GDPR, la normativa che ha cambiato l’approccio ai dati e alla security (ma non solo) è in vigore da un anno. Cosa è cambiato? Come si comportano imprese e cittadini?
Lo scenario attuale è quanto mai variegato e differenziato, in funzione del target preso in esame e al settore di pertinenza delle aziende.
La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni ed è in vigore dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide, saranno verosimilmente integrate.
I due anni che hanno preceduto l’entrata in vigore del GDPR hanno visto una corsa senza precedenti da parte delle aziende, le quali hanno esaminato e modificato le proprie pratiche per cercare di conformarsi al GDPR ed evitare così una potenziale ammenda fino al 4% dei propri ricavi globali, in caso di mancata dichiarazione di un avvenuto incidente informatico. Nel corso degli ultimi 12 mesi, dalla corsa iniziale si è passati ad un ritmo di adeguamento più cauto, man mano che le autorità di regolamentazione sviluppavano il processo di revisione delle centinaia di migliaia di denunce di violazione già presentate. Ad oggi, il numero di azioni intraprese a seguito di incidenti è stato molto limitato, con un tasso relativamente basso di ammende comminate, in quanto le autorità di regolamentazione si sono impegnate maggiormente a rendere il GDPR più efficace.
Ora che è passato un anno dall’entrata in vigore del GDPR, occorre fare una prima osservazione: la maggior parte delle aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, ad esempio attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità “di facciata”, volto soprattutto a soddisfare i requisiti minimi di legge.
Se finora questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che l’hanno visto come un freno allo sviluppo dell’economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all’utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.
Ma è anche nel testo stesso che questa disparità di approcci ha in parte la sua origine. Il GDPR, nella sua prima versione, stabilisce dei principi che devono essere rispettati, ma senza fornire informazioni su come attuarli nella pratica, lasciando il campo aperto a diverse interpretazioni. Ogni attore del mercato era quindi responsabile dell’applicazione del metodo o dei metodi che sembravano più appropriati al proprio contesto di business – e spesso il meno vincolante.