il trattamento di dati personali non è mai neutro e perché la protezione dei diritti fondamentali passa attraverso il controllo delle decisioni che quei dati rendono possibili.

Integrare GDPR e NIS 2: perché la cyber security è la naturale evoluzione della privacy

Dove c’è potere, serve governo

Ogni volta che un’organizzazione raccoglie, utilizza o mette in relazione dati personali, esercita una forma di potere.

Si tratta di un potere concreto e quotidiano che apre o chiude possibilità, accelera o rallenta percorsi e orienta opportunità che toccano direttamente gli esseri umani.

Per molto tempo, però, questo potere è passato inosservato perché si è presentato sotto altre sembianze:

  • si è fatto chiamare tecnologia;
  • si è giustificato come efficienza.

In questo travestimento ha potuto crescere senza essere realmente governato, fino a diventare opaco persino a chi lo esercitava.

Il GDPR è stato concepito esattamente in questo punto al fine di rendere visibile e governabile un potere che aveva smesso di mostrarsi come tale.

Quindi non è stato adottato per bloccare o demonizzare quel potere ma per riportarlo dentro una cornice di regole, limiti e responsabilità, perché dove c’è potere, serve governo.

I dati personali come leve decisionali

Un passaggio decisivo per comprendere questo quadro che sto descrivendo riguarda il modo in cui vengono percepiti i dati personali.

Spesso i dati vengono trattati come semplici informazioni, cioè elementi tecnici fatti di numeri, campi e record.

In questa rappresentazione sembrano oggetti neutri, privi di conseguenze proprie.
In realtà, i dati personali svolgono una funzione molto diversa perché sono la materia prima delle decisioni.

Attraverso i trattamenti di dati personali:

  • gli esseri umani vengono classificati;
  • i comportamenti vengono previsti;
  • le priorità vengono stabilite;
  • le scelte vengono automatizzate.

Così, ogni dato personale, preso singolarmente o combinato con altri, può trasformarsi in una leva capace di incidere sulla vita concreta di qualcuno.

È in questo punto che il diritto entra in gioco.

Il GDPR interviene perché il trattamento dei dati personali produce effetti reali sulle persone.

La protezione, quindi, non riguarda il dato come oggetto ma la persona come destinataria delle decisioni che quel dato rende possibili.

Governare i dati significa, in ultima analisi, governare il potere che attraverso di essi viene esercitato.

Questo è il baricentro dell’ecosistema disegnato dal GDPR.

Il GDPR come risposta a un’asimmetria di potere

Il punto di partenza del GDPR è una constatazione semplice ma decisiva: tra chi tratta i dati e chi ne subisce gli effetti esiste una distanza strutturale.

Le organizzazioni dispongono di tecnologia, competenze e capacità di aggregazione che consentono loro di raccogliere informazioni, di combinarle e trasformarle in decisioni.

Le persone, dall’altra parte, spesso non vedono ciò che accade, non comprendono i meccanismi e non hanno strumenti per controllare come e perché quei dati vengano utilizzati.

Questa distanza non nasce da un abuso intenzionale; è il risultato naturale dei sistemi complessi.

Proprio per questo il GDPR interviene e lo fa non per cancellare l’asimmetria – il che sarebbe illusorio – ma per renderla governabile.

Il Regolamento introduce una logica di responsabilità che costringe chi esercita il potere informativo a riconoscerlo come tale e a gestirlo secondo regole condivise.

I principi che emergono da questo impianto parlano tutti la stessa lingua: quella del governo consapevole e non della burocrazia difensiva.

Dal “posso farlo” al “posso giustificarlo”

Da questa impostazione discende una delle trasformazioni più profonde introdotte dal GDPR: il modo stesso di prendere decisioni.

Per lungo tempo, nelle organizzazioni ha dominato una logica semplice e apparentemente efficiente: se qualcosa non era vietato, poteva essere fatto.

La normativa unionale ha ribaltato questo schema, introducendo uno schema operativo diverso e più esigente secondo il quale ogni scelta relativa al trattamento di dati personali richiede una capacità di spiegazione.

Chi decide ha l’obbligo di:

  • sapere cosa sta facendo;
  • comprenderne le ragioni;
  • valutarne gli effetti;
  • e deve essere pronto ad assumersi la responsabilità delle conseguenze.

Il GDPR, quindi, richiede di pensare prima di agire.

Accountability come grammatica del potere legittimo

Dentro questo cambio di prospettiva si colloca il concetto di accountability, spesso ridotto a un problema di documentazione o di adempimenti.

In realtà, il suo senso è immediato.

L’accountability implica rispondere delle decisioni assunte ed essere in grado di dimostrare che:

  • le scelte sono state ponderate;
  • il rischio è stato valutato con attenzione;
  • i diritti delle persone sono stati presi in considerazione;
  • le misure adottate sono coerenti con gli effetti prodotti.

Nel GDPR l’accountability diventa la grammatica del potere legittimo e sposta l’attenzione dal dato in quanto oggetto al processo decisionale che quel dato rende possibile.

È in questo spostamento che il Regolamento rivela la sua natura autentica: non parla più di privacy come limite formale ma di governo del potere informativo come responsabilità concreta.

In questo passaggio, il GDPR integra gli obblighi in una logica di responsabilità dimostrabile (accountability).

Il GDPR come fattore di solidità organizzativa

Il GDPR non tutela solo le persone esterne all’organizzazione; rafforza anche l’organizzazione stessa.

Quando una struttura conosce davvero i propri trattamenti, governa i flussi informativi, valuta i rischi e motiva le scelte, costruisce basi più solide per il proprio funzionamento.

In questo assetto, l’organizzazione smette di muoversi per improvvisazione e riduce il rischio di scelte opache che talvolta non sono comprese nemmeno da chi le ha prese.

Quindi, se applicato con serietà, il GDPR:

  • rafforza la credibilità;
  • migliora la resilienza;
  • rende l’azione più difendibile nel tempo.

La protezione dei diritti diventa così anche una forma di protezione dall’errore inconsapevole.

Il governo del potere come condizione di equilibrio

Un potere che cresce senza governo tende a trasformarsi in abuso, anche quando viene attribuito con intenzioni legittime.

Per questo motivo, il GDPR non è stato concepito per complicare il lavoro di chi utilizza i dati, ma per evitare che un potere enorme si eserciti senza controllo, senza consapevolezza né responsabilità.

In tale quadro, finché la norma continuerà a essere letta attraverso una lente riduttiva, come mera disciplina della privacy o come regolazione tecnica della gestione dei dati personali, il suo senso resterà in larga parte opaco.

Quando invece viene compresa come sistema di governo del potere informativo, molte tensioni si ricompongono e molte resistenze diventano leggibili.

Resta però una domanda decisiva, che apre il passaggio successivo del percorso.
Se il GDPR protegge diritti fondamentali così rilevanti, perché queste protezioni talvolta non vengono percepite come urgenti, necessarie, vitali? Perché la violazione dei diritti resta spesso tollerata o minimizzata?

Nel prossimo capitolo della pentalogia entreremo proprio qui, nel rapporto tra cervello, rischio e percezione del danno.

È un passaggio fondamentale per comprendere perché la protezione delle persone, ancora oggi, in molte organizzazioni, sia pubbliche sia private, fatichi a essere presa sul serio.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Eventi cigno nero

  • la ricerca

    Sicurezza e resilienza: la mitigazione possibile degli eventi “cigno nero”

    29 Gen 2026

    di Alessia Valentini

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi; Il GDPR come sistema di governo del potere informativo

  • provvedimenti

    Sette anni di GDPR e privacy ancora all'abc: la lezione dalla sanzione a Verisure e Aimag

    18 Dic 2025

    di Tania Orrù

    Condividi
  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
  • Data Act e cybersecurity: cambia la sicurezza informatica per le aziende; I prodotti connessi nel Data Act: perché molte aziende non sanno di essere soggette agli adempimenti

  • sicurezza dei dati

    Data Act e cyber security: cambia la sicurezza informatica per le aziende

    16 Lug 2025

    di Federica Maria Rita Livelli

    Condividi
0
Lascia un commento, la tua opinione conta.x