Login

Regolamento generale sulla protezione dei dati - Un anno al via

Scritto da Caterina Poppi In data 5 tempo di lettura

Una nuova legislazione sta per cambiare le normative europee in materia di data privacy. A meno di un anno dal via, cosa dovrebbero fare i business per essere conformi alla nuova regolamentazione?
lock

Tra circa 12 mesi una nuova ferrea legge entrerà in vigore in tutta l'Unione Europea.

Parliamo del Regolamento Generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) che  rivoluzionerà il modo in cui gli oltre 500 milioni di consumatori europei gestiscono i propri dati, in qualsiasi aspetto della loro vita: dalla pagina FB alle prescrizioni del medico di fiducia.

E se ci state leggendo fuori dai confini europei, o dal Regno Unito, convinti che l'inevitabile Brexit vi risparmierà tutto questo, ripensateci. Questa nuova legislazione quasi certamente si applicherà anche a voi.  

Il GDPR infatti entrerà in vigore dal 25 maggio 2018, e molti stanno aspettando che la Commissione Europea dia consigli pratici per aiutare a raggiungere l'agognata conformità. Nel frattempo ci sono alcune cose di cui siamo già sicuri e tutti i business della rete possono iniziare a mettere in pratica alcune accortezze già da ora.

1. Tenersi informati: se leggendo l'incipit di questo post vi siete chiesti innanzitutto cosa sia il GDPR, il primo passo è colmare questa lacuna. A Gennaio un sondaggio su 2.000 professionisti dell'IT nel Regno Unito ha scoperto che il 53% non ha idea di cosa si stia parlando (quindi siete in buona compagnia). Non è colpa di nessuno in realtà. Anche chi è stato coinvolto per anni nei macchinosi meandri della legislazione aspetta ancora che venga fatta chiarezza sugli elementi più critici. Ci sono moltissime risorse online ma diffidate da qualsiasi compagnia che cerca di vendere i suoi servizi legali e che dichiara di avere tutte le risposte: al momento questo non è possibile.  

2. Eleggete un Data Protection Officer che sappia tutto dell'argomento. Forse potrebbe sembrare un requisito solamente per le compagnie più grandi, che con più probabilità di altre si troveranno a essere esaminate, con il rischio di non accorgersi di eventuali violazioni. In realtà però nessuna azienda verrà risparmiata. Il DPO deve essere imparziale e lavorare in maniera indipendente, il che porterà molte aziende a cercare questa persona esternamente.

3. Fatevi consigliare dalla propria Data Protection Agency locale. Ogni stato membro dell'Unione ha una DPA locale ed è responsabilità di questi enti assicurarsi di offrire la giusta guida e supporto. Considerata la natura universale del Regolamento, la sua implementazione dovrà avere le stessi basi in qualsiasi stato d'Europa. L'intera lista delle DPAs locali può essere trovata qui.

4. Stabilite cosa implica il GDPR. Il nuovo regolamento infatti non si limita a trattare l'uso dei dati personali nel digital advertising, anche se questo è ovviamente il tema di maggior interesse per noi. E' importante capire esattamente lo scopo del GDPR, che si applica a tutti i dati personali. Ma l'interpretazione di cosa effettivamente siano i "personal data" potrebbe non essere univoca: i cookie e gli indirizzi IP ad esempio vengono messi sullo stesso piano della razza, del sesso così come di qualisasi altra informazione identificativa. 

5.  Pseudonymization vs Anonymization. Due termini distinti e spesso confusi, il primo permette di sostituire l'identità del soggetto, richiedendo ulteriori intormazioni per identificarla, l'anonimizzazione invece la distrugge irrimediabilmente. Il GDPR è pensato per incoraggiare i business a ripensare a come vengono usati, conservati, spostati ed eliminati i dati personali dei consumatori. Un concetto introdotto per minimizzare il rischio è la pseudonymization appunto, ovvero criptare o separare i dati, in modo che se qualcuno dovesse avervi accesso non sarebbe comunque in grado di ricollegare una persona a un determinato set di dati. Per esempio Awin codifica tutte le informazioni ricavate col cross-device che, anche se ci è molto utile per capire la customer journey su più dispositivi, non ci permette di risalire al consumatore  stesso. Il concetto di "privacy by design" è molto importante.

6. Se avete consumatori in Europa, non importa dove è la vostra sede. Il GDPR si applica a tutti i consumatori di qualsiasi paese dell'Unione Europea, quindi è in effetti irrilevante per voi se non avete un'entità legale qui. Per chi si trova nel Regno Unito e sta già gongolando, aspettate: se offrite beni o servizi a cittadini europei, si applica però anche a voi e lo stesso vale per le aziende americane.

7. Ci sono alcune eccezioni: come i legittimi interessi, che possono essere usati come base legale per usare e conservare dati personali, ma è molto probabile che sia un confine sottile. A giugno verrà finalmente rilasciata una guida che spiegherà quando è effettivamente consentito l'utilizzo dei dati personali.

8. Maggiori obblighi. Il GDPR si applica sia a chi controlla e processa i dati. In altre parole, anche le compagnie che agiscono come controllore (per esempio un business di archiviazione cloud) dovranno avere tutto in ordine. Ciò estende la portata del Regolamento a un grande numero di compagnie, che dovranno essere identificate come uno o l'altro.

9. Non perdete di vista gli aspetti positivi. Da sempre infatti i consumatori sono sospettosi sull'utilizzo dei loro dati e l'online ha creato una nuova nebulosa dimensione. Aumentando la loro consapevolezza e dando il controllo al consumatore ordinario. Il settore ha l'opportunità di riscrivere le regole, definendo come i dati vengono raccolti e trattati. Le aziende possono pensare fuori dagli schemi e pensare a nuovi modi di relazionarsi con i suoi consumatori.

10. Non mettete la testa sotto la sabbia.  Potete pensare che uscire dall'Europa sia un'ottima idea, oppure  la minaccia più spaventosa alle nostre economie digitali, il GDPR è comunque inevitabile. Affinchè il messaggio sia forte e chiaro, sono state previste sanzioni per le violazioni della normativa, e che sanzioni: €20milioni o il 4% del fatturato annuale. Un segnale a dir poco significativo. 

Prima di entrare in panico, c'è ancora tempo per familiarizzare con il suo funzionamento. L'Information Commissioner’s Office del Regno Unito ha diffuso alcuni utili consigli. Se invece cercate un pò di informazioni di scenario, la pagina di Wikipedia come sempre può essere un utile strumento per capire chi sono le parti coinvolte nel progetto. 

Articoli correlati