Tra due mesi sarà passato un anno dall'applicazione effettiva del Regolamento (UE) 2016/679, meglio conosciuto nei Paesi membri dell'UE con la sigla di General Data Protection Regulation (GDPR). Si tratta dell'insieme di norme che regolano il trattamento e la circolazione dei dati personali di persone fisiche e giuridiche, ossia cittadini e organizzazioni. L'obiettivo principale è quello di realizzare uno standard più fluido e comprensibile di regole per il trattamento dei dati, garantendo anche una maggior chiarezza giuridica legata al trasferimento di dati internamente ed esternamente all’Europa.
L'impatto del GDPR sulle aziende
Il testo approvato nel maggio 2018 ha voluto uniformare le norme europee sul trattamento dati e il diritto dei cittadini di avere il totale controllo delle informazioni che li riguardano. Il regolamento è costituito da 99 articoli e introduce alcune novità come: la portabilità dei dati, che prevede il diritto di scaricare e trasferire determinati dati da una piattaforma all’altra senza legarsi ad un particolare account; il diritto all’oblio, in cui l'utente può richiedere la rimozione delle proprie informazioni; l’obbligo di notifica in caso di data breach, ovvero il fenomeno in cui le aziende, in caso di fuga di informazioni sensibili, sono obbligate a comunicarlo entro tre giorni. Qual è stato l’impatto sulle aziende? Si è sicuramente trattato di un passaggio molto delicato e complesso nel suo insieme poiché il GDPR interessa le aziende che gestiscono e trattano tipologie di dati personali in ambiti di business molto diversi. Parliamo quindi di realtà bancarie, compagnie di trasporti, compagnie aeree e aziende legate all'intrattenimento online. Queste organizzazioni infatti, oltre alla gestione classica dei dati di registrazione dei clienti, devono garantire un servizio sicuro al momento della creazione di un account per gestire le varie informazioni su promozioni e bonus offerti e rendere chiara la propria informativa sui cookies, cioè degli elementi necessari per migliorare e assicurare all'utente che i contenuti e le funzioni siano efficaci per le ricerche.
Cittadini europei più tutelati, ma fuori l'UE?
I nuovi dodici diritti ruotano intorno alla garanzia che il cittadino e l'utente online abbiano la possibilità di dare o meno il loro consenso, tramite dichiarazioni rigorosamente trasparenti e chiare, all’utilizzo dei dati raccolti, essendo dunque consapevoli dell'uso, della durata della conservazione dei dati e degli eventuali destinatari terzi che potranno avere accesso agli stessi. La libertà di consenso esercitata dall'utente e la garanzia di poter in qualsiasi modo modificare o annullare il consenso e il divieto di trattare alcuni tipi di dati sono quindi il punto focale di questa tanto discussa normativa. Inoltre, gli utenti, grazie al diritto di accesso, avranno la possibilità di limitare e rettificare l'utilizzo dei propri dati, potendo anche sporgere reclamo alle autorità competenti di supervisione. In particolare, fra gli obblighi più importanti a cui devono sottostare le aziende oggi sono presenti: l'articolo 7 con la richiesta di consenso al cliente in forma chiara; l'articolo 30 che prevede l’istituzione di un registro delle attività e l'articolo 37 che richiede la presenza di un responsabile protezione dati, ovvero una vera novità in questo ambito. Se in Europa le società sono state costrette ad adattarsi ad una serie di regole ferree, negli Stati Uniti lo scenario è molto diverso perché non essendoci una legge unica sulla privacy, le aziende, soprattutto quelle tecnologiche, sono ancora libere di sfruttare al massimo la maggior parte dei dati a loro disposizione, a condizione di non effettuare pratiche ingannevoli e sleali. La mancanza di una legge federale nazionale, non solo in America ma più in generale nel mondo, ha creato una serie di contraddizioni all'interno delle aziende, come dimostrano le ultime vicende del popolare social network Facebook, che gestisce da diversi anni le informazioni degli utenti e che è stato protagonista di una serie di scivoloni in ambito privacy.
Se da una parte lo scopo principale della GDPR è quello permettere ai cittadini europei di avere maggiore fiducia nelle tecnologie della new economy, che saranno sempre più presenti nella loro vita quotidiana, dall'altra c'è la volontà di diffondere la giusta mentalità alle aziende per trattare il tema della privacy come un qualsiasi altro processo di crescita e di rinnovamento, soprattutto dopo la recente introduzione della fattura elettronica.