Panico GDPR (e possibile Periodo di Grazia)
Le ultime settimane su internet sono state un periodo di puro panico. Decine di società e startup si sono affrettate ad aggiornare le loro politiche sulla privacy, ad aggiungere banner sui loro siti o c’è chi addirittura ha deciso di non avere a che fare, almeno per un poco, con utenti dell’Unione Europea per cavarsi dall’impiccio.
Tutto questo a causa dell’entrata in vigore della GDPR.
Cos’è questa benedetta GDPR
Si chiama, per esteso, General Data Protection Regulation e non ci è caduta dal cielo negli ultimi mesi. Si tratta del solito pasticciaccio all’Europea (e non all’Italiana soltanto) che ha avuto effetto su scala globale.
Si tratta di un regolamento senza precedenti nella tutela dei dati degli utenti, che da un lato offre una protezione mai avuta prima per i consumatori, dall’altra però un sacco di passaggi e cavilli burocratici che oltre a caricare le aziende di costi, quando si parla di digital, possono comportare l’esigenza di modificare completamente l’architettura di siti ed app e di ridurre l’esperienza utente.
Come già detto, per alcuni è stato molto più facile bloccare gli utenti europei che mettersi in regola, come hanno fatto Los Angeles Times, the Chicago Tribune, and The New York Daily per esempio. E addio alla libertà di informarsi dove si vuole e come si vuole, agli amici americanofili non rimane che affidarsi alle VPN.
GDPR in Breve
Il Regolamento è stato approvato nel 2016 con data di applicazione massima entro il 25 maggio 2018. Questo significa che il testo era già in vigore dopo la sua pubblicazione due anni fa ma che entro il 25 maggio 2018 tutti gli altri regolamenti nazionali perdevano vigore e dovevano essere sostituiti dal GDPR.
In realtà non è successo questo.
Prima di tutto, tutti si sono comportati come se il 25 maggio 2018 non dovesse mai arrivare: se n’è iniziato a parlare sul serio verso la fine del 2017 e anche da allora un pochissima minoranza di aziende si è preparata.
La GDPR rende legge il concetto di “privacy by design” il che significa che le aziende devono avere a monte l’intenzione di tutelare la privacy e non di metterci la toppa dopo.
Facciamo subito un esempio:
Azienda X sul sito permetteva agli utenti di registrarsi in cambio di offerte ed utilizzava cookie per statistiche avanzate sul traffico. Dopo un poco di tempo si è accorta che le normative sulla Privacy si stavano stringendo così si è fornita di un banner che chiede di accettare i cookie ed una pagina di normativa privacy che nessuno leggeva.
Questo è un “metterci la toppa dopo”.
Con la GDPR invece bisogna avere il consenso esplicito al trattamento dei dati, informando subito l’utente DI TUTTI i possibili modi in cui viene profilato. Non basta dire “ciao bello questo sito come tutti gli altri ha i cookie” ma dire “C’è un cookie per questo, uno per quello…”, per quali finalità e per quanto tempo i dati saranno conservati e l’utente dovrebbe avere la scelta di accettare o rifiutare singolarmente. Non esiste più il consenso implicito a tutto.
Non solo acquisizione ma anche gestione
Il caso menzionato prima non è l’unico effetto della GDPR. Infatti i dati degli utenti vanno anche “conservati” in modi particolari.
- Devono essere criptati e pseudonimizzati: non possono essere conservati in un semplice foglio excel in una cartella sul cloud che chiunque può leggere, ma solo il responsabile del trattamento dei dati può avere accesso tramite una chiave (spiegheremo meglio quest’ultimo punto)
- Devono essere trasferibili: cioè dobbiamo criptarli e avere una chiave di decrittazione ma anche usare un formato che in qualunque momento l’utente lo richieda possono essere trasferiti e letti da dispositivi e software diversi da nostri
- L’utente deve avere comunicazioni precise in caso in cui i dati vengono violati entro 72 ore
- Le Aziende che utilizzano dati “a larga scala” devono avere una figura di Responsabile del Trattamento dei Dati
E questi sono solo alcuni dei capisaldi della normativa.
Chi è coinvolto e cosa si rischia?
La GDPR coinvolge tutti: App, Siti Internet, Negozi con tessere fedeltà, liberi professionisti, artigiani…
I rischi sono alti perché le multe possono andare dal 4% del fatturato annuale fino a 20 milioni di Euro.
Adeguarsi non è sempre facile: ci sono dei costi da sostenere in termini di consulenza, tecnologia e formazione del personale. I costi per piccoli business sono difficili da stimare perché come abbiamo già detto si tratta non più di risolvere una situazione a posteriori, ma di lavorare sulla privacy by design, quindi ogni situazione è un caso a parte.
Per esempio, il sito del Garante della Privacy, riguardo all’obbligo di un responsabile per il trattamento dei dati ci dice:
sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Precisando “non esaustivo” dove in un altro elenco, sempre “non esaustivo” ci fa capire che in genere artigiani, liberi professionisti e piccole e medie imprese il cui core business non è legato ai dati dei clienti, non hanno bisogno di nominare la figura in questione.
Comunque dovranno sempre adeguarsi a tutto il resto del pacchetto GDPR.
Problemi ed Opportunità
Come ogni novità porta con sé problemi ma anche opportunità, e opportunità non significa solo quella di un fiorire di una nuova economia fatta di consulenti, tool per i siti internet e -corsi per Responsabili per il trattamento dei Dati.
Le prime opportunità sono per gli utenti, che ovviamente hanno molto più controllo sui loro dati.
Per le aziende potrebbe diventare uno strumento per aumentare la reputation: infatti visto che quasi nessuno si è ancora adeguato, la “compliance” con la GDPR potrebbe essere un valore aggiunto da presentare ai clienti ed un punto di forza che aziende più piccole potrebbero usare contro competitor più grandi che paradossalmente, essendo più grandi avrebbero più costi per adeguarsi.
Sicuramente i molti che lavorano online avranno vita dura mentre i colossi come Facebook (leggi l’articolo su gdpr e Facebook) e Google (appena entrato in vigore il regolamento qualcuno li ha già denunciati per tutte le modifiche unilaterali del trattamento dei dati) sicuramente riusciranno a farla franca modificando qua e là qualcosina ma nella sostanza senza rinunciare a niente, tanto si sa che le battaglie legali sono lunghe ed imprevedibili.
Chi ha scritto questo regolamento ha pensato molto ai dati degli utenti ma non ha pensato alle implicazioni dell’esperienza degli utenti in molte piattaforme online ed ai costi di adeguamento di queste: sicuramente è un demerito per una legge che dovrebbe essere all’avanguardia ma che rischia di farci fare balzi indietro nella libertà d’accesso all’informazione ed alle piattaforme (come già sta succedendo con siti internet bloccati ai cittadini UE).
Intanto pare che, come in Francia, anche l’Italia avvierà un periodo di grazia di 6 mesi per adeguarsi in cui le sanzioni saranno sospese. Chissà cosa accadrà in futuro…sei mesi da noi sono pochini per questo tipo di cose.
E tu? Ti sei preparato alla GDPR?
Come utente ti senti più tutelato o credi che sia complicato anche per gli utenti che dovrebbero essere “i tutelati” capire come gestire i propri dati con la GDPR?