Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

compliance

La crisi di senso del GDPR: dal mito della privacy al governo del potere informativo

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il GDPR non è una semplice normativa sulla privacy, associata a vincoli, adempimenti e complessità burocratiche, bensì un sistema di protezione delle persone e di legittimazione del potere esercitato attraverso i dati. Ecco come superare questo fraintendimento e ricostruirne le conseguenze culturali e organizzative, ripartendo da una chiarificazione terminologica

Pubblicato il 30 gen 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Diritto di accesso GDPR sanzione banca - La responsabilità proattiva nel Gdpr e nella NIS 2: una nuova grammatica del diritto; La crisi di senso del GDPR: dal mito della privacy al governo del potere informativo

In molti contesti, sia pubblici sia privati, il GDPR viene comunemente presentato e interpretato come una normativa sulla privacy.

Questa lettura, spesso adottata per semplificazione comunicativa, ha contribuito nel tempo a un indebolimento del senso profondo della norma, riducendo un’architettura giuridica, pensata per proteggere le persone e governare il potere informativo, a un insieme di adempimenti percepiti prevalentemente come burocratici e difensivi.

Questo primo capitolo di un’esalogia, volta ad analizzare la crisi di senso del GDPR, analizzando l’origine di tale fraintendimento, per ricostruirne le conseguenze culturali e organizzative ed evidenziare la naturale chiave di lettura: il GDPR come sistema di protezione delle persone e di legittimazione del potere esercitato attraverso i dati.

Integrare GDPR e NIS 2: perché la cyber security è la naturale evoluzione della privacy

Quando una parola cambia il destino di una norma

Le norme vivono anche del modo in cui vengono raccontate e il linguaggio utilizzato per descriverle incide sul modo in cui vengono comprese e applicate.

In alcuni casi, una semplificazione terminologica può anche arrivare a influenzarne l’interpretazione operativa.

In diversi contesti organizzativi, sia pubblici sia privati, il GDPR rappresenta un esempio significativo di questo fenomeno.

Infatti, questa normativa unionale, pur essendo stata concepita come un’architettura di protezione delle persone e di governo del potere informativo, è stata, nel tempo, spesso ricondotta alla nozione di “privacy”; una parola che, in molte esperienze organizzative, viene associata a vincoli, adempimenti e complessità burocratiche.

Questo scivolamento linguistico ha contribuito, in alcuni casi, a un affievolimento del senso complessivo del Regolamento, incidendo sulla cultura organizzativa, sulla percezione dei decisori e, talvolta, sull’efficacia concreta della tutela dei diritti e delle libertà fondamentali.

Pertanto, comprendere il GDPR oggi richiede anche un lavoro di chiarificazione terminologica volto a superare questo equivoco interpretativo.

Privacy: una parte talvolta scambiata per il tutto

La privacy, nel suo significato storico, riguarda la riservatezza e la sfera personale. Nei sistemi di common law viene tradizionalmente richiamato il “right to be let alone”, inteso come diritto a non subire intrusioni nella propria vita privata.

Si tratta di un concetto che opera prevalentemente in una logica di protezione dei confini individuali. È, quindi, un concetto difensivo, legato all’idea di un perimetro da proteggere.

Il GDPR incorpora anche questa dimensione, ma ne amplia in modo significativo l’orizzonte. Il Regolamento disciplina infatti le condizioni in cui i dati personali possono essere trattati, definendo finalità, limiti, responsabilità e conseguenze delle scelte organizzative.

In questo senso, disciplina l’esercizio di un potere che è diffuso, spesso non percepibile, strutturalmente asimmetrico e che incide sulle persone anche quando queste non ne sono consapevoli.

In diversi contesti organizzativi, sia pubblici sia privati, la tendenza a ricondurre questo complesso impianto alla sola nozione di “privacy” ha talvolta contribuito a collocare il GDPR in una dimensione prevalentemente difensiva e settoriale, allontanandolo dal suo ambito naturale di riferimento, che è quello del governo delle organizzazioni, delle decisioni strategiche e delle responsabilità di comando.

Il GDPR come sistema di governo del potere informativo

Ogni volta che un’organizzazione raccoglie, usa o combina dati personali, esercita un potere reale che:

  • orienta decisioni;
  • abilita o esclude persone;
  • classifica comportamenti;
  • anticipa scelte;
  • automatizza effetti.

Il GDPR è stato emanato per governare questo potere prima che produca effetti dannosi su larga scala; quindi non per impedirlo ma per renderlo legittimo, controllabile e responsabile.

Per questo motivo, i principi di protezione dei dati personali stabiliti nell’art. 5 del Regolamento vanno riconosciuti come strumenti di comando che servono a:

  • guidare le decisioni;
  • porre limiti chiari;
  • rendere esplicite le responsabilità.

Il vero spostamento sta qui: dal semplice “possiamo farlo?” al più impegnativo “siamo in grado di giustificarlo, davanti alle persone coinvolte e di assumerne le conseguenze?”.

