Se ne sta parlando da tempo e ormai è partito il conto alla rovescia: dal 25 maggio entrano in vigore le nuove norme previste dal GDPR, ovvero il Regolamento Europeo per la Protezione dei Dati personali, che in sintesi impone un giro di vite a tutte le società mondiali, inclusi quindi i siti Web, che trattano dati personali di soggetti che risiedono nell’Unione Europea.
Che cos’è il GDPR
Acronimo di General Data Protection Regulation, il GDPR è frutto di diversi anni di lavoro da parte della Commissione Europea; il testo ufficiale di questo nuovo impianto normativo è stato pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 mentre, come accennato, l’entrata in vigore del GDPR è stata stabilita per il prossimo 25 maggio 2018. Alla base di questa rivoluzione, come indicato dalla stessa Commissione Ue, ci sono precise esigenze e tutele da garantire ai cittadini europei: certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali e il rispetto della privacy dall’Unione Europea verso altre parti del mondo.
Cosa cambia con le nuove regole
Provando a semplificare (il testo finale è composto da circa un centinaio di articoli), il Regolamento contiene una serie norme relative alla protezione dei dati personali dei cittadini europei, e si possono individuare due obiettivi principali: offrire agli utenti un controllo completo sui propri dati personali e, non meno importante, semplificare il quadro normativo per le imprese che si trovano a gestire tali dati. Per questo, il GDPR viene considerato uno strumento abilitante del mercato digitale, si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale e interessa anche chi opera sul Web, e in particolare chi opera nel campo dell’eCommerce che chi, ad esempio, gestisce un sistema di newsletter con le mail dei propri utenti o lettori.
Il Regolamento Europeo per la Protezione dei Dati personali sostituisce la Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995; dopo oltre 20 anni si era reso necessario un intervento in materia, anche per i notevoli cambiamenti degli scenari globali che si sono verificati in questo periodo, a cominciare dall’impatto di Internet. Dal punto di vista legislativo, l’impianto non è dissimile dal precedente: i principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il GDPR dedica un’attenzione più specifica alle novità del mondo digitale e, soprattutto, si applica non solo in tutti gli Stati della UE, ma estende la sua azione anche all’esterno.
Diritto all’oblio e privacy, le principali novità del GDPR
Si può considerare il GDPR un nuovo regolamento europeo per la privacy, visto che le norme ridisegnano il concetto stesso di protezione dei dati personali, introducendo un regime più specifico per le modalità di trattamento, l’individuazione dei diritti dei soggetti interessati, le responsabilità di chi li raccoglie e gestisce, ma anche regole sulle modalità di comunicazione di eventuali violazioni subite e rigide sanzioni per l’infrazione del regolamento.
Uno dei cardini del GDPR è il cosiddetto Privacy by Design, una vera e propria rivoluzione “filosofica”: secondo la Comunità Europea, la protezione dei dati non deve continuare a essere un concetto “secondario”, elemento aggiuntivo da valutare in fasi successive delle proprie operazioni, ma deve incorporata in prodotti e servizi sin dalla fase di progettazione degli stessi, come fattore nativo e fondamentale.
All’articolo 17, poi, si introduce un’altra importante novità, ovvero il diritto alla cancellazione dei propri dati personali che ciascun utente può richiedere quando non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli. Questo diritto all’oblio si applica anche al titolare che abbia reso pubblici dati, imponendo di trasmettere la richiesta di cancellazione a tutti coloro che li utilizzano.
Altra svolta è introdotta dall’articolo 18, che consente a una persona di poter trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo, nell’ottica di una maggiore e più efficiente portabilità dei dati.
L’impatto del GDPR
Come si legge nel documento approvato dalla Commissione, “il regime di protezione dei dati proposto per l’UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale”. Detto in altri termini, la protezione per i cittadini europei avrà effetto e valore a prescindere dalla localizzazione geografica dell’azienda o del luogo in cui i dati vengono gestiti ed elaborati. Questo significa che anche una società statunitense di base in California dovrà rispettare le norme europee se si trova a gestire i dati di un italiano (Facebook, si parla di e con te, ma non solo!).
Questa novità è particolarmente rilevante soprattutto dopo il caos generato dallo scandalo Cambridge Analytica, che ha dimostrato e reso evidente che se i nostri dati in Rete non sono sufficientemente tutelati rischiano di essere usati per manipolare le scelte dei cittadini, come sottolineato di recente anche da Giovanni Buttarelli, Garante europeo della protezione dei dati.
Le sanzioni del GDPR
Per essere realmente efficiente il GDPR può contare su di una “arma” piuttosto minacciosa, ovvero un regime sanzionatorio molto ben dettagliato, che prevede una severa disciplina di protezione dei dati e soprattutto specifiche e rigide sanzioni finanziarie, che possono raggiungere il 4 per cento del fatturato globale annuo o 20 milioni di euro per le società che viola le norme e si rendono colpevoli di mancata osservanza delle regole. Per fare un esempio, una società è passibile di sanzione se non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design”.
