Il GDPR, dieci anni dopo: abbiamo trascorso dieci anni a cliccare “accetta” e nel frattempo il mondo è cambiato

Poche norme europee sono riuscite, negli ultimi vent’anni, a entrare così profondamente nelle nostre case, nelle aziende, nelle conversazioni quotidiane e perfino nell’immaginario collettivo come il GDPR. Il Regolamento europeo 2016/679, ormai conosciuto universalmente più con il suo acronimo che con il suo nome completo, è riuscito nella non semplice triplice impresa di cambiare davvero il modo in cui le aziende trattano i dati, terrorizzare qualunque ufficio marketing e trasformarsi in una specie di risposta universale a qualsiasi domanda della vita quotidiana. Una specie di formula magica evocata in qualsiasi contesto, un meme organizzativo, una giustificazione universale, talvolta persino una leggenda metropolitana normativa. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e il Master in Cybersecurity e compliance integrata – NIS2, GDPR, DORA, AI Act e CRA: le interazioni e gli obblighi per imprese e pubbliche amministrazioni.

1. Il GDPR ha funzionato?

“Non possiamo farlo per il GDPR” è probabilmente una delle frasi più pronunciate nelle aziende europee degli ultimi anni, spesso con lo stesso livello di accuratezza scientifica con cui negli anni Novanta si spiegavano i problemi del computer dando genericamente la colpa a “Internet”. Uscito dai convegni specialistici, il nostro Regolamento preferito si è trasformato in un fenomeno culturale. Un po’ norma giuridica, un po’ leggenda urbana, un po’ creatura mitologica, evocata ogni volta che qualcuno in azienda voleva evitare responsabilità, discussioni o semplicemente fare prima. Nel frattempo, però, dietro meme, banner cookie che occupano metà schermo e informative lunghe quanto Guerra e pace, il GDPR è diventato anche una delle normative europee più conosciute e influenti degli ultimi decenni.
E forse proprio per questo, a dieci anni dalla sua approvazione, vale la pena farsi una domanda meno retorica e molto più scomoda: ha davvero funzionato? La risposta più onesta è: sì, ma forse non nel mondo che i suoi creatori avevano immaginato di regolamentare.
Quando il GDPR viene approvato nel 2016, il problema principale percepito dal legislatore europeo è ancora quello della raccolta massiva dei dati personali. La grande paura è la circolazione incontrollata delle informazioni online: database, profilazione commerciale, marketing aggressivo, social network che accumulano dati in quantità smisurate, utenti inconsapevoli che cliccano “accetta” senza leggere nulla.
E infatti il Regolamento nasce attorno ad alcune parole chiave chiarissime: consenso, trasparenza, minimizzazione, accountability, privacy by design, diritto all’oblio.
Per anni, il GDPR ha cambiato radicalmente il linguaggio delle aziende. Prima del 2018 parole come DPIA, data breach, registro dei trattamenti o accountability appartenevano quasi esclusivamente agli addetti ai lavori. Oggi sono entrate stabilmente nel lessico organizzativo, persino in realtà medio-piccole che fino a pochi anni fa consideravano la protezione dei dati un problema puramente informatico o, peggio ancora, una formalità burocratica da delegare all’ultimo momento.
Da questo punto di vista il GDPR ha avuto un successo enorme, probabilmente persino superiore alle aspettative iniziali.
Ha imposto l’idea che il trattamento dei dati personali non fosse un dettaglio tecnico, ma un tema di governance, responsabilità organizzativa e gestione del rischio. Ha costretto le imprese a interrogarsi sulla filiera dei dati, sulle misure di sicurezza, sui fornitori, sulla conservazione delle informazioni e sulla necessità di motivare le proprie scelte documentandole. Ha contribuito a diffondere una cultura della cybersecurity molto più ampia rispetto al passato. E, soprattutto, ha reso evidente che i dati personali non sono una risorsa neutra, ma una dimensione profondamente collegata ai diritti e alle libertà delle persone.
Il problema è che, mentre il GDPR entrava nelle aziende, il mondo tecnologico cambiava velocemente in una direzione che il Regolamento aveva intuito soltanto in parte.
Nel 2016 il problema erano soprattutto i dati che fornivamo volontariamente online. Nel 2026 il problema sono sempre più spesso i dati che non abbiamo mai dato a nessuno e che gli algoritmi riescono comunque a dedurre.
È questo il vero cambio di paradigma che sta mettendo sotto pressione l’intero impianto della protezione dei dati personali.
Per anni abbiamo immaginato la privacy come controllo sulle informazioni condivise: nome, cognome, indirizzo e-mail, numero di telefono, preferenze espresse, fotografie pubblicate, cronologia di navigazione. Oggi, invece, il cuore del problema si sta spostando sulle inferenze algoritmiche. Non conta più soltanto ciò che dichiariamo esplicitamente, ma ciò che i sistemi riescono a ricostruire, prevedere o ipotizzare analizzando enormi quantità di dati comportamentali.
Le piattaforme non si limitano più a sapere chi siamo. Cercano di prevedere cosa faremo, cosa compreremo, quanto siamo vulnerabili, se siamo stressati, depressi, impulsivi, politicamente influenzabili o emotivamente fragili.
Ed è qui che il GDPR mostra contemporaneamente tutta la propria forza e tutti i propri limiti.
La forza sta nell’aver introdotto principi ancora straordinariamente moderni. L’idea di accountability, ad esempio, è probabilmente una delle intuizioni giuridiche più importanti prodotte dal diritto europeo degli ultimi decenni: non basta rispettare formalmente una regola, bisogna essere in grado di dimostrare di aver costruito un sistema organizzativo coerente con la tutela dei diritti fondamentali.
Non è un caso che l’intera regolazione europea successiva, dal Digital Services Act all’AI Act, passando per NIS2 e Data Act, abbia ereditato proprio questo approccio basato sul rischio, sulla governance e sulla responsabilizzazione degli operatori.
Ma i limiti del GDPR emergono quando il dato personale smette di essere il centro esclusivo dell’ecosistema digitale. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.

2. Il GDPR nel mondo moderno

Perché oggi il vero potere delle piattaforme non deriva soltanto dai dati raccolti, bensì dalla capacità di elaborarli, combinarli e trasformarli in modelli predittivi. Il punto non è più semplicemente “quali dati hai su di me”, ma “cosa sei in grado di dedurre su di me anche senza avermelo mai chiesto”.
È una differenza epocale.
Ed è anche il motivo per cui il consenso, che per anni è stato presentato come il simbolo dell’autodeterminazione informativa, mostra ormai tutta la propria fragilità strutturale.
Abbiamo passato dieci anni a cliccare “accetta”.
Accetta i cookie per migliorare l’esperienza utente (quale espereinza?). Accetta il trattamento. Accetta i termini e condizioni. Accetta la profilazione (che cosa sarà mai chi lo sa, ma va bene lo stesso). Accetta tutto. Accetta talmente tanto che il consenso è diventato spesso un gesto automatico, quasi neurologico, svuotato di qualsiasi reale contenuto consapevole. E mentre gli utenti combattevano quotidianamente contro banner invasivi, informative interminabili e dark pattern progettati per orientare le scelte, l’economia digitale si evolveva verso forme di analisi sempre più sofisticate, nelle quali il valore non risiede più nel singolo dato personale ma nella capacità degli algoritmi di costruire inferenze comportamentali e psicologiche.
In questo senso, alcuni dei problemi più rilevanti dei prossimi anni rischiano persino di collocarsi oltre il perimetro originario del GDPR.
L’intelligenza artificiale generativa, i sistemi di emotion recognition, la profilazione predittiva, le tecnologie biometriche e le piattaforme capaci di dedurre stati emotivi o vulnerabilità cognitive pongono questioni che non riguardano soltanto la protezione dei dati personali in senso classico, ma la tutela dell’autonomia decisionale, della libertà cognitiva e della dignità della persona.
Il punto, allora, non è stabilire se il GDPR abbia fallito o avuto successo.
Il punto è riconoscere che il Regolamento è nato in un momento storico in cui pensavamo ancora che il problema centrale fosse la raccolta delle informazioni, mentre oggi il vero nodo del potere digitale risiede sempre più nella capacità di interpretarle, combinarle e usarle per orientare comportamenti, consumi, emozioni e decisioni.
Eppure, nonostante tutti i limiti, le storture applicative, le interpretazioni caricaturali e i banner cookie che continuano a perseguitarci come una forma di punizione escatologica europea, il GDPR ha avuto un merito gigantesco: ha costretto il mondo a prendere sul serio il tema del potere esercitato attraverso i dati.
Prima del GDPR la protezione dei dati personali era percepita da molti come una materia tecnica o burocratica. Oggi nessuna grande organizzazione può più permettersi di ignorare il tema. Nessuna piattaforma può fingere che la raccolta massiva di informazioni sia neutrale. Nessuna azienda può sostenere seriamente che trattamento dei dati, cybersecurity, governance e diritti fondamentali siano mondi separati.
Forse il GDPR non ha cambiato Internet quanto speravamo. Ma ha cambiato definitivamente il modo in cui guardiamo il rapporto tra tecnologia, mercato e persona.
E considerando da dove eravamo partiti dieci anni fa, non è poco.

Formazione in materia per professionisti

Master in Cybersecurity e compliance integrata – NIS2, GDPR, DORA, AI Act e CRA: le interazioni e gli obblighi per imprese e pubbliche amministrazioni
Il Master, giunto alla III edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il regolamento AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!