Intelligenza Personale

GDPR – Cambiano le regole sulla gestione dei dati. Come?

Tutti ne parlano, tutti vogliono sapere.

In realtà sono cambiate le regole per proteggere i dati personali.

Il nuovo regolamento, GDPR (General Data Protection Regulation), è entrato  vigore lo scorso maggio in tutti i Paesi europei.

Le nuove tecnologie rendono sempre più facile raccogliere dati ed elaborarli confrontandoli con gli enormi data base che si generano mentre noi usiamo gli oggetti collegati alla rete.

L’internet delle cose, i big data, behavioural advertising,  gli strumenti predittivi sono al tempo stesso fonti di dati personali e depositi enormi di conoscenza generata mettendo insieme informazioni riferite a individui. I dati sono diventati il “petrolio dell’era digitale”. Ed è proprio per definire regole uniche per tutti i trattamenti di dati effettuati nei Paesi dell’Unione Europea che dal 25 maggio di quest’anno è entrato in vigore il Regolamento Generale sulla tutela dei dati personali (GDPR-General Data Protection Regulation).

La nuova normativa riguarda in particolare due aspetti:

  • L’applicazione del principio di trasparenza nella comunicazione e nella modalità con cui rendere tali informazioni;
  • Le nuove informazioni che il titolare dovrà fornire obbligatoriamente all’interessato.

Il GDPR marca una linea di confine nell’evoluzione storica della data protection. E’ uno spartiacque che segna un “ante” e un “post”, l’inizio di una nuova epoca nelle norme che tutelano il diritto di esercitare un controllo sulle informazioni che riguardano una persona fisica.

Il cambiamento essenziale è costituito dal cambio di prospettiva che si realizza grazie alle nuove norme.

Finora al centro delle normative di data protection è stata posta la persona, intesa come persona fisica, titolare di diritti, depositario di interessi legittimi e di aspettative che l’ordinamento  riconosce e tutela. Conseguentemente  a questa impostazione l’interessato, cioè il soggetto cui si riferiscono i dati personali, è sempre stato considerato il vero protagonista della normativa. Questo è il motivo  per cui vengono introdotti con la normativa degli anni Novanta i principi del consenso informato, del diretto potere di controllo degli interessati, del diritto a opporsi al trattamento dei dati.

Si proteggono i dati per proteggere la persona cui i dati si riferiscono.

Con l’evoluzione tecnologica tutto cambia. I dati acquistano valore in sé e vengono tutelati per ciò che sono, a prescindere,  si potrebbe dire,  dalle persone cui si riferiscono.

Il dato personale diventa la materia prima della nuova economia basata sulla conoscenza e sull’elaborazione  delle informazioni.  I dati infatti vengono ormai considerati un potenziale motore per lo sviluppo e una fonte  di nuovi business ad altissimo valore.

Conoscere usi, consuetudini, abitudini, passioni, orientamenti del cliente può essere un vantaggio strategico fondamentale per una proposta di vendita mirata e costruita taylor made ai suoi desiderata.

E’ questo il motivo per cui la Commissione Europea ha  dato estrema importanza alla tematica della protezione dei dati personali inserendola nel più ampio contesto dei cosiddetti open data. In pratica si è compreso che i dati sono destinati a diventare sempre più la materia prima che sarà alla base dei servizi e dei prodotti innovativi e solo creando le condizioni per un uso uniforme dei dati, senza barriere giuridiche e differenze normative tra gli Stati europei,  si potrà definire una nuova economia basata sull’uso esteso dei dati.

In questo senso il  regolamento Europeo 2016/679 diventa  uno strumento di competizione economica. Rilevante che permette ai soggetti operanti nel mercato europeo di disporre di un set  di regole condivise cui anche chi è posto fuori dall’Unione Europea sarà obbligato ad attenersi.

