Nel cuore del GDPR c’è una promessa semplice e straordinaria: proteggere i diritti e le libertà fondamentali delle persone e, allo stesso tempo, garantire la libera circolazione dei dati per sostenere l’economia europea.

Eppure, in Italia, a nove anni dalla sua entrata in vigore, questa normativa continua a essere percepita come un fardello burocratico, anziché come la leva di civiltà e di sviluppo che realmente è.

Oggi un’altra norma europea, la Direttiva NIS 2 (il nuovo quadro normativo dell’UE che punta a potenziare la sicurezza informatica e la cyber resilienza delle infrastrutture digitali in tutti gli Stati membri), sta entrando nei nostri sistemi con la stessa portata trasformativa e con la stessa logica di fondo.

Non mira a imporre solo obblighi ma innalzare la capacità delle organizzazioni di proteggere ciò che conta e di far funzionare meglio il mercato.

Questo primo articolo apre una pentalogia dedicata a capire i motivi e i rischi di questo fraintendimento che accomuna GDPR e NIS 2.

Ecco la prima di cinque tappe per imparare a riconoscere, comprendere e valorizzare le norme che possono rendere il nostro sistema digitale più sicuro, competitivo e umano.

La rivoluzione che non è stata diffusamente riconosciuta

C’è un fatto che sorprende chiunque si fermi a leggerlo con attenzione. Nel nostro ordinamento è efficace una normativa europea che, nero su bianco, dichiara di voler proteggere i diritti e le libertà fondamentali delle persone e, allo stesso tempo, garantire la libera circolazione dei dati per sostenere l’economia.

Una norma che dice esplicitamente che la salvaguardia dei diritti delle persone e il mercato non sono in contrasto. E, al contempo, che la protezione non è un freno allo sviluppo, ma ciò che lo rende possibile.

Questa norma è il GDPR, il Regolamento generale sulla protezione dei dati, in vigore dal 2016 e che si applica dal 2018, per regolare la raccolta, l’utilizzo e il trasferimento dei dati personali dei residenti nell’UE, stabilendo standard di privacy e sicurezza più alti e potenziando i diritti degli individui sui propri dati.

Citata nei convegni, menzionata nei documenti, temuta nei controlli, raramente capita di incontrare qualcuno che la consideri per ciò che è realmente, cioè una norma cardine della civiltà digitale europea, progettata per proteggere le persone e far funzionare meglio il mercato.

GDPR, nove anni dopo

A nove anni dalla sua adozione, questa normativa, in Italia, all’interno di molte organizzazioni sia pubbliche che private, continua a essere trattata come un fastidio burocratico, un elenco di obblighi e moduli da compilare, invece che come la più grande infrastruttura giuridica mai creata per rendere affidabile e sostenibile la società digitale europea.

È come se l’avessimo accolta senza leggerla davvero, senza comprenderne la portata, senza riconoscerne il valore.

Secondo me, questa rimozione collettiva ha una ragione precisa. Infatti il Gdpr non è mai stato davvero compreso e, finché non si capisce perché è nato e cosa promette, ogni tentativo di applicarlo resterà superficiale.

Ed è proprio per questo che oggi rischiamo di ripetere lo stesso errore con la NIS 2.

Lo stesso errore con la direttiva NIS 2

Anche la direttiva NIS 2 nasce con lo stesso respiro del GDPR: elevare la sicurezza e la resilienza delle infrastrutture digitali europee per garantire il funzionamento del mercato e rafforzare la competitività.

Ma se continueremo a considerarla soltanto come un altro pacchetto di adempimenti, sprecheremo un’occasione storica, come è già accaduto con il GDPR.

È da questa consapevolezza che nasce questa mia pentalogia: cinque articoli per riconoscere ed analizzare il fraintendimento che in molte realtà ha reso invisibile il valore del GDPR e per capire se la stessa miopia possa oscurare il potenziale della NIS 2.

È un viaggio per passare dalla conformità come obbligo alla conformità come responsabilità.

L’errore originario, quando il GDPR si è ridotto a burocrazia

Per capire come siamo arrivati fin qui, bisogna tornare al momento in cui il GDPR ha fatto il suo ingresso nel nostro ordinamento.

Era il 2016. L’Europa lo presentava come una svolta epocale, uno strumento per garantire ai cittadini il controllo sui propri dati e alle imprese un quadro unico e stabile per competere in un mercato sempre più digitale.

In Italia, però, il messaggio non è mai davvero passato. Quella che avrebbe dovuto essere una norma di sistema è stata trattata da tante persone come un fastidio amministrativo.

È stata raccontata con il linguaggio delle scadenze, delle informative da aggiornare, dei registri da compilare, delle sanzioni da temere.

E così, prima ancora di comprenderne la logica profonda, il GDPR finiva per incasellarsi nella categoria mentale dell’adempimento. Qualcosa da fare per mettersi a posto, non per funzionare meglio.

L’impatto di un approccio sbagliato

Questo approccio ha prodotto un effetto immediato e devastante: invece di spingere tutte le organizzazioni a ragionare sui propri processi, a capire come proteggere i dati e garantire la continuità delle attività, ne ha portate molte a concentrarsi sulla forma e a trascurare la sostanza.

Molte organizzazioni, sia pubbliche che private, hanno dunque moltiplicato i documenti, ma non le competenze. E hanno collezionato carte, ma non cultura.

