Vai al contenuto

GDPR, in arrivo la nuova privacy europea. Quale sarà l’impatto nel digital marketing?

La data di entrata in vigore del nuovo regolamento europeo relativo alla privacy è dietro l’angolo: 25 Maggio 2018. Tale regolamento, chiamato GDPR (General Data Protection Regulation) ha lo scopo di regolare il tema della protezione dei dati personali e il modo in cui tali dati possono viaggiare tra un paese e l’altro.

Nel GDPR emerge in modo evidente la maggiore responsabilità attribuita al titolare del trattamento dei dati in caso di mancato o errato rispetto delle politiche che riguardano la privacy. Il provvedimento include diversi nuovi obblighi e relative procedure tecniche e operative che il titolare del trattamento deve mettere in opera per garantire la “trasparenza” e la “protezione” del dato. Il garante mantiene una certa autonomia nella gestione delle violazioni ma con il GDPR viene effettivamente introdotto il concetto di “valutazione dell’impatto” sulla “data protection”, con particolare riferimento ai diritti e alle libertà delle persone.

Per le imprese che trattano vaste quantità di dati sensibili e giudiziari viene imposta la nomina di un “Data Protection Officer”, che deve accertare il sistematico controllo dei requisiti in materia di privacy. Una figura che diventa obbligatoria per organizzazioni pubbliche e che, in ogni caso, deve dimostrare competenza e professionalità in questo ambito. Una funzione di sorveglianza di supporto al responsabile del trattamento che ha la mansione di valutare l’impatto sulla protezione dei dati ed eventualmente collaborare con il Garante.

Per quanto riguarda le persone fisiche, sarà introdotto il diritto all’oblio, ossia la possibilità di cancellarsi da un database, da menzioni in articoli o pagine pubbliche e quindi dai motori di ricerca. Tutti potranno richiederà la “portabilità dei dati” e quindi richiedere e ottenere una copia leggibile in un formato standard dei dati in possesso di un’impresa o organizzazione.

Leggi anche: GDPR news: sarà applicato anche alle nostre voci

protezione-dati-personali

Il GDPR spaventa per il notevole inasprimento delle sanzioni applicabili per l’inosservanza delle regole. I massimali arrivano infatti a punire le violazioni con pene pecuniarie che toccano i 20 milioni di euro o, per le aziende, fino al 4% del fatturato globale annuo dell’anno precedente, se superiore alla cifra sopra citata.  Le stesse sanzioni possono venire imposte anche in caso in cui un ordine dell’autorità di controllo non venga preso in carico ed implementato.

Il GDPR, che riguarda tutta l’Unione Europea, prevede anche la possibilità per l’autorità di controllo di vietare del tutto il trattamento dei dati.

L’adozione di uno strumento normativo come il Regolamento, che è valevole per tutta l’area UE, agevolerà l’esercizio del business di un’impresa che sarà facilitata, avendo limitato quell’incertezza giuridica derivante da normative diverse per ogni Stato e che spesso hanno rappresentato dei limiti alla crescita con necessario incremento di costi e attività burocratiche per superarli.

Chiaramente l’obiettivo del GDPR è quello di eliminare tutte le possibili incertezze giuridiche che hanno portato a polemiche e scandali. Non ultimo quello relativo a Cambridge Analytica (di cui abbiamo parlato qui) che, com’è noto, ha potuto avvalersi di dati sensibili (50 milioni) ottenuti tramite una app chiamata “this is your digital life”, realizzata dal giovane informatico Aleksandr Kogan grazie all’interfacciamento con Facebook.

Leggi anche: Facebook accesso dati: l’eco di Cambridge Analytica, forti limiti alle App e il caso Tinder

Il consenso alla privacy, cosa cambia?

La regolamentazione del consenso al trattamento dei dati è in effetti lo spauracchio per tutte le imprese che fanno business con i dati.

Il problema di fondo è che spesso il consenso è dato dalle persone senza la consapevolezza reale di ciò che si sta facendo. Quando si utilizza un’applicazione ludica, quando si decide di provare un quiz divertente o di partecipare ad un sondaggio, si può fornire dati sensibili senza che ci se ne renda conto. D’altronde, il dato personale è spesso l’obiettivo dell’applicazione che ha in mente di monetizzarlo con qualche formula commerciale.

Il GDPR, con il concetto di privacy by design, si propone di tutelare la persona fisica che deve poter essere adeguatamente informata del fatto che sta cedendo il dato e deve essere libera di non farlo. Questo significa che ottenere il consenso non sarà più una banale procedura dettata dall’interpretazione di processo ma sarà legata alla tecnologia ed al modello di business dell’impresa o organizzazione che sta acquisendo il dato.

Che cosa significa questo? E’ presto detto! Chi cerca di accaparrarsi dati personali offre un servizio gratuito in cambio del dato. Una specie di scambio che può sembrare equo se c’è piena coscienza da parte del potenziale fruitore del servizio. Anche colossi come Google o Facebook di fatto funzionano in questo modo. Tuttavia, non sarà più possibile esercitare alcuna pressione per forzare la mano su questo scambio.

Facendo un esempio pratico che può essere capitato a tutti. Se una applicazione interfacciata con Facebook ti invita a fornire dati relativi ai propri amici, ai propri interessi o anche la geo-localizzazione, ma il servizio è semplicemente quello di mostrarti quale celebrità ti somiglia, c’è una forzatura. Questo perché i dati che fornisci non sono essenziali per far funzionare il servizio ma servono solo a impinguare una preziosa banca dati utile per essere commercializzata a scopo pubblicitario.

Ebbene, se il modello di business dell’app in questione non necessita dati ma obbliga la loro cessione per poter permettere l’erogazione del servizio, il consenso potrà essere ritenuto non valido e potranno essere applicate le multe.

Leggi anche: Privacy: la sicurezza rischia quando si accede con facebook

Ecco quali tuoi dati personali usa Facebook per mostrarti la pubblicitàEvidentemente l’abolizione della regola che permette a molti business di richiedere i dati per erogare un qualsiasi servizio solo perché è gratuito cambia in modo pesante lo scenario del digital marketing. Le persone sanno bene che Facebook è utile e val bene il fatto di cedergli il dato perché ci permette di fare numerose cose piacevoli. Tuttavia non è piacevole sapere che i dati che si cedono sono molto più di quelli che si credeva e che in un attimo, potrebbero finire chissà dove per una banale distrazione o per mancanza di conoscenza dei funzionamenti di una applicazione apparentemente innocua.

Insomma, dal 25 Maggio il GDPR cambierà molto le regole che finora hanno permesso a molte imprese di ottenere i dati degli utenti. Le persone avranno molto più potere decisionale nei riguardi della possibilità di fornire all’economia digitale i propri dati e le informazioni che li riguardano mentre le aziende dovranno avere la capacità di dimostrarsi responsabili di proteggere tali dati.

Le implicazioni sulla concessione del consenso al trattamento e le direttive sulla data protection sono solo alcuni dei tanti aspetti del nuovo regolamento europeo riguardante la privacy. Il GDPR è una legge applicabile a livello internazionale e avrà una portata enorme che potrà cambiare le carte in tavola a tantissime imprese digitali. L’impressione è che molti addetti ai lavoro stiano sottovalutando questo terremoto ma in realtà si tratta di una regolamentazione a dir poco rivoluzionaria alla quale è bene prestare molta attenzione. La sensazione è che il GPDR possa davvero cambiare il corso della quarta rivoluzione industriale.