Dopo l’igiene dentale… arriva la richiesta su Instagram

Dopo una seduta di igiene dentale, tutto è sembrato procedere normalmente. Appuntamento fissato, prestazione eseguita con professionalità, rientro a casa. Nel pomeriggio, però, è arrivata una notifica inattesa: una richiesta di follow su Instagram da parte del professionista che aveva effettuato la prestazione.

Nessun messaggio insistente, nessun contenuto inappropriato. Solo una richiesta di collegamento su un social network. Apparentemente una cosa leggera, quasi naturale in un’epoca in cui i confini tra vita personale e professionale sembrano sempre più sfumati.

Ma, è normale? È lecito? O è semplicemente una leggerezza che merita una riflessione?

Uno studio medico raccoglie dati personali per finalità ben precise: erogare una prestazione sanitaria, gestire appuntamenti, adempiere a obblighi amministrativi e fiscali. Non per instaurare contatti personali al di fuori del contesto professionale. Anche se il profilo Instagram è pubblico, il collegamento tra nome, cognome e persona è stato conosciuto nell’esercizio di un ruolo professionale, in un ambito sanitario caratterizzato da una relazione fiduciaria e da un’evidente asimmetria tra professionista e paziente. Ed è questo elemento che cambia la prospettiva.

Il GDPR tutela prima di tutto la limitazione della finalità: i dati raccolti per curare non possono essere riutilizzati per altro, soprattutto quando quel “qualcos’altro” non ha alcun legame con la prestazione resa. Non si tratta di demonizzare i social network, né di trasformare un episodio in un caso giudiziario. Si tratta di riconoscere che esiste un confine tra ruolo professionale e sfera personale, e che quel confine è anche giuridico.

Episodi di questo tipo raramente nascono da intenzioni scorrette. Più spesso derivano da una percezione poco chiara dei limiti. Ed è qui che entra in gioco la formazione. La formazione privacy non è un registro firme o un set di slide archiviate. È lo strumento attraverso il quale si chiarisce che i dati conosciuti nell’esercizio di una funzione non sono “a disposizione” della persona che li tratta, ma restano vincolati alla finalità per cui sono stati raccolti. Quando questo principio non viene interiorizzato, il rischio non è tanto tecnico quanto culturale.

Il GDPR non serve soltanto a prevenire attacchi informatici o furti di database. Serve anche a proteggere i confini. I dati personali non sono informazioni neutre: sono informazioni affidate a un’organizzazione per uno scopo preciso. E fuori da quello scopo, semplicemente, non dovrebbero essere utilizzate.