L’entrata in vigore del GDPR in Italia e in Europa è oramai prossimo

Il 25 maggio, data in cui entrerà in vigore il regolamento generale sulla protezione dei dati, altresì noto come GDPR (General Data Protection Regulation- Regolamento UE 2016/679) è sempre più vicino. Il fine principale della Commissione Europea verte sul rafforzamento dei diritti dei cittadini che devono sapere cosa accade con i loro dati personali. Per questo motivo, unificare le leggi relative al trattamento dei dati personali nel Vecchio Continente ed assegnare alle aziende il compito di tutelarli di notificare al Garante eventuali violazioni è di sicuro un’ottima idea. Almeno sulla carta, visto che la privacy, come si sa, è una tematica spinosa che non è possibile liquidare in maniera sommaria, soprattutto in riferimento ad campo in costante evoluzione, come quello del web marketing, dove c’è il rischio che la GDPR finisca per diventare un vero e proprio millennium bug.

GDPR e web marketing

La normativa è destinata ad avere un forte impatto nel campo del web marketing, tanto è vero che i professionisti del settore digitale, oltre ad essere tra i più informati sul GDPR, si sono dati particolarmente da fare per quanto riguarda l’inevitabile adattamento dei processi aziendali in riferimento alla raccolta, all’analisi, alla gestione e all’archiviazione dei dati online dei clienti. E, diciamolo pure, era pure ora, visto che i dati di profilazione di Facebook, quelli di tipo geografico di Google Maps o di Google Analytics e le campagne di e-mail marketing già da diversi anni hanno rivoluzionato in maniera drastica il concetto di dato identificativo.

Per non essere impreparati al cambiamento che il GDPR si accinge ad apportare, i professionisti del web marketing workshop, lavorando come veri e propri facilitatori nei confronti delle aziende clienti, spiegando nei dettagli cosa fare entro il fatidico 25 maggio 2018, vale a dire quali sono i nuovi dati coinvolti, ossia quelli online di tipo identificativo, come cookie, indirizzi IP, geolocalizzazione ed e-mail, quali processi adottare nella raccolta dati, cioè consenso esplicito e tracciabile, trasparenza dell’informativa e pertinenza alle finalità di utilizzo dei dati, come conservarli ed elaborarli in tutta sicurezza in conformità del regolamento e, infine, il ruolo cruciale della crittografia.

GDPR come il Millennium Bug del 2000?

Ricordi il Millennium Bug 2000, vale a dire quel difetto informatico che si palesò alla mezzanotte fra il 31 dicembre del 1999 e il 1º gennaio del 2000 all’interno dei computer e dei mainframe che, alla fine, nonostante lo scalpore dei mezzi di comunicazione, non aveva fatto altro che allarmare inutilmente l’opinione pubblica, vista la circoscrizione del problema? Ebbene il GDPR potrebbe essere proprio come il nuovo Millennium Bug. Allarmismo generale e scenari apocalittici per nulla.

Conclusioni

L’intento della Commissione Europea di consolidare la privacy e di rendere maggiormente conforme a livello continentale la protezione e la sicurezza dei dati personali appartenenti ai cittadini dei Paesi dell’U.E. è di sicuro un’ottima mossa. Il fatto che nell’era della Rete il concetto di dato personale e sensibile sia cambiato e che prevedesse nuove normative è di sicuro cosa giusta. Non ci sono dubbi. Tuttavia, a ridosso di una scadenza importante, solo una piccola fetta del tessuto delle imprese italiane conosce (quanto effettivamente?) le implicazioni del GDPR e sono solo pochissime “mosche bianche” ad aver strutturato un progetto ben delineato con l’intento di adeguarsi alle novità del regolamento.

Non basta. Visto che, almeno teoricamente, le multe del GDPR alle imprese che trasgrediranno il regolamento saranno piuttosto salate, nel momento in cui la normativa entrerà in vigore, dovrebbero essere proprio le PMI a rischiare di più, specie se si considera che le loro risorse disponibili non sono minimamente in grado di competere con le multinazionali. Si pensi al tipo di imprevisto che potrebbe verificarsi in una piccola o media impresa italiana a fronte di una sanzione pecuniaria massima di importo pari a 20 milioni di euro (nel caso di una grossa impresa facente parte di un gruppo, la sanzione potrebbe raggiungere un importo fino al 4% calcolato sul fatturato a livello mondiale).

Per logica conseguenza, sono in molti a credere che il “pacchetto U.E.” sia destinato ad essere un vero e proprio flop. Proprio come la Direttiva NIS (Network and Information Security) e il Regolamento eIDAS (electronic IDentification Authentication and Signature) rischiano di avere un’efficacia ampiamente al di sotto delle aspettative e gli investimenti messi a punto potrebbero anche non garantire il ROI sperato. I motivi? Mancanza di una forte e consolidata cultura nel campo della sicurezza informatica sia in Italia che a livello europeo e assenza di standard restrittivi sul tema della privacy e della cybersicurezza.

Senza la risoluzione di questi due nodi, i buoni fini della Commissione Europea resteranno tali e non riusciranno a produrre risultati degni di nota.