È in questo passaggio che il GDPR, in molti contesti, tende a smettere di essere percepito come “privacy” e viene finalmente riconosciuto come una regolazione del potere informativo.

La protezione dei diritti non viene sempre percepita come urgente

Nonostante la sua portata, in molti contesti organizzativi, sia pubblici sia privati, il GDPR fatica a essere percepito come una priorità effettiva.

Le ragioni di questa difficoltà, secondo me, non sono riconducibili soltanto a profili giuridici ma riguardano anche dinamiche cognitive e percettive.

Il cervello umano tende infatti a reagire con minore intensità ai rischi che non si presentano in modo immediato e riconoscibile.

Ora, in numerose situazioni, il mancato rispetto dei principi fissati dall’articolo 5 del GDPR non produce effetti evidenti nel breve periodo. Le conseguenze emergono più spesso nel tempo, attraverso decisioni successive, talvolta automatizzate e non sempre pienamente trasparenti.

Così, in assenza di segnali chiari e immediati, il rischio tende a essere sottovalutato e, quando la percezione del rischio stesso si attenua, anche la protezione dei diritti può essere vissuta come un onere secondario.

In questo senso, il GDPR intercetta un punto critico della percezione umana e, se non accompagnato da una narrazione adeguata e comprensibile, rischia di rimanere ai margini dell’attenzione di coloro che assumono le decisioni.

Le criticità della compliance formale

Di fronte alle difficoltà legate alla percezione del rischio, in molte organizzazioni, sia pubbliche sia private, la reazione è stata quella di concentrarsi soprattutto sulla forma e, quindi, sono stati predisposti documenti formalmente corretti, informative aggiornate e registri accuratamente compilati, con l’obiettivo di dimostrare il rispetto dei requisiti normativi.

In questi contesti, la compliance normativa è diventata un obiettivo in sé e il documento formale ha sostituito la decisione.

Purtroppo la conformità formale non protegge le persone né i loro diritti fondamentali; fornisce solo la rassicurante sensazione di essere “in regola”.

Eppure, il GDPR non chiede di produrre carta ma impone di:

  • pensare prima di agire;
  • valutare l’impatto delle decisioni;
  • assumersi responsabilità reali.

Quando questi passaggi vengono trascurati o compressi, la norma resta in superficie e fatica a svolgere la sua funzione sostanziale di protezione.

Protezione, fiducia e responsabilità

La protezione dei diritti, quindi, non nasce dall’adempimento ma dalla qualità delle decisioni.

Un sistema funziona quando chi esercita un potere:

  • riconosce di esercitarlo,
  • lo governa prima che produca danno,
  • accetta di risponderne quando qualcosa va storto.

Questo produce una fiducia operativa, fondata sulla prevedibilità e sulla responsabilità.
Il GDPR, interpretato correttamente, appare come un’infrastruttura di fiducia: non promette assenza di errori ma pretende consapevolezza e governo.

(Ri)collocare il GDPR nel suo ambito naturale

In molte organizzazioni, pubbliche e private, il GDPR può tornare a svolgere pienamente la propria funzione solo se viene assunto come riferimento nel luogo in cui le decisioni vengono effettivamente prese.

Non si tratta di una materia esclusivamente tecnica da delegare integralmente a specialisti, ma di un insieme di regole che incide sul modo in cui l’organizzazione esercita il proprio potere e orienta le proprie scelte.

Abbiamo visto che, quando il GDPR resta confinato all’interno di una lettura riduttiva, centrata sulla “privacy”, tende a essere percepito come un vincolo operativo o un adempimento aggiuntivo.

Quando, invece, si riconosce come un sistema di protezione delle persone e di legittimazione responsabile del potere informativo, può contribuire in modo più efficace alla qualità delle decisioni e alla credibilità dell’organizzazione.

Serve un cambiamento di linguaggio e uno spostamento dell’attenzione

In questo primo capitolo dell’esalogia, si è cercato di mettere in luce come, in diversi contesti organizzativi, sia pubblici sia privati, le difficoltà legate all’attuazione del GDPR non derivino tanto dalla normativa in sé, quanto dalla modalità del racconto, dell’interpretazione e come è stata vissuta nel tempo.

Restituire senso al Regolamento richiede un cambiamento di linguaggio e uno spostamento dell’attenzione dalla mera forma documentale al momento decisionale, riconoscendo che la protezione dei diritti non rappresenta un costo da sopportare, ma una condizione di qualità organizzativa e civile.

In questa prospettiva, il GDPR può essere compreso come un sistema di protezione delle persone fondato sul governo responsabile del potere informativo.

Nel prossimo capitolo, si entrerà nel cuore di questo fraintendimento, mostrando perché il GDPR non può essere letto soltanto come una normativa “sui dati”, ma anche come un vero sistema di governo del potere informativo, e perché riconoscerne questa natura costituisce un passaggio decisivo per comprendere responsabilità, asimmetrie e impatti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

0
Lascia un commento, la tua opinione conta.x