"C'erano un vigile cagionevole, una studentessa agitata e un giudice gallese...": tre casi di maltrattamento del GDPR.
LA BARZELLETTA
Parto dalla fine: poca privacy per i criminali.
Spesso sento dire che "la privacy non serve alle persone per bene" e che "chi non ha nulla da nascondere non ha nulla da temere".
Deiezioni bovine! (traduzione di cortesia dall'inglese)
Le persone per bene hanno il pieno diritto alla protezione dei dati personali e nessuno può pretendere di conoscere i fatti loro. Nessuno.
Al contrario, sono i criminali che non hanno il diritto utilizzare le norme in materia di protezione dei dati come scudo per le proprie malefatte. Peraltro, pure i criminali conservano il diritto alla protezione dei propri dati, per quanto non necessario all'accertamento dei reati.
Tralasciando le opinioni e i punti di vista, la realtà ci mostra come stanno le cose. Ho letto una combo di notizie che dimostra quanto sia sbagliato pensare alla privacy come ad un paravento per delinquenti.
PRIMO CASO: ACAB
Ravenna, poliziotto arrabbiato per un trasferimento sgradito si vendica cancellando dati dai sistemi informatici, utilizzano i propri privilegi di accesso, naturalmente mentre è in malattia come si usa fare nel settore. Malato, sì ma non abbastanza da impedire di perpetrare la sua vendetta. È tutto terribilmente banale e scontato. Il poliziotto ha abusato del proprio ruolo, ha trattato i dati compiendo operazioni che non avrebbe dovuto effettuare, al solo scopo di danneggiare l'ente di appartenenza. La questione è arrivata in tribunale e un avvocato, spero per dovere d'ufficio, sta cercando in tutti i modi di giustificare il suo operato. Il difensore è arrivato a dire che il poliziotto ha cancellato i dati per mancanza di formazione... No comment.
Questa storia non finirà bene, il lavoratore rischia l'accusa di accesso abusivo ad un sistema informatico protetto e il suo distintivo sarà una aggravante.
Con buona pace dell'avvocato, il GDPR non potrà essere utilizzato come scudo per proteggere il poliziotto dalle conseguenze delle sue malefatte.
SECONDO CASO: OKKUPAZIONE
Un istituto scolastico di Roma è stato occupato. La direzione ha riscontrato dei danni e si è attivata per identificare e sanzionare i responsabili. I genitori della ragazza individuata, come da copione, anziché perseguire finalità educative, hanno cercato di salvare l'onore della propria pargoletta chiedendo al Garante di dichiarare illegittimo l'uso da parte della scuola delle immagini della figlia. Immagini che la ragazza stessa ha pubblicato sui social per vantarsi della bravata e dei danni arrecati durante l'occupazione.
Il Garante ha respinto il reclamo e ha deciso a favore della scuola, riconoscendo un trattamento corretto e lecito nell'ambito delle funzioni istituzionali, del contesto e dei fatti accaduti.
Anche in questo caso il GDPR non è affatto d'aiuto per legare le mani a chi esercita legittimamente una funzione che implica l'acquisizione e il trattamento di dati personali.
L'ERRORE
Due casi emblematici che ci ricordano un principio fondamentale contenuto nel GDPR: il contemperamento dei diritti.
Il diritto alla protezione dei dati personali (chiamiamolo dpdp per brevità) non è un diritto tiranno, assoluto, prevalente su tutto e su tutti. Al contrario, è uno dei tanti diritti che devono essere contemperati.
In molti casi, il dpdp prevale, come accade per esempio quando si confronta con il diritto di un datore di lavoro a controllare a distanza l'operato dei propri dipendenti. In altri casi il dpdp non prevale affatto, per esempio quando incontra esigenze collettive e superiori come la salute pubblica. Nella maggior parte dei casi, il dpdp trova la propria collocazione accanto ad altri diritti, senza che vi sia una prevalenza dell'uno sull'altro ed è ciò che chiamiamo "contemperamento degli interessi".
In questi casi si parla di win-win o gioco a somma positiva, tutti felici e nessuno sconfitto.
Un esempio concreto è il diritto di cronaca che giustifica la pubblicazione di notizie anche se riguardanti singoli individui riconoscibili. A Ravenna, molti conoscono il poliziotto cagionevole, nella scuola romana tutti hanno riconosciuto la compagna esagitata. Queste persone continuano a godere del dpdp ma con una leggera compressione data dal diritto di cronaca. I due articoli sono ottimi esempi di cronaca rispettosa del dpdp, due ottimi esempi di contemperamento di interessi contrapposti.
Provare ad utilizzare il GDPR come clava per prevalere su altri legittimi interessi, come arma o come scudo per nascondere malefatte, significa abusare di un diritto e non trova alleati nei giudici o nel Garante.
Duole dirlo ma è proprio a causa di persone sgangherate come il poliziotto infermiccio o gli apprensivi genitori della studentessa romana che si genera un sentimento negativo e di fastidio rispetto alle norme che tutelano il dpdp.
Mi tornano alla memoria le gesta eroiche di quei due scansafatiche che hanno provato a utilizzare il GDPR come arma per il proprio tornaconto: MonitoraPA. Storia antica dalle tante sfaccettature che dovrebbe aver insegnato a tutti quanto sia sbagliata la weaponization del GDPR.
IL PARADOSSO
Come spesso accade, si arriva ad un limite che evidenzia quanto siano sbagliate certe applicazioni irragionevoli o maccheroniche della normativa privacy. Il terzo caso di cronaca (fonte) prende a sberle il cervello di chi non ha ben compreso come funzioni il GDPR:
- a Topolino viene rubato il cellulare.
- Il ladro, Paperinik, utilizza il cellulare rubato e, così facendo, lo popola di propri dati personali, foto, telefonate, messaggi.
- Il commissario Basettoni arresta il ladro, ritrova la refurtiva, ma si rifiuta di restituire il telefono a Topolino, il legittimo proprietario, per salvaguardare il diritto alla protezione dei dati personali di Paperinik, il ladro.
- Topolino si arrabbia come una biscia e si rivolge ad a Gufo, il Giudice di Paperopoli, che ironizza sulla vicenda
Solo a Paperopoli è lecito aspettarsi questa situazione, ma è avvenuto veramente in Galles. Viviamo in un mondo fantastico. Del resto è lo stesso mondo in cui un membro dell'autorità Garante della Privacy fu eletto nonostante una condanna per rivelazione del segreto d’ufficio. Transeat.
Come è finita? O meglio, come dovrebbe finire alla luce di ciò che ci dice il GDPR?
Nel mio piccolo, spero di aver condiviso sufficienti elementi per permettere a chiunque di uscire dall'impasse e escogitare un modo per sbloccare la situazione, punire Paperinik, restituire il telefono a Topolino senza calpestare i diritti di nessuno e senza mortificare la norma.
Il PAROSSISMO
Questo paragrafo è stato aggiunto successivamente, il 4 marzo 2025.
Mi sono imbattuto in una notizia agghiacciante che da un ulteriore luce al concetto di weaponization delle norme in materia di protezione dei dati personali: gli stalker utilizzano lo strumento del "diritto di accesso ai dati" per ottenere copia di fascicoli processuali che li riguardano e che contengono informazioni riservate sulle loro vittime. Anche in caso di violenza domestica. Una follia. Per fortuna c'è chi si è opposto all'ignoranza... sì, perchè nessuna norma, e non certo il GDPR, autorizza a condividere dati sulla base di una domanda tiranna ,in violazione delle libertà, della sicurezza personale o dei diritti di altre persone.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.
Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
