Un anno dopo la sua entrata in vigore, il GDPR non ha ancora avuto la sua ultima parola e continua a far preoccupare le imprese.

Il 25 maggio 2018, l’entrata in vigore del GDPR (regolamento generale sulla protezione dei dati) era sulla bocca di tutti e su tutti gli schermi. Rifacendosi ai numerosi scandali che avevano danneggiato la reputazione di alcuni dei maggiori attori del settore digitale (Facebook, per citarne uno), il GDPR è sembrato una risposta necessaria alle obsolete norme sulla protezione dei dati personali in un’economia digitale in forte espansione.

Dopo essere stato oggetto di dibattito a lungo, aver messo in moto i dipartimenti legali e di marketing delle aziende, dopo aver agitato gli organismi di regolamentazione e reso più responsabili gli utenti… il GDPR non ha ancora finito di far parlare di sé!

Iniziative diffuse ma disuguali

Ora che è passato un anno dall’entrata in vigore del GDPR, occorre fare una prima osservazione: un’ampia maggioranza di aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, ad esempio attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità “di facciata”, volto soprattutto a soddisfare i requisiti minimi di legge.

Se finora questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che l’hanno visto come un freno allo sviluppo dell’economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all’utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.

Ma è anche nel testo stesso che questa disparità di approcci ha in parte la sua origine. Il GDPR, nella sua prima versione, stabilisce dei principi che devono essere rispettati, ma senza fornire informazioni su come attuarli nella pratica, lasciando il campo aperto a diverse interpretazioni. Ogni attore del mercato era quindi responsabile dell’applicazione del metodo o dei metodi che sembravano più appropriati al proprio contesto di business – e spesso il meno vincolante.

Verso un’armonizzazione maggiore (e più vincolante) delle prassi

Le misure, anche minimaliste, adottate finora dalle imprese sono sufficienti a garantire la loro conformità al regolamento? Se esse oggi permettono loro di sfuggire alle sanzioni della CNIL, l’incertezza rimane comunque sul lungo termine!

Nell’ultimo anno il testo si è già evoluto, in quanto sono avvenuti scambi e feedback tra organismi di regolamentazione e associazioni professionali, per definire con maggiore precisione i metodi che attualmente mancano. Questo lavoro di adattamento e di precisione risponde, da un lato, al feedback degli operatori del mercato, dall’altro alla necessità di armonizzare le pratiche a livello europeo.

Il GDPR è destinato ad essere applicato uniformemente all’intero mercato europeo, dove esistono ancora alcune disparità. La CNIL, che per il momento è nota per essere più lassista delle sue controparti europee, affinerà e adatterà gradualmente il testo, rafforzando in parte le sue raccomandazioni, al fine di cancellare progressivamente le differenze locali e allinearsi alle regole applicate dai nostri vicini.

Ciò significa, dunque, che le aziende dovranno rimanere vigili sugli sviluppi futuri e verificare che i metodi e le procedure che hanno adottato rimangano conformi ai nuovi requisiti normativi.

Gli sviluppi previsti

Il GDPR non ha ancora detto la sua ultima parola! È ancora agli inizi, per così dire, e continuerà nei mesi e negli anni futuri a ridefinire l’approccio globale delle organizzazioni in materia di protezione dei dati personali.

Tra le modifiche previste a breve termine, segnaliamo, ad esempio, l’annunciata fine delle cosiddette forme “soft” di consenso, cioè legate alla semplice prosecuzione della navigazione su un sito web. Tollerato finora in Francia, questo metodo di raccolta dati, che risponde ad una possibile lettura del GDPR nella sua versione attuale, rischia di scomparire presto, a favore di metodi cosiddetti “rigorosi”, che consistono nell’espressione diretta del consenso (ad esempio attraverso un click su un pulsante “Accetta”).

Anche la simmetria dei consensi farà indubbiamente parte dei prossimi sviluppi: essa consiste nel proporre una simmetria delle azioni possibili, ad esempio la presenza sistematica di un pulsante “Rifiuta” accanto al pulsante “Accetta”.

Infine, sono in corso di chiarimento anche i dettagli relativi agli scambi di dati tra partner. Ora, se un’organizzazione desidera condividere i dati che raccoglie dai propri utenti con terzi, dovrà identificare con precisione ciascuno dei partner coinvolti al momento della raccolta delle informazioni.

Il GDPR continuerà pertanto ad evolvere e a diventare più preciso, nell’ottica di professionalizzare il mercato digitale e di responsabilizzare i detentori di dati riservati. Le organizzazioni devono ora considerare il GDPR come un parametro a sé stante in tutte le loro decisioni: esso avrà un impatto finale sui loro metodi di lavoro, sui processi di progettazione e produzione e, naturalmente, sulle loro strategie e operazioni di marketing. Oggi, spesso ci preoccupiamo esclusivamente della punta dell’iceberg, ma la questione della conformità dovrà essere integrata nella vita quotidiana, per ogni argomento e per ogni attività, da ogni dipendente. Solo così le aziende potranno vedere i vantaggi e le opportunità, non solo gli svantaggi.