– del team Safety 3.0
1. La privacy dei dati: dalle origini al GDPR
Il diritto a “esser lasciati in pace”
La privacy dei dati non è una moda recente né un’invenzione digitale. Le sue radici affondano nel XIX secolo, quando i giuristi americani Samuel Warren e Louis Brandeis, scandalizzati dall’invadenza della stampa e dalle prime macchine fotografiche, pubblicarono nel 1890 un articolo passato alla storia: “The Right to Privacy”, che definiva il diritto “a essere lasciati in pace”. Era l’alba di un nuovo diritto, destinato a espandersi ben oltre la carta stampata.
Dalla memoria del passato alla consapevolezza giuridica
Dopo le tragedie della Seconda Guerra Mondiale e le derive totalitarie, la tutela della sfera personale divenne una priorità. L’articolo 12 della Dichiarazione Universale dei Diritti Umani del 1948 sancisce la protezione contro interferenze arbitrarie nella vita privata. Ma fu in Europa, scossa dal ricordo delle schedature e dei controlli di massa, che la protezione dei dati cominciò a prendere forma concreta.
Le prime leggi, i primi segnali
Negli anni ’70, la digitalizzazione della pubblica amministrazione fece scattare un campanello d’allarme. La Svezia fu pioniera con la sua Data Act del 1973. In Germania, lo stato dell’Assia introdusse una legge simile già nel 1970, estesa a livello federale nel 1977. Non era ancora il tempo dei big data, ma già si temeva l’uso improprio delle informazioni da parte dello Stato.
Una svolta europea
Il 1981 segnò una tappa fondamentale: il Consiglio d’Europa adottò la Convenzione 108, primo trattato internazionale a protezione dei dati personali. Liceità, pertinenza, sicurezza: principi cardine che ancora oggi guidano la normativa moderna.
Con l’allargamento dell’Unione Europea e la necessità di armonizzare le leggi tra Stati, nel 1995 fu approvata la Direttiva 95/46/CE, antesignana del GDPR. Introdusse standard minimi, come la nozione di “dati sensibili”, ma lasciava troppa libertà agli Stati membri: il risultato fu un panorama normativo disomogeneo.
Il cyberspazio e la crisi della fiducia
Nel frattempo, Internet stava esplodendo e i dati iniziavano a viaggiare senza frontiere. Per gestire i trasferimenti verso gli USA, fu istituito il regime Safe Harbor (2000), spazzato via nel 2015 dalla Corte di Giustizia UE con la sentenza Schrems I. Il successivo Privacy Shield, tentativo di rattoppare la questione, fece la stessa fine nel 2020 (Schrems II). Il messaggio era chiaro: l’Europa non intendeva cedere sul diritto alla privacy.
2016: arriva il GDPR
È in questo clima che prende forma il Regolamento Generale sulla Protezione dei Dati (GDPR), approvato nel 2016 ed entrato in vigore il 25 maggio 2018. Una svolta radicale: non più una direttiva da recepire, ma un regolamento vincolante per tutti gli Stati membri.
Il GDPR non si limita a tutelare: impone responsabilità.
Stabilisce principi forti – trasparenza, minimizzazione, integrità – e introduce diritti tangibili per i cittadini:
- diritto di accesso
- rettifica
- cancellazione (diritto all’oblio)
- portabilità dei dati
- opposizione e limitazione del trattamento
Alle aziende, invece, chiede molto di più:
- notificare violazioni entro 72 ore
- nominare un Data Protection Officer (DPO) in determinati casi
- mantenere un registro dettagliato dei trattamenti
- esporsi a sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale.
Il GDPR cambia le regole (anche del gioco economico). Dal 2016 nulla è più come prima. Il GDPR ha ispirato nuove leggi nel mondo: in Brasile (LGPD), California (CCPA), India e oltre. Ma soprattutto, ha trasformato la privacy in una leva competitiva.
2. Quando la privacy decide. Vincitori e sanzionati.
In un mercato sempre più competitivo, non è solo il prezzo o la tecnologia a fare la differenza. La conformità alla normativa sulla protezione dei dati è diventata un criterio di selezione essenziale, sia nel pubblico che nel privato. Un’azienda che non rispetta il GDPR può essere esclusa da una gara, perdere un appalto già aggiudicato, ricevere notevoli sanzioni economiche o subire gravi danni reputazionali.
Hai violato la privacy? Tranquillo, te lo spiega il Garante. Con la calcolatrice.
Il GDPR stabilisce due livelli di sanzioni economiche massime:
Fino a 10 milioni di euro o al 2% del fatturato annuo mondiale (per la violazione di obblighi “formali”), ad esempio:
- Mancata notifica di una violazione dei dati (data breach)
- Mancata tenuta del registro dei trattamenti
- Mancata nomina di un DPO (Data Protection Officer), quando obbligatoria
Fino a 20 milioni di euro o al 4% del fatturato annuo mondiale (per violazioni più gravi), ad esempio:
- Trattamento illecito dei dati
- Violazione dei diritti degli interessati (accesso, rettifica, cancellazione, opposizione…)
- Trasferimenti illeciti di dati verso Paesi terzi
La sanzione effettiva viene calcolata caso per caso, tenendo conto di fattori come la gravità, la durata della violazione, il dolo o la negligenza, le misure correttive adottate, la collaborazione con l’autorità di controllo, ecc.
Alcuni casi concreti:
Caso 1 – Veneto, 2022
Un sistema autovelox raccoglieva le targhe di tutti i veicoli, non solo di quelli in infrazione. Il TAR annulla la gara: violazione del principio di minimizzazione (art. 5 GDPR).
Caso 2 – Italia, 2025
Il garante multa un network di agenzie e società coinvolte in un massivo sistema di procacciamento di contratti per l’attivazione di forniture di luce e gas basato su pratiche di telemarketing aggressivo e trattamento illecito di dati personali per mancato rispetto dei principi di generazione dei dati. Prevista multa per un valore di 850.000 euro
Caso 3 – Italia, 2025
Acea Energia SpA viene multata per base giuridica insufficiente al trattamento dei dati. Prevista multa per un valore di 3.000.000 di euro
Caso 4 – Regione Lombardia, 2025
Dall’istruttoria del Garante è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list – senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti. Provvedimento: comminata una sanzione di 50mila euro alla Regione Lombardia.
3. Le norme italiane parlano chiaro
Nel nostro ordinamento, il legame tra privacy e appalti è ormai ufficiale:
- 80, comma 5, D.Lgs. 50/2016: gravi violazioni del GDPR possono portare all’esclusione dalle gare.
- Lgs. 36/2023 (nuovo Codice Appalti): rafforza l’idea di affidabilità professionale, includendo privacy e cybersicurezza.
- La giurisprudenza recente lo conferma: chi non è conforme, non è affidabile.
Anche i privati si adeguano (e alzano l’asticella). Nel mondo corporate, soprattutto nei settori tecnologici, finanziari e industriali, la conformità GDPR è diventata prerequisito di accesso. Le grandi aziende pretendono:
- Audit indipendenti sui processi di trattamento
- Valutazioni d’impatto (DPIA) ben documentate
- Policy e clausole contrattuali anche per i subappaltatori
- Certificazioni come ISO/IEC 27001 o 27701
Chi non le possiede, non entra nemmeno nella lista dei fornitori qualificati.
Se pensi che la privacy sia solo carta, aspetta la PEC dell’Autorità.
Investire in una solida governance dei dati non serve solo a evitare sanzioni milionarie: è anche un elemento determinante per accedere più facilmente a bandi e commesse, ottenere punteggi più alti nella valutazione dell’offerta tecnica, ridurre in modo significativo i rischi legali e operativi e rafforzare la propria reputazione agli occhi di partner e clienti.
Per tutelare i propri appalti è fondamentale adottare un approccio strutturato alla protezione dei dati personali. Tutto parte da una mappatura chiara dei trattamenti, per comprendere dove, come e da chi vengono gestiti i dati. Quando il progetto lo richiede, è necessario procedere con una valutazione d’impatto sulla protezione dei dati (DPIA), utile per identificare e mitigare i rischi. Le policy di sicurezza e le misure tecniche devono essere integrate fin dall’inizio nella documentazione d’offerta. È altrettanto importante verificare la conformità dei subfornitori, in particolare quando operano al di fuori dell’Unione Europea. Infine, la formazione continua del personale rappresenta un presidio essenziale per garantire che tutti conoscano obblighi e responsabilità in materia di privacy.
La privacy non è un freno, è un acceleratore. Nel mondo degli appalti e delle partnership, il GDPR non è un ostacolo. È un indicatore di affidabilità, competenza e serietà.
Note e riferimenti normativi:
Enforcement Tracker: https://www.enforcementtracker.com/
Regolamento (UE) 2016/679 (GDPR)
D.Lgs. 101/2018 – Adeguamento al GDPR