Si tratta di una regola nuova che trasforma la protezione dei  dati personali da mero argomento giuridico in tema strategico per la nuova economia dei dati.  Il GDPR nasce per essere quindi lo Statuto della Data Economy e definisce le regole per usare i dati legalmente ed estrarne prodotti e servizi, quindi fatturato e posti di lavoro.

Tutti trattano dati personali, siano quelli dei clienti, dei prospect, dei dipendenti o dei fornitori; l’argomento attraversa sostanzialmente ogni attività umana. Finora siamo stati  abituati a considerare la privacy come un adempimento, un obbligo da rispettare con comportamenti formali, affidati  di solito alla supervisione di un legale. Con il regolamento europeo cambia tutto: la privacy diventa un processo aziendale da gestire in tutte le sue fasi, da quella ideativa a quella esecutiva. Il concetto alla base del cambiamento è semplice: i dati personali sono diventati  l’equivalente della materia prima per l’economia  tradizionale, l’elemento base da trasformare  nel prodotto per il mercato. In estrema sintesi, oggi i  dati personali  servono a:

  1. Creare prodotti innovativi;
  2. Formulare offerte mirate ai consumatori, convertendo sconosciuti in clienti fidelizzati;
  3. Garantire sicurezza e migliorare l’efficienza aziendale;
  4. Controllare, profilare e analizzare.

Alla luce dell’importanza che i dati hanno assunto nell’economia attuale diventa essenziale proteggere il processo produttivo che si genera attorno ai dati e prevenire possibili abusi nell’utilizzo delle informazioni riferito agli individui.

Ma cosa  cambia oltre all’approccio? Moltissimo:

  1. Cambia l’informativa che diventa breve, priva di riferimenti  normativi, deve essere comprensibile anche ai minori e contenere nuovi elementi, come l’origine dei dati e il tempo di conversazione  previsto;
  2. Cambia il consenso al trattamento che diventa un consenso “inequivocabile”, ad esempio  mediante dichiarazione orale o scritta.  Non viene più utilizzato pertanto il consenso tacito o passivo e la preselezione di caselle (nel web);
  3. Cambiano i ruoli del trattamento, con l’introduzione della figura del Data Privacy Officer (il responsabile per la protezione dei dati personali) che sarà un vero manager dei database aziendali e non un semplice garante interno del legittimo trattamento dei dati;
  4. Sparisce l’obbligo di notificazione al Garante e si introduce il “Registro dei trattamenti”;
  5. Sparisce il Documento programmatico sulla sicurezza e nasce il “Documento programmatico sulla sicurezza e nasce il “Documento di valutazione di impatto” del trattamento dei dati;
  6. Vengono introdotti meccanismi di certificazionee nascono i cosiddetti “Sigilli di qualità della Privacy”;
  7. Vengono introdotti nuovi  diritti, come quello alla “portabilità dei dati”, per cui ogni interessato  potrà trasferire da un titolare a un altro i dati che lo riguardano;
  8. Diventa essenziale progettare la tutela dei dati personali e documentare l’attenzione verso l’analisi dei rischi connessi al trattamento dei dati personali;
  9. Le norme che seguono il soggetto cui si riferiscono i dati: ogni cittadino europeo ha diritto di vedere applicato il regolamento europeo anche quando i dati sono raccolti sa una società extraeuropea,
  10. Le sanzioni in caso di violazione aumentano significativamente e per le multinazionali sono calcolate in percentuale (fino al 4%) del fatturato del Gruppo.

L’obiettivo di queste regole è porre fine alle numerose restrizioni di carattere giuridico o amministrativo che, sotto forma di obblighi, impongono la gestione locale dei dati a livello nazionale che vincolano l’intero mercato UE dei dati.

L’abolizione di queste restrizioni potrebbe generare 8 miliardi di euro all’anno di Pil.

Di questo si tratta e per dirla in linguaggio corrente non sono bruscolini

 

di Enrico La Pergola

Lascia un Commento