GDPR, IN ARRIVO LA NUOVA PRIVACY EUROPEA. QUALE SARÀ L’IMPATTO NEL DIGITAL MARKETING?

Di Alessandro Cirinei per business.it del 22/04/2018

La data di entrata in vigore del nuovo regolamento europeo relativo alla privacy è dietro l’angolo: 25 Maggio 2018. Tale regolamento, chiamato GDPR(General Data Protection Regulation) ha lo scopo di regolare il tema della protezione dei dati personali e il modo in cui tali dati possono viaggiare tra un paese e l’altro.

Nel GDPR emerge in modo evidente la maggiore responsabilità attribuita al titolare del trattamento dei dati in caso di mancato o errato rispetto delle politiche che riguardano la privacy. Il provvedimento include diversi nuovi obblighi e relative procedure tecniche e operative che il titolare del trattamento deve mettere in opera per garantire la “trasparenza” e la “protezione” del dato. Il garante mantiene una certa autonomia nella gestione delle violazioni ma con il GDPR viene effettivamente introdotto il concetto di “valutazione dell’impatto” sulla “data protection”, con particolare riferimento ai diritti e alle libertà delle persone.

Per le imprese che trattano vaste quantità di dati sensibili e giudiziari viene imposta la nomina di un “Data Protection Officer”, che deve accertare il sistematico controllo dei requisiti in materia di privacy. Una figura che diventa obbligatoria per organizzazioni pubbliche e che, in ogni caso, deve dimostrare competenza e professionalità in questo ambito. Una funzione di sorveglianza di supporto al responsabile del trattamento che ha la mansione di valutare l’impatto sulla protezione dei dati ed eventualmente collaborare con il Garante.

Per quanto riguarda le persone fisiche, sarà introdotto il diritto all’oblio, ossia la possibilità di cancellarsi da un database, da menzioni in articoli o pagine pubbliche e quindi dai motori di ricerca. Tutti potranno richiederà la “portabilità dei dati” e quindi richiedere e ottenere una copia leggibile in un formato standard dei dati in possesso di un’impresa o organizzazione.

Il GDPR spaventa per il notevole inasprimento delle sanzioni applicabili per l’inosservanza delle regole. I massimali arrivano infatti a punire le violazioni con pene pecuniarie che toccano i 20 milioni di euro o, per le aziende, fino al 4% del fatturato globale annuo dell’anno precedente, se superiore alla cifra sopra citata.  Le stesse sanzioni possono venire imposte anche in caso in cui un ordine dell’autorità di controllo non venga preso in carico ed implementato.

Il GDPR, che riguarda tutta l’Unione Europea, prevede anche la possibilità per l’autorità di controllo di vietare del tutto il trattamento dei dati.

L’adozione di uno strumento normativo come il Regolamento, che è valevole per tutta l’area UE, agevolerà l’esercizio del business di un’impresa che sarà facilitata, avendo limitato quell’incertezza giuridica derivante da normative diverse per ogni Stato e che spesso hanno rappresentato dei limiti alla crescita con necessario incremento di costi e attività burocratiche per superarli.

Chiaramente l’obiettivo del GDPR è quello di eliminare tutte le possibili incertezze giuridiche che hanno portato a polemiche e scandali. Non ultimo quello relativo a Cambridge Analytica (di cui abbiamo parlato qui) che, com’è noto, ha potuto avvalersi di dati sensibili (50 milioni) ottenuti tramite una app chiamata “this is your digital life”, realizzata dal giovane informatico Aleksandr Kogan grazie all’interfacciamento con Facebook.

Il consenso alla privacy, cosa cambia?

La regolamentazione del consenso al trattamento dei dati è in effetti lo spauracchio per tutte le imprese che fanno business con i dati.

Il problema di fondo è che spesso il consenso è dato dalle persone senza la consapevolezza reale di ciò che si sta facendo. Quando si utilizza un’applicazione ludica, quando si decide di provare un quiz divertente o di partecipare ad un sondaggio, si può fornire dati sensibili senza che ci se ne renda conto. D’altronde, il dato personale è spesso l’obiettivo dell’applicazione che ha in mente di monetizzarlo con qualche formula commerciale.

Il GDPR, con il concetto di privacy by design, si propone di tutelare la persona fisica che deve poter essere adeguatamente informata del fatto che sta cedendo il dato e deve essere libera di non farlo. Questo significa che ottenere il consenso non sarà più una banale procedura dettata dall’interpretazione di processo ma sarà legata alla tecnologia ed al modello di business dell’impresa o organizzazione che sta acquisendo il dato.

Che cosa significa questo? E’ presto detto! Chi cerca di accaparrarsi dati personali offre un servizio gratuito in cambio del dato. Una specie di scambio che può sembrare equo se c’è piena coscienza da parte del potenziale fruitore del servizio. Anche colossi come Google o Facebook di fatto funzionano in questo modo. Tuttavia, non sarà più possibile esercitare alcuna pressione per forzare la mano su questo scambio.

Facendo un esempio pratico che può essere capitato a tutti. Se una applicazione interfacciata con Facebook ti invita a fornire dati relativi ai propri amici, ai propri interessi o anche la geo-localizzazione, ma il servizio è semplicemente quello di mostrarti quale celebrità ti somiglia, c’è una forzatura. Questo perché i dati che fornisci non sono essenziali per far funzionare il servizio ma servono solo a impinguare una preziosa banca dati utile per essere commercializzata a scopo pubblicitario.

Ebbene, se il modello di business dell’app in questione non necessita dati ma obbliga la loro cessione per poter permettere l’erogazione del servizio, il consenso potrà essere ritenuto non valido e potranno essere applicate le multe.