Il risultato è stato che la norma più ambiziosa della civiltà digitale europea è diventata, agli occhi di molti, l’ennesimo peso inutile da sopportare.

Una questione culturale: la legge come barriera, non come leva

Penso che il fraintendimento del GDPR non sia stato un incidente tecnico, ma un riflesso culturale.

In Italia, per decenni, la legge è sembrata come qualcosa da subire: non tanto come un patto da condividere quanto più una barriera da superare.

Così, in molte organizzazioni pubbliche e private si è radicato un atteggiamento difensivo. Rispettare le regole non per crescere, ma per evitare problemi.

In questo schema mentale, l’obiettivo non è mai stato costruire sistemi solidi ma “mettersi a posto”.

Ci si è preoccupati più di mostrare di aver adempiuto che di capire cosa si stesse facendo e perché.

È così che il GDPR in tanti contesti è stato vissuto come una sequenza di moduli e adempimenti: un esercizio di forma non di sostanza.

Eppure il suo scopo era l’esatto opposto e includeva:

• creare fiducia;
• migliorare i processi;
• rafforzare la competitività delle imprese;
• garantire diritti e le libertà fondamentali degli esseri umani.

La falsa percezione della NIS 2: occorre abbandonare l’approccio difensivo

Ora, questo approccio difensivo, se non superato, rischia di colpire anche la NIS 2.
Perché anche la NIS 2, come il GDPR, non nasce per punire, ma per proteggere e rafforzare.

Nasce infatti per rendere:

• le infrastrutture critiche più sicure;
• i servizi essenziali più affidabili;
• le catene di fornitura più resilienti (in tutti i casi, per assicurare la continuità dei servizi anche in situazioni di emergenza).

Ma se la si affronterà con la stessa logica del “fare il minimo per evitare guai”, finirà nello stesso vicolo cieco in cui mi sembra sia stato confinato il GDPR: tanta carta e poca sostanza.

E a quel punto non avremo solo perso un’occasione. Avremo lasciato scoperti i diritti delle persone e la sicurezza dei sistemi da cui dipende la nostra economia.

Perché non possiamo sbagliare di nuovo con la NIS 2

La NIS 2 sta entrando ora nei nostri ordinamenti con lo stesso potenziale trasformativo che aveva il GDPR nel 2016.

Ma c’è una differenza decisiva. Questa volta non possiamo permetterci di sbagliarla.

Perché se il GDPR tutela la dimensione individuale – i diritti e le libertà fondamentali delle persone la NIS 2 punta a proteggere l’intero tessuto vitale delle nostre economie: le infrastrutture critiche, i servizi essenziali, le catene di fornitura digitali e fisiche da cui dipende ogni attività.

È una norma che non agisce solo sui dati, ma sulla capacità stessa delle organizzazioni di resistere agli shock, di prevenire gli incidenti, di garantire continuità quando tutto intorno vacilla.

In pratica, rappresenta la spina dorsale della sicurezza europea. E così, se funziona, crea fiducia e stabilità. Se fallisce, rischia di trascinare con sé l’intero mercato interno.

Ecco perché non possiamo affrontarla con lo stesso approccio burocratico e difensivo usato con il GDPR.

Se la ridurremo a un elenco di obblighi da spuntare, negheremo la sua natura profonda che non è quella di essere una catena, ma un sistema di protezione per persone, imprese e Stati.

Questa volta serve qualcosa di diverso: visione strategica, cultura organizzativa, capacità di integrare sicurezza e business.

In tal modo, potremo trasformare la NIS 2 da obbligo a vantaggio competitivo, e non in un’occasione perduta.

Non un altro obbligo, ma un’occasione per cambiare

In conclusione di questo mio primo contributo, a me sembra che oggi in Italia, il Gdpr ancora appare a molti come un ostacolo non perché sia troppo complesso, ma perché è stato guardato con occhi sbagliati.

Molti lo hanno trattato come una pratica da sbrigare e non come ciò che era davvero: una norma di garanzia, creata per proteggere le persone e allo stesso tempo far funzionare meglio l’economia.

Questo errore è costato caro perché in molti contesti, ha rallentato l’innovazione, ha svuotato di senso la compliance, reso diffidente il mercato e fragile la cultura organizzativa.

Ora la NIS 2 sta arrivando con lo stesso potenziale di trasformazione, ma su una scala ancora più vasta. Non solo i dati, ma la sicurezza e la resilienza dell’intero sistema economico europeo.

Non possiamo permetterci di ripetere lo stesso sbaglio. La NIS 2 non è infatti un altro pacchetto di obblighi, ma l’occasione per riscrivere il nostro modo di intendere la conformità. Per passare dalla mera obbedienza alla responsabilità consapevole, dal formalismo alla sostanza, dalla difesa passiva alla capacità di governare il cambiamento.

Questa pentalogia nasce per provare a capire se e come sia possibile realizzare questo passaggio.

Nel prossimo capitolo di questa pentalogia, si entrerà nel vivo del cambiamento che ha reso possibile tutto questo. Il superamento del vecchio modello prescrittivo del diritto classico e la nascita del nuovo modello valutativo, la chiave per capire come funzionano davvero il GDPR e la Nis 2.

E perché possono diventare la più grande occasione di crescita del nostro tempo.