GDPR: un anno dopo, tutti conformi?

Il 25 Maggio 2018, data dell’entrata in vigore del GDPR (General Data Protection Regulation), era sulla bocca di tutti e su tutti gli schermi.

A seguito dei numerosi scandali che hanno danneggiato la reputazione di alcuni dei maggiori player del digitale (Facebook, per citarne uno), il GDPR è sembrato una risposta necessaria alle antiquate norme sulla protezione dei dati personali in un’economia digitale in forte espansione.
Dopo essere stato a lungo oggetto di dibattito, aver coinvolto i referenti legali e di marketing delle aziende, aver impegnato gli organismi di regolamentazione e reso più responsabili gli utenti, il GDPR non ha ancora finito di far parlare di sé.

Iniziative diffuse, ma non uniformi

Ora che è passato un anno dall'entrata in vigore del GDPR, occorre fare una prima osservazione: la maggior parte delle aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, per esempio, attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità “di facciata”, volto soprattutto a soddisfare i requisiti minimi di legge.

Se, finora, questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che lo hanno visto come un freno allo sviluppo dell’economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all’utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.

Ma è anche nel testo stesso che questa disparità di approcci ha in parte la sua origine. Il GDPR, nella sua prima versione, stabilisce dei principi che devono essere rispettati, ma senza fornire informazioni su come attuarli nella pratica, lasciando il campo aperto a diverse interpretazioni. Ogni attore del mercato era quindi responsabile dell'applicazione del metodo o dei metodi che sembravano più appropriati al proprio contesto di business e, spesso, il meno vincolante.

Verso un’armonizzazione maggiore (e più vincolante) delle prassi

Le misure, anche minime, adottate finora dalle imprese sono sufficienti a garantire la loro conformità al regolamento? Se esse, oggi, permettono loro di sfuggire alle sanzioni della CNIL, l’incertezza rimane comunque sul lungo termine. Nell’ultimo anno, il testo è stato modificato a seguito di scambi e feed-back ricevuti da organismi di regolamentazione e associazioni professionali, per definire con maggiore precisione i dettagli riguardo alla metodologia. Questo lavoro di adattamento e di precisazione risponde, da un lato, ai feed-back degli operatori del mercato e, dall’altro, alla necessità di armonizzare le pratiche a livello europeo.

Il GDPR è destinato ad essere applicato uniformemente all'intero mercato europeo, dove esistono ancora alcune disparità. La CNIL, che, per il momento, è nota per essere più permissiva delle sue controparti europee, affinerà e adatterà gradualmente il testo, rafforzando in parte le sue raccomandazioni per cancellare progressivamente le differenze locali e allinearsi alle regole applicate dai nostri vicini. Ciò significa, dunque, che le aziende dovranno stare attente gli sviluppi futuri e verificare che le metodologie e le procedure che hanno adottato rimangano conformi ai nuovi requisiti normativi.

Gli sviluppi previsti

Il GDPR non ha ancora detto la sua ultima parola. È ancora agli inizi e continuerà nei mesi e negli anni futuri a ridefinire l’approccio globale delle organizzazioni in materia di protezione dei dati personali. Tra le modifiche previste a breve termine, segnaliamo, per esempio, l’annunciata fine delle cosiddette forme “soft” di consenso, cioè legate alla semplice prosecuzione della navigazione su un sito web. Tollerato finora in Francia, questo metodo di raccolta dati, che risponde ad una possibile lettura del GDPR nella sua versione attuale, rischia di scomparire presto, a favore di metodi cosiddetti “rigorosi”, che consistono nell’espressione diretta del consenso (per esempio, attraverso un click su un pulsante “Accetta”). Anche la simmetria dei consensi farà indubbiamente parte dei prossimi sviluppi: essa consiste nel proporre una simmetria delle azioni possibili, per esempio, la presenza sistematica di un pulsante “Rifiuta” accanto al pulsante “Accetta”.

Infine, sono in corso di chiarimento anche i dettagli relativi agli scambi di dati tra partner. Ora, se un’organizzazione desidera condividere i dati che raccoglie dai propri utenti con terzi, dovrà identificare con precisione ciascuno dei partner coinvolti al momento della raccolta delle informazioni. Pertanto, il GDPR continuerà a evolvere e a diventare più preciso nell’ottica di regolamentare il mercato digitale e di responsabilizzare chi detiene dati riservati. Le organizzazioni, ora, devono considerare il GDPR come un parametro a se stante in tutte le loro decisioni: esso avrà un impatto finale sui loro metodi di lavoro, sui processi di progettazione e produzione e, naturalmente, sulle loro strategie e operazioni di marketing.

Oggi, spesso, ci preoccupiamo esclusivamente della punta dell’iceberg, ma la questione della conformità dovrà essere integrata nella vita quotidiana, per ogni argomento e per ogni attività, da ogni dipendente. Soltanto così le aziende potranno vedere sia i vantaggi che le opportunità e non unicamente gli svantaggi.

Michael Froment
CEO and CoFounder di Commanders Act
(www.commandersact.com)