Michael Froment, CEO e Co-fondatore di Commanders Act, parla del GDPR a un anno dalla sua entrata in vigore. La normativa continua a far preoccupare le imprese.
Il 25 maggio 2018, la data dell’entrata in vigore del GDPR (General Data Protection Regulation) era sulla bocca di tutti e su tutti gli schermi. A seguito dei numerosi scandali che hanno danneggiato la reputazione di alcuni dei maggiori player del digitale (Facebook, per citarne uno), il GDPR è sembrato una risposta necessaria alle antiquate norme sulla protezione dei dati personali in un’economia digitale in forte espansione.
Dopo essere stato a lungo oggetto di dibattito, aver coinvolto i referenti legali e di marketing delle aziende, aver impegnato gli organismi di regolamentazione e reso più responsabili gli utenti, il GDPR non ha ancora finito di far parlare di sé.
Iniziative diffuse ma non uniforme
Ora che è passato un anno dall’entrata in vigore del GDPR, occorre fare una prima osservazione: la maggior parte delle aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, ad esempio attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità “di facciata”, volto soprattutto a soddisfare i requisiti minimi di legge.
Se finora questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che l’hanno visto come un freno allo sviluppo dell’economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all’utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.
Ma è anche nel testo stesso che questa disparità di approcci ha in parte la sua origine. Il GDPR, nella sua prima versione, stabilisce dei principi che devono essere rispettati, ma senza fornire informazioni su come attuarli nella pratica, lasciando il campo aperto a diverse interpretazioni. Ogni attore del mercato era quindi responsabile dell’applicazione del metodo o dei metodi che sembravano più appropriati al proprio contesto di business – e spesso il meno vincolante.
Verso un’armonizzazione maggiore (e più vincolante) delle prassi
Le misure, anche minime, adottate finora dalle imprese sono sufficienti a garantire la loro conformità al regolamento? Se esse oggi permettono loro di sfuggire alle sanzioni della CNIL, l’incertezza rimane comunque sul lungo termine.
Nell’ultimo anno il testo è stato modificato a seguito di scambi e feedback ricevuti da organismi di regolamentazione e associazioni professionali, per definire con maggiore precisione i dettagli riguardo alla metodologia. Questo lavoro di adattamento e di precisazione risponde, da un lato, ai feedback degli operatori del mercato, dall’altro alla necessità di armonizzare le pratiche a livello europeo.
Il GDPR è destinato ad essere applicato uniformemente all’intero mercato europeo, dove esistono ancora alcune disparità. La CNIL, che per il momento è nota per essere più permissiva delle sue controparti europee, affinerà e adatterà gradualmente il testo, rafforzando in parte le sue raccomandazioni per cancellare progressivamente le differenze locali e allinearsi alle regole applicate dai nostri vicini.
Ciò significa, dunque, che le aziende dovranno stare attente gli sviluppi futuri e verificare che le metodologie e le procedure che hanno adottato rimangano conformi ai nuovi requisiti normativi.
Gli sviluppi previsti
Il GDPR non ha ancora detto la sua ultima parola! È ancora agli inizi, per così dire, e continuerà nei mesi e negli anni futuri a ridefinire l’approccio globale delle organizzazioni in materia di protezione dei dati personali.
Tra le modifiche previste a breve termine, segnaliamo, ad esempio, l’annunciata fine delle cosiddette forme “soft” di consenso, cioè legate alla semplice prosecuzione della navigazione su un sito web. Tollerato finora in Francia, questo metodo di raccolta dati, che risponde ad una possibile lettura del GDPR nella sua versione attuale, rischia di scomparire presto, a favore di metodi cosiddetti “rigorosi”, che consistono nell’espressione diretta del consenso (ad esempio attraverso un click su un pulsante “Accetta”).
Anche la simmetria dei consensi farà indubbiamente parte dei prossimi sviluppi: essa consiste nel proporre una simmetria delle azioni possibili, ad esempio la presenza sistematica di un pulsante “Rifiuta” accanto al pulsante “Accetta”.
Infine, sono in corso di chiarimento anche i dettagli relativi agli scambi di dati tra partner. Ora, se un’organizzazione desidera condividere i dati che raccoglie dai propri utenti con terzi, dovrà identificare con precisione ciascuno dei partner coinvolti al momento della raccolta delle informazioni.
Il GDPR continuerà pertanto ad evolvere e a diventare più preciso, nell’ottica di regolamentare il mercato digitale e di responsabilizzare chi detiene dati riservati. Le organizzazioni devono ora considerare il GDPR come un parametro a sé stante in tutte le loro decisioni: esso avrà un impatto finale sui loro metodi di lavoro, sui processi di progettazione e produzione e, naturalmente, sulle loro strategie e operazioni di marketing. Oggi, spesso ci preoccupiamo esclusivamente della punta dell’iceberg, ma la questione della conformità dovrà essere integrata nella vita quotidiana, per ogni argomento e per ogni attività, da ogni dipendente. Solo così le aziende potranno vedere i vantaggi e le opportunità, non solo gli svantaggi.