{{feedLink}}

Weaponization non è mai una bella idea. Una sentenza CGUE fa il punto e dissolve molti dubbi.

weaponization Christian Bernieri - Tempo di lettura: 6 min.
(Aggiornato il )
Liberamente ispirato dall'immortale opera di Kubrick - ai generated image

Era l'alba dell'uomo: era solo un osso, solido, resistente, capace di moltiplicare i risultati della caccia e, quindi, di far prosperare la propria tribù a svantaggio delle altre. Nulla di più di un osso. Ma avvenne qualcosa e il passaggio fu molto breve. In un attimo, quello stesso osso venne usato contro i propri simili è conferì un enorme potere all’ominide che lo brandì per la prima volta come arma.

Da lì in poi, la storia è diventata ricorsiva e tediosa. 

 

Oggi utilizziamo termini come weaponization, parliamo di tecnologie dual-use con riferimento alle mirabolanti e più moderne innovazioni tecnologiche che possono essere utilizzate sia per usi civili che in ambito bellico, ma non siamo andati molto più in là rispetto alla scena madre di “2001: Odissea nello spazio”.

 

Non serve scomodare i potenti del mondo, i generali a 5 stelle o le tecnologie più avveniristiche. Basta guardare ciò che ci circonda nel quotidiano per trovare gli stessi identici ominidi che ci hanno preceduto.

Ricordo bene quando, ai tempi di MonitoraPA, mi confrontai con questo tema, applicato al mondo dei DPO: non l’account parodia tuttora attivo, ma quell'armata di scappati di casa che ha rotto i maroni a mezz’Italia.

MonitoraPA ebbe la brillante idea di utilizzare alcuni strumenti previsti dal diritto come una clava per “riempire il Garante come una focaccia di reclami" (parole loro) e per spaventare le pubbliche amministrazioni. Nel loro piccolo, hanno fatto un discreto danno, senza tuttavia migliorare il mondo di una virgola. Ottimo risultato, quindi. Li definii perniciosi e il giudizio è rimasto tale. Presi spunto da quella vicenda per un articolo intitolato “Nel torbido si pesca meglio? MonitoraPA e GA nella PA”.

In realtà ne ho parlato anche in altre occasioni, come nel pezzo intitolato “C'erano un vigile cagionevole, una studentessa agitata e un giudice gallese...": tre casi di maltrattamento del GDPR.

 

Oggi la storia si ripete, sempre uguale a se stessa, e altri ominidi brandiscono la loro clava per gli stessi identici biechi fini. Ma qualche volta l’osso sfugge di mano, causando dolori e figuracce.

La Corte di Giustizia ha appena sfilato la clava dalle mani di una fantasiosa signora teutonica che era solita iscriversi a ogni newsletter presente sul web, per inviare, subito dopo, una richiesta di accesso ai dati e, in caso di risposta inadeguata o di silenzio per oltre 30 giorni, chiedere sonori risarcimenti per il danno subito, lamentando una intollerabile violazione del GDPR.

Causa C526/24.  (19 mazo 2026)

 

L’accesso ai dati è effettivamente un diritto previsto proprio dal GDPR e consiste nell’invio di una richiesta, anche informale, volta a conoscere la presenza di un trattamento e i suoi dettagli: quali dati sono in possesso del titolare, con chi vengono condivisi, per quali finalità, ecc.

Personalmente ho ricevuto richieste analoghe, sia come DPO che come titolare del trattamento e, quando è capitato, non ho potuto trattenere le risate.

La signora tedesca deve aver incontrato gente meno faceta di me che, in risposta, le ha negato il riscontro e, appena lei ha vantato il diritto a un risarcimento, l’ha portata in tribunale.

Sdeng. L’osso, pesante e bitorzoluto, ha causato un bernoccolo sul coriaceo capoccione dell'ominide. Non ne ho la certezza, ma ho il sospetto che la signora sia originaria di Neandertal, vicino a Düsseldorf.

Dopo diversi chili di carte bollate e rimbalzi da un tribunale all’altro, la questione è arrivata alla Corte di Giustizia (CGUE – CURIA) e lì ci si deve fermare, perché più in alto non si può andare.

La Corte, penso sghignazzando e scuotendo la testa in segno di incredula disapprovazione, ha messo nero su bianco come debba essere interpretato e applicato il GDPR nella parte in cui sancisce il diritto di accesso ai dati:

Già la prima richiesta di accesso ai dati può essere considerata «eccessiva» qualora il titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso, che, nonostante il rispetto formale delle norme, questa richiesta è stata presentata non per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei propri diritti, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento.

Inoltre, il fatto che l’interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l’esistenza di un intento abusivo.

 

Abuso di diritto, quindi.

Ovviamente non è una buona notizia per la signora, che immagino con aria piccatissima nel suo dirndl: con ogni probabilità, dovrà sobbarcarsi le spese legali e, soprattutto, dovrà trovarsi un altro passatempo e una fonte di reddito più onesta.

Uscendo dal caso specifico, ciò che ha scritto la Corte di Giustizia ribadisce un principio importante: i diritti sono tali se utilizzati in modo appropriato. Ogni abuso di un diritto non è lecito e deve essere contrastato.

Ai tempi degli ominidi nostrani di MonitoraPA, mi distaccai dal gruppo anche per questa ragione, non condividevo la strumentalizzazione del GDPR. È stupefacente come, certe volte, sia necessario ricorrere a un tribunale per chiedere che venga puntualizzato l’ovvio, quando basterebbe un cervello appena più evoluto di quello di un australopiteco per constatare l’evidenza.

Cosa cambia, oggi, dopo questa sentenza? Non penso che le consuete richieste di accesso ai dati "a vanvera" diminuiranno. Ho l'impressione che l'evoluzione abbia ritmi incompatibili con la durata della mia osservazione e, soprattutto, credo che certe cose, mai cambiate, non cambieranno mai. Però cambierò io e, con me, tanta altra gente che si occupa di protezione dei dati personali. 

Da oggi, la risposta a queste forme di bullismo potrà essere molto più netta, secca, quasi ruvida, ma senza mai rinunciare ad un minimo di garbo professionale:

"Vaffanculo, per favore!"

 

Buona fortuna, dunque, a tutti coloro che hanno l’abitudine di utilizzare il GDPR come clava.

Prosit.

 

 

Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è si... allora una birra virtuale è d'obbligo!

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...