Chi è soggetto al Regolamento
L’impianto che va in vigore a breve è stato pensato anche per armonizzare le diverse normative sulla protezione dei dati in tutta l’UE, così da rendere più semplice l’osservanza delle regole da parte delle imprese non europee. Come scritto, infatti, la Commissione Ue ha applicato un criterio di extraterritorialità, estendendo l’applicazione del GDPR a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Nello specifico, sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.
Aziende e GDPR, cosa sapere e come adeguarsi alle nuove norme
Per essere conformi al GDPR ed evitare i rischi di sanzione, le aziende devono prepararsi in anticipo, rivendo le proprie policy e, qualora necessario, adeguandole alle richieste del regolamento. In particolare, le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano queste operazioni, utilizzando un “linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco” nel redigere termini e condizioni. Inoltre, diventa obbligatorio dichiarare le modalità con le quali verranno elaborati i dati richiesti all’utente, e gli stessi criteri e la stessa responsabilità si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso.
I colossi del Web si sono già attrezzati, come abbiamo avuto modo di notare in queste ultime settimane: con l’aggiornamento iOS 11.3, ad esempio, Apple ha implementato un servizio di notifica tramite icona che segnala all’utente la richiesta di accesso a dati personali; da parte sua, Facebook sta inviando dei messaggi agli utenti, invitandoli a rivedere e aggiornare le impostazioni sulla privacy, mentre Whatsapp ha annunciato l’innalzamento dell’età minima di accesso all’app a 16 anni.
GDPR e Google, addio ai cookie
Uno degli effetti più dirompenti di questo sistema arriva però da Google, che sta per dire addio ai vecchi cookies, che dovrebbero essere sostituiti da un nuovo tipo di offerta pubblicitaria che eliminerà completamente il targeting personalizzato (le pubblicità mirate sono un mercato che vale 20 miliardi di dollari l’anno per BigG). Per il momento, il gruppo di Mountain View sta inviando un messaggio piuttosto elaborato ai suoi utenti europei, nel quale chiarisce la portata di tutti i sistemi fin qui utilizzati e annuncia (piccoli) cambiamenti e modifiche del prodotto, in particolare di Google AdWords. Per questi clienti, ad esempio, Google ha introdotto dei cambiamenti per “rispettare e supportare la tua conformità a GDPR“, apportando alcune “modifiche attraverso la rete di siti dei publisher su cui possono essere pubblicati i tuoi annunci, consentendo ai publisher di mostrare annunci non personalizzati e selezionare quali terze parti misurano e pubblicano annunci per gli utenti EEA sui loro siti e app“.
Cambia qualcosa anche per gli utenti di Google Analytics, che avranno a disposizione nuovi controlli per gestire la conservazione e la cancellazione dei propri dati. Nel medio termine, invece, dovrebbero arrivare altre novità, con accordi per l’AdServer di DoubleClick for Publishers (DFP), per il mercato di DoubleClick AdExchange (AdX), per la pubblicità mobile su AdMob e per il programma pubblicitario AdSense, ma è possibile che ci siano differenti regole di elaborazione dei dati anche per Google Analytics, Attribution, Tag Manager Data Studio e Optimize.
Sintesi del GDPR e consigli finali
Quella che entra in vigore in Europa il 25 maggio sembra essere una delle leggi più dure a livello mondiale sul trattamento dei dati, che potrebbe mettere in crisi – o quanto meno dare una spallata – il modello di business con il quale i colossi tech hanno guadagnato miliardi negli ultimi dieci anni. In estrema sintesi, con il GDPR vengono introdotte regole più chiare su informativa e consenso dell’acquisizione di dati personali; si definiscono i limiti al trattamento automatizzato dei dati personali; si pongono le basi per l’esercizio di nuovi diritti; vengono fissati criteri rigorosi per il trasferimento dei dati personali al di fuori dell’Ue; vengono stabilite norme rigorose e sanzioni rigide per i casi di violazione dei dati (data breach).
Per capire se il proprio sito o la propria azienda è a norma con le nuove regole del GDPR sono stati messi a punto alcuni strumenti particolarmente utili (nella maggior parte dei casi gratuiti, ma in inglese). Ad esempio, Microsoft ha realizzato un questionario di autovalutazione con dieci domande sullo stato del proprio business nella gestione dei dati personali, con tanto di punteggio finale che serve come orientamento. Anche la Ico, autorità pubblica del Regno Unito, ha creato un questionario online con punteggio finale e lista di azioni consigliate per migliorare, con link a fonti utili e una guida per le pmi con una checklist delle azioni da compiere.
A livello italiano, invece, si segnalano le due guide realizzate dal Garante nazionale per la privacy: la prima, di circa 30 pagine, ” traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa”, evidenziando per ogni punto i cambiamenti rispetto al vecchio codice della privacy e le norme invariate, mentre il secondo documento è molto più voluminoso (180 pagine), approfondisce i vari argomenti e rappresenta al momento la miglior guida all’applicazione del GDPR in Italia.
Gennaro Mancini