Le ricerche, in questo senso, sono molte. Come sottolinea Commanders Act, la maggior parte delle aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, ad esempio attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità “di facciata”, volto soprattutto a soddisfare i requisiti minimi di legge.
Se finora questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che l’hanno visto come un freno allo sviluppo dell’economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all’utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.
Le misure, anche minime, adottate finora dalle imprese sono sufficienti a garantire la loro conformità al regolamento? Se esse oggi permettono loro di sfuggire alle sanzioni della CNIL, l’incertezza rimane comunque sul lungo termine.
Nell’ultimo anno il testo è stato modificato a seguito di scambi e feedback ricevuti da organismi di regolamentazione e associazioni professionali, per definire con maggiore precisione i dettagli riguardo alla metodologia. Questo lavoro di adattamento e di precisazione risponde, da un lato, ai feedback degli operatori del mercato, dall’altro alla necessità di armonizzare le pratiche a livello europeo.
Il GDPR è destinato ad essere applicato uniformemente all’intero mercato europeo, dove esistono ancora alcune disparità. La CNIL, che per il momento è nota per essere più permissiva delle sue controparti europee, affinerà e adatterà gradualmente il testo, rafforzando in parte le sue raccomandazioni per cancellare progressivamente le differenze locali e allinearsi alle regole applicate dai nostri vicini.
Ciò significa, dunque, che le aziende dovranno stare attente gli sviluppi futuri e verificare che le metodologie e le procedure che hanno adottato rimangano conformi ai nuovi requisiti normativi.
Come precisa FireEye, al di là delle indagini rivolte alle aziende, il GDPR ha portato benefici per i consumatori dell’Unione Europea, in quanto le aziende hanno intensificato notevolmente il proprio impegno per educare il pubblico sulle pratiche in materia di dati. L’istituzione di meccanismi di accesso, rettifica e cancellazione delle richieste, ha dato a milioni di persone un metodo semplice per controllare meglio l’utilizzo dei loro dati personali. Inoltre, i diritti conferiti ai consumatori dall’UE hanno un effetto a valle su molti consumatori di Paesi terzi che possono così beneficiare di pratiche rafforzate, in quanto le imprese adottano adesso un approccio comune alla riservatezza dei dati.
Venendo così meno i grandi titoli su indagini chiuse e su multe onerose, una delle domande oggi più ricorrenti sul GDPR è se le aziende diventeranno compiacenti e ridimensioneranno di conseguenza i loro programmi per la privacy. Qualsiasi ritrattazione è per sua natura rischiosa, poiché l’uso di vecchie valutazioni di impatto sulla privacy o di inventari/elenchi obsoleti implicano una incompleta gestione delle attività di trattamento dei dati.
Queste lacune sono un segno evidente per le autorità di regolamentazione che il mantenimento di un programma di tutela della privacy è carente e probabilmente meritevole di un esame più attento. Un’altra questione importante è se le rivendicazioni di conformità delle aziende saranno verificate da terzi o rimarranno incontestate fino a quando le autorità di regolamentazione non si faranno sentire o non si dichiarino soddisfatte di ciò che rilevano.
Gli esperti di Ogury, specializzata in Mobile Journey Marketing, spiegano come, per i cittadini italiani, la comprensione su come le aziende utilizzano i dati degli utenti non sia migliorata molto. Un sorprendente 37% a livello globale dichiara di non sapere nemmeno cosa sia la GDPR e, se in Europa la percentuale cresce al 39%, in Italia si attesta al 34%.
I risultati di una recente ricerca rivelano che non tutte le aziende hanno correttamente implementato il modulo per la richiesta esplicita di consenso di raccolta e utilizzo di dati degli utenti. Il 78% degli utenti, a livello globale, non legge interamente l’informativa di consenso nella sua interezza, mentre il 52% degli utenti a livello mondiale afferma che, anche leggendo tale policy, non comprende come verranno effettivamente utilizzati i dati. La percentuale è ancora più elevata nei Paesi Europei dove la GDPR è in vigore da un anno: ben il 58